Сразу скажу, что у меня есть белый статический ip, но подключение устройств к домашней сети с помощью Netbird дает дополнительные возможности.

История началась в новогодние праздники когда я был неприятно удивлен, что не могу обновить свою коллекцию книг в зелёном магазине с помощью прекрасного приложения от hufrea. При этом смотреть видео на красно-белом видеохостинге стало даже проще с помощью короткого параметра “-o“ для тех кто понимает. Без видео я прожить могу, а вот без книг - нет. Это подтолкнуло к изысканиям на тему удаленного от пределов нашего богоспасаемого Отечества сервера. Для тестов был взят

image429×498 15.9 KB

Хостера намеренно не указываю, т.к. показала практика сервис у него мягко говоря плохой. Например, поставил я docker и Nginx Proxy Manager в нем. Пол дня работает нормально, а потом перестает проксировать мои сервисы. При этом в админке всё хорошо, да и зайдя по ssh видно что docker контейнер с NPM работает.

Короче, сервер настолько плохой, что это стало даже хорошо. И вот тут начинается самое интересное. У себя дома в docker на Synology я поднимаю self-hosted Netbird. И понимаю, что моего дубового reverse proxy от Synology недостаточно, он просто не умеет ничего кроме простого проксирования.

И тут на сцену выходит Traefik. Функциональный, гибкий и многообещающий. Но требующий аккуратного прописывания конфигурации. И тут во мне столкнулись лень и любопытство. Лень послала в/на deepseek. Любопытство задало ИИ вопрос: “А можно ли в конфигурации Traefik задавать переменные?“. Был получен положительный ответ, мои ладошки вспотели и всё завертелось. Была получена универсальная конфигурация под мои задачи. Смысл в том, что логическая часть остается неизменной, а сервисы задаются с помощью массива именованных значений. Сначала был реализован простой прокси, потом редирект и статика. Но самое главное, я получил простую авторизацию по ключу ?a=….

Зачем мне такая авторизация. У меня есть сервисы, например библиотека с книгами (copsfb и inpx-web), которые могут вызвать вопросы у правообладателей в нашем Отечестве. Т.е. мне нужна авторизация для RU сегмента и прямой вход для NoneRu сегмента. Таким образом в моей универсальной конфигурации появился плагин geoblock.

Возвращаемся к удаленному серверу и Netbird. С помощью Netbird подключаю удаленный сервер в мою домашнюю сеть 192.168.1.0/24. Т.к. docker и NPM на удаленном сервере можно считать нерабочими, я через файлы nginx проксирую свои доменные имена привязанные к удаленному серверу на 192.168.1.1:80 или :443 где у меня развернут Traefik. И уже с помощью своего домашнего Traefik я окончательно проксирую на бэкэнд сервисы. При этом я могу дополнительно навешивать авторизацию, геоблок, редирект и статику. И всё это, по факту, в одном месте. Т.е. от удаленного сервера требуется его наличие и простые конфиги nginx - всё. Переехать на другой сервер дело 2-х минут.

Возвращаемся к Traefik и уже готовой универсальной конфигурации. Напомню, каждый сервис можно задать строкой вида:

“device” “ds218+” “name” “traefik” “subservice” “dashboard” “domain” “domen1.synology.me” “ip” “stub” “port” 443 “pathPrefix” “/” “protocol” “https” “serviceType” “proxy” “access” “internal” “geoblock” false “protectedRU” false “protectedNoneRU” false “staticRoot” “stub” “redirectTarget” “stub” “certResolver” “le-http”

Гораздо лучше стандартного конфига Traefik, но тем не менее хочется лучше.

И тут на сцену выходит OnlyOffice (или Excel). И вышеуказанная строка попадает в умную таблицу, где все наглядно, с быстрой сортировкой по всему и вся, подсветкой через условное форматирование и получением готового конфига одним нажатием на кнопку мыши.

image1836×655 157 KB

Как можно расширять функционал конфига. Скармливаем конфиг и инструкцию к нему ИИ. И просим его сделать, то что вам нужно. Строго следим, чтобы ИИ не уходил в частности и следовал критерию универсальности конфига. Или сами пишем логику с помощью Go-шаблонов (сразу оговорюсь, самостоятельно я не написал ни одной строчки кода).

ПОЛНАЯ ИНСТРУКЦИЯ ПО ДИНАМИЧЕСКОЙ КОНФИГУРАЦИИ TRAEFIK (OPNsense) для скачивания
Версия: с поддержкой proxy/static/redirect, корневых доменов и гибкой схемой HTTPS/HTTP

================================================================================

1. ВВЕДЕНИЕ

   Данная конфигурация предназначена для Traefik, установленного как плагин на
   OPNsense. Она позволяет гибко управлять входящим трафиком: проксировать запросы
   к внутренним сервисам, настраивать редиректы, раздавать статические файлы,
   ограничивать доступ по геолокации и реализовывать простую авторизацию по ключу
   (?a=…). Все настройки производятся через редактирование трёх основных
   переменных в начале файла, что обеспечивает лёгкую поддержку и масштабирование.

Конфигурация поддерживает как обычные поддомены (например, ad.remote3.fbx.one),
так и корневые домены (remote3.fbx.one) с помощью специального значения name=“/”.

================================================================================

2. ОСНОВНЫЕ ПЕРЕМЕННЫЕ (размещены в самом начале файла)

2.1. $authKeys — список ключей для входа.
Формат: список строк, например [“curiosity”, “key1”].
Любой из этих ключей, переданный в параметре ?a=…, даёт доступ ко всем
защищённым разделам (тем, где установлены флаги protectedRU или protectedNoneRU).
После первого использования клиенту устанавливается cookie auth_session
сроком на 24 часа, и ключ больше не требуется.

2.2. $baseDomains — список базовых доменов.
Каждый элемент — словарь с ключом “domain”.
Пример: (dict “domain” “example.com”)
Все поддомены должны соответствовать одному из этих базовых доменов.
Список используется для группировки и генерации конфигурации.
Пример:
{{ $baseDomains := list
(dict “domain” “domen1.synology.me”)
(dict “domain” “domen1.ddns.net”)
(dict “domain” “domen2.synology.me”)
(dict “domain” “domen2.ddns.net”)
(dict “domain” “remote1.fbx.one”)
(dict “domain” “remote2.fbx.one”)
(dict “domain” “remote3.fbx.one”)
}}

2.3. $subdomains — основной список всех сервисов.
Каждый сервис описывается словарём со следующими полями (см. раздел 3).

================================================================================

3. ПОЛЯ СЛОВАРЯ subdomains (ПОДРОБНОЕ ОПИСАНИЕ)

┌────────────────┬────────────────────────────────────────────────────────────┐
│ Поле │ Описание и допустимые значения │
├────────────────┼────────────────────────────────────────────────────────────┤
│ device │ Название устройства (только для информационных целей). │
│ │ Пример: “ds218+”, “Xpenology”, “xorek”. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ name │ Имя сервиса. │
│ │ • Если указано обычное имя (например “ad”), то полный │
│ домен будет . (ad.remote3.fbx.one). │
│ │ • Если указано “/”, то обслуживается корневой домен │
│ (просто domain, например remote3.fbx.one). │
│ │ • Для внутренних сервисов (access=“internal”) может быть │
│ любым, но рекомендуется осмысленное имя. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ subservice │ Уточнение для различения нескольких путей на одном │
│ │ поддомене. Добавляется в имена роутеров для уникальности. │
│ │ Пример: “glance-Home02”, “netbird-api”. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ domain │ Базовый домен из списка $baseDomains. │
│ │ Пример: “remote3.fbx.one”. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ ip │ IP-адрес бэкенда. │
│ │ • Для proxy (serviceType=“proxy”) – реальный IP, например │
│ │ “192.168.1.55”. │
│ │ • Для internal, redirect, static – используется заглушка │
│ │ “stub” (строка). Поле обязательно, но значение игнори- │
│ │ руется. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ port │ Порт бэкенда. │
│ │ • Для proxy – реальный порт (число), например 8080. │
│ │ • Для internal, redirect, static – рекомендуется 0 (ноль) │
│ │ как заглушка. Можно указать любое число, оно не будет │
│ │ использоваться. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ pathPrefix │ Путь, по которому отвечает сервис. │
│ │ Всегда начинается с “/”. Для корня указывайте “/”. │
│ │ Пример: “/api”, “/Home02”. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ protocol │ Протокол соединения с бэкендом. │
│ │ • “http” – обычный HTTP │
│ │ • “https” – HTTPS (бэкенд должен поддерживать TLS) │
│ │ • “h2c” – gRPC (HTTP/2 без TLS) │
│ │ Для internal, redirect, static можно оставить “http” или │
│ │ любое значение – оно игнорируется. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ serviceType │ Тип сервиса: │
│ │ • “proxy” – обычное прокси (требует ip и port) │
│ │ • “redirect”– редирект на redirectTarget │
│ │ • “static” – раздача статических файлов из staticRoot │
│ │ По умолчанию (если не указано) принимается “proxy”. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ access │ Уровень доступа: │
│ │ • “public” – доступ из интернета │
│ │ • “local-only” – только из локальной сети (RFC 1918) │
│ │ • “internal” – встроенный сервис Traefik (например │
│ │ dashboard) – используется api@internal. │
│ │ Примечание: если установлен access = “local-only”, то │
│ │ запросы разрешены только с локальных IP (RFC 1918). При │
│ │ этом middleware геоблокировки (например, geoblock-ru-only)│
│ │ не применяются к локальным IP из-за параметра │
│ │ allowLocalRequests = true в плагине geoblock. Таким │
│ │ образом, если сервис защищён флагами protectedRU или │
│ │ protectedNoneRU, то авторизация потребуется только для │
│ │ внешних запросов (не локальных), а локальные IP будут │
│ │ обслуживаться без авторизации. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ geoblock │ true/false. Если true – полностью блокировать запросы из │
│ │ России (возвращается 403). Работает только для access │
│ │ “public” или “local-only”. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ protectedRU │ true/false. Если true – требовать авторизацию (?a=ключ) │
│ │ для посетителей из России. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ protectedNoneRU│ true/false. Если true – требовать авторизацию для │
│ │ посетителей НЕ из России. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ staticRoot │ Для serviceType=“static” – корневая директория на диске, │
│ │ например “/srv/www”. Для остальных типов обязательно │
│ │ указывать “stub” (заглушка). │
├────────────────┼────────────────────────────────────────────────────────────┤
│ redirectTarget │ Для serviceType=“redirect” – полный URL для перенаправления│
│ │ например “https://glance.domen1.synology.me”. Для остальных│
│ │ типов обязательно указывать “stub”. │
├────────────────┼────────────────────────────────────────────────────────────┤
│ certResolver │ • “le-http” – использовать Let’s Encrypt для получения │
│ │ сертификата (HTTPS). │
│ │ • “stub” – не использовать HTTPS, запросы будут приходить │
│ │ на entryPoint “web” (порт 80). │
└────────────────┴────────────────────────────────────────────────────────────┘

================================================================================

4. ВАЖНЫЕ ЗАМЕЧАНИЯ ПО ЗАПОЛНЕНИЮ

• Для internal, redirect и static поля ip и port не используются, но их необходимо
указывать для корректной работы шаблона. Рекомендуется:
– ip = “stub”
– port = 0
• Для proxy ip и port должны быть реальными.
• Для staticRoot и redirectTarget, если они не применимы, всегда ставьте “stub”
(без кавычек в значении, просто stub). Никогда не оставляйте поле пустым.
• Флаги geoblock, protectedRU, protectedNoneRU работают только при access=“public”
или “local-only”. Для internal они игнорируются.
При этом важно понимать поведение для access=“local-only”: запросы разрешены
только с локальных IP (RFC 1918). Если установлен флаг protectedRU или
protectedNoneRU, middleware геоблокировки (например, geoblock-ru-only) не
применяются к локальным IP из-за параметра allowLocalRequests = true в плагине
geoblock. Таким образом, авторизация требуется только для внешних (не локальных)
запросов, а локальные IP обслуживаются без авторизации. Это штатное поведение,
позволяющее сохранить открытый доступ из локальной сети даже для сервисов,
защищённых от внешнего мира.
• Если не указан serviceType, по умолчанию подставляется “proxy”.
• Для корневого домена обязательно укажите name=“/”. Это единственное специальное
значение; для всех остальных поддоменов name должно быть обычной строкой без слешей.
• Все поля должны быть заполнены, недопустимо оставлять значения вида “”.
Для неиспользуемых полей всегда указывайте “stub” (для строк) или 0 (для чисел).
• Поля логического типа (geoblock, protectedRU, protectedNoneRU) также должны быть
явно указаны как true или false. Не оставляйте их пустыми и не опускайте, иначе
шаблонизатор может интерпретировать отсутствие как false, но для надёжности и
читаемости всегда проставляйте значение.

================================================================================

5. АВТОМАТИЧЕСКОЕ ФОРМИРОВАНИЕ СПИСКОВ

5.1. $authRequiredHosts — список хостов, требующих авторизации.
Формируется из всех поддоменов, у которых protectedRU или protectedNoneRU = true.
Используется в правиле роутера входа auth-enter, чтобы разрешить вход по ключу
только на тех доменах, где это необходимо.

5.2. $httpsHosts — список хостов, которые должны использовать HTTPS.
Формируется из всех поддоменов, у которых certResolver не равен “stub”.
Используется для создания отдельного роутера redirect-http, который будет
перенаправлять HTTP-запросы на HTTPS для этих доменов.

================================================================================

6. БЛОК MIDDLEWARE (СТАТИЧЕСКИЕ ОПРЕДЕЛЕНИЯ)

6.1. local-only – ограничивает доступ частными IP-диапазонами (RFC 1918).
Применяется для сервисов с access=“local-only” и для internal.

6.2. geoblock-set-header – добавляет заголовок X-IPCountry с кодом страны.
Не блокирует, только добавляет информацию. Использует внешнее API
get.geojs.io (можно заменить при необходимости).

6.3. geoblock-ru-only – блокирует запросы из России (blackListMode=true,
countries=[“RU”]). Используется при geoblock=true или protectedRU=true.

6.4. geoblock-block-nonru – блокирует запросы не из России (белый список только RU).
Используется при protectedNoneRU=true.

6.5. redirect-to-https – перенаправляет HTTP-запросы на HTTPS (код 308).
Используется в роутере redirect-http.

6.6. Middleware для аутентификации:
• set-auth-cookie – устанавливает cookie auth_session при успешном входе.
• strip-auth-param – удаляет параметр ?a=… из URL после входа.
• login-chain – цепочка из двух вышеуказанных.
• delete-auth-cookie – удаляет cookie (для выхода).
• redirect-to-root – редирект на корень после выхода.
• logout-chain – цепочка удаления cookie + редирект.

================================================================================

7. РОУТЕР ДЛЯ ВХОДА (auth-enter)

Правило срабатывает, если:
• Есть параметр a со значением, совпадающим с одним из ключей в $authKeys.
• Хост запроса входит в список $authRequiredHosts.
При совпадении выполняется цепочка login-chain: устанавливается cookie и
удаляется параметр a (редирект на тот же URL без параметра). Роутер работает
только на HTTPS (entryPoint websecure) и использует резолвер le-http.

================================================================================

8. ГЕНЕРАЦИЯ СЕРВИСОВ И РОУТЕРОВ (ЛОГИКА РАБОТЫ)

Для каждого базового домена из $baseDomains и каждого поддомена из $subdomains
с совпадающим domain создаются объекты Traefik. Чтобы избежать коллизий,
для каждого сервиса генерируется уникальное имя $baseName, включающее все
значимые поля.

8.1. Internal (access = “internal”)
• Создаётся только роутер с middleware local-only, указывающий на
api@internal. Поля serviceType, ip, port, staticRoot, redirectTarget
полностью игнорируются. Для единообразия рекомендуется serviceType=“proxy”.
• Пример: дашборд Traefik.

8.2. Redirect (serviceType = “redirect”)
• Создаётся middleware redirectRegex с target = redirectTarget.
• Бэкенд не требуется, сервис всегда api@internal.
• В зависимости от защиты создаются роутеры -logout, -auth, -public
с соответствующими middleware.

8.3. Static (serviceType = “static”)
• Создаётся middleware statiq с Root = staticRoot.
• Бэкенд не требуется, сервис api@internal.
• Роутеры аналогично redirect.

8.4. Proxy (serviceType = “proxy” или не указан)
• Создаётся HTTP-сервис (loadBalancer) с указанными protocol, ip, port.
• Если есть защита (geoblock, protectedRU, protectedNoneRU), генерируются
три роутера:

• logout (путь /lo) – удаляет cookie и редиректит на корень.
• auth (с cookie) – для авторизованных пользователей.
• public (без cookie) – для всех остальных, с middleware геоблокировки.
  • Если защиты нет – один роутер с geoblock-set-header и, при необходимости,
  local-only.

Приоритеты роутеров:
• logout – 200
• auth – 100
• public – 90
• незащищённый proxy – 50 + длина pathPrefix (более длинные пути имеют больший
приоритет, что позволяет правильно обрабатывать пересекающиеся пути).

================================================================================

9. РОУТЕР ДЛЯ РЕДИРЕКТА HTTP → HTTPS (redirect-http)

Этот роутер работает на entryPoint “web” (порт 80) и перенаправляет все запросы
на HTTPS для доменов, которые должны использовать HTTPS (certResolver не “stub”).
Правило строится как объединение всех таких хостов через OR. Приоритет установлен
в 1, чтобы он не мешал другим возможным роутерам на порту 80 (например, для stub-доменов).

================================================================================

10. ОСОБЕННОСТИ РАБОТЫ С УДАЛЁННЫМ СЕРВЕРОМ (NGINX)

В вашей инфраструктуре есть удалённый сервер с реальным IP 185.12.45.67,
который терминирует SSL-соединения для доменов *.remote3.fbx.one и проксирует
трафик на OPNsense (192.168.1.1). Важно понимать, какую схему вы используете
для каждого поддомена.

10.1. Схема для stub-доменов (certResolver=“stub”)

Эти домены не требуют HTTPS на стороне OPNsense. Удалённый сервер должен
проксировать трафик на порт 80 OPNsense по HTTP.
Пример конфигурации NGINX для ad.remote3.fbx.one (stub):

server {
server_name ad.remote3.fbx.one;
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/ad.remote3.fbx.one/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/ad.remote3.fbx.one/privkey.pem;

      location / {
          proxy_pass http://192.168.1.1:80;   # важно: HTTP, не HTTPS
          proxy_set_header Host $host;
          proxy_set_header X-Real-IP $remote_addr;
          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
          proxy_set_header X-Forwarded-Proto $scheme;
      }
  }
  --------------------------------------------------------------------

10.2. Схема для доменов с le-http (certResolver=“le-http”)

Эти домены должны обслуживаться через HTTPS на OPNsense. Удалённый сервер
должен проксировать трафик на порт 443 OPNsense по HTTPS (возможно, с
проверкой сертификата или с отключённой проверкой, если используется
самоподписанный или локальный сертификат). Traefik на OPNsense будет
сам получать сертификаты Let’s Encrypt для этих доменов.
Пример конфигурации NGINX для ad.remote3.fbx.one (le-http):

server {
server_name ad.remote3.fbx.one;
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/ad.remote3.fbx.one/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/ad.remote3.fbx.one/privkey.pem;

      location / {
          proxy_pass https://192.168.1.1:443;   # прокси на HTTPS
          proxy_ssl_verify off;                  # если сертификат OPNsense самоподписанный
          proxy_set_header Host $host;
          proxy_set_header X-Real-IP $remote_addr;
          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
          proxy_set_header X-Forwarded-Proto $scheme;
      }
  }
  --------------------------------------------------------------------
  Если вы используете доверенные сертификаты (например, от Let's Encrypt и на OPNsense),
  можно включить проверку (proxy_ssl_verify on). Но проще оставить off.

10.3. Важное замечание
Для stub-доменов обязательно убедитесь, что в записи subdomain указан
certResolver=“stub”. Тогда Traefik направит запрос на entryPoint “web” (порт 80),
и редирект redirect-http не сработает, так как эти домены не входят в $httpsHosts.
Для доменов с le-http запросы на порт 80 будут перенаправлены на HTTPS
через роутер redirect-http, что обеспечит корректную работу.

================================================================================

11. ПРИМЕРЫ ДОБАВЛЕНИЯ СЕРВИСОВ

11.1. Обычный поддомен с HTTPS (например, ad.remote3.fbx.one)
(dict “device” “xorek” “name” “ad” “subservice” “ad” “domain” “remote3.fbx.one”
“ip” “192.168.1.55” “port” 5001 “pathPrefix” “/” “protocol” “https”
“serviceType” “proxy” “access” “public” “geoblock” false
“protectedRU” false “protectedNoneRU” false “staticRoot” “stub”
“redirectTarget” “stub” “certResolver” “le-http”)

11.2. Корневой домен с HTTP (stub) (например, remote3.fbx.one)
(dict “device” “xorek” “name” “/” “subservice” “/” “domain” “remote3.fbx.one”
“ip” “192.168.1.55” “port” 8087 “pathPrefix” “/” “protocol” “http”
“serviceType” “proxy” “access” “public” “geoblock” false
“protectedRU” false “protectedNoneRU” false “staticRoot” “stub”
“redirectTarget” “stub” “certResolver” “stub”)
Обратите внимание: name=“/” указывает на корневой домен, а certResolver=“stub”
обеспечивает работу через HTTP.

11.3. Защищённый сервис (требуется авторизация для России)
(dict “device” “ds218+” “name” “book” “subservice” “book” “domain” “domen1.synology.me”
“ip” “192.168.1.55” “port” 8099 “pathPrefix” “/” “protocol” “http”
“serviceType” “proxy” “access” “public” “geoblock” false
“protectedRU” true “protectedNoneRU” false “staticRoot” “stub”
“redirectTarget” “stub” “certResolver” “le-http”)

11.4. Редирект (например, glance.remote1.fbx.one → https://glance.domen1.synology.me)
(dict “device” “ds218+” “name” “glance” “subservice” “glance” “domain” “remote1.fbx.one”
“ip” “192.168.1.55” “port” 8087 “pathPrefix” “/” “protocol” “http”
“serviceType” “redirect” “access” “public” “geoblock” false
“protectedRU” false “protectedNoneRU” false “staticRoot” “stub”
“redirectTarget” “https://glance.domen1.synology.me” “certResolver” “le-http”)

11.5. Статический файловый сервер (auth.domen1.synology.me)
(dict “device” “ds218+” “name” “auth” “subservice” “auth” “domain” “domen1.synology.me”
“ip” “192.168.1.55” “port” 9000 “pathPrefix” “/” “protocol” “http”
“serviceType” “static” “access” “public” “geoblock” false
“protectedRU” false “protectedNoneRU” false “staticRoot” “/srv/www”
“redirectTarget” “stub” “certResolver” “le-http”)

11.6. Внутренний дашборд Traefik (traefik.domen1.synology.me)
(dict “device” “ds218+” “name” “traefik” “subservice” “dashboard” “domain” “domen1.synology.me”
“ip” “stub” “port” 443 “pathPrefix” “/” “protocol” “https”
“serviceType” “proxy” “access” “internal” “geoblock” false
“protectedRU” false “protectedNoneRU” false “staticRoot” “stub”
“redirectTarget” “stub” “certResolver” “le-http”)

================================================================================

12. УСТРАНЕНИЕ НЕИСПРАВНОСТЕЙ (ОТЛАДКА)

12.1. Gateway Timeout (504)
• Проверьте, доступен ли бэкенд по указанным IP и порту с хоста OPNsense:
curl -I http://192.168.1.55:8087
• Для gRPC (h2c) проверьте поддержку протокола бэкендом.
• Убедитесь, что firewall не блокирует соединение.

12.2. 403 Forbidden
• Сработала геоблокировка. Проверьте флаги geoblock, protectedRU, protectedNoneRU.
• Убедитесь, что для local-only сервисов запрос идёт с локального IP.

12.3. 401 Unauthorized
• Требуется авторизация по ключу. Передайте ?a=ключ или убедитесь, что cookie
auth_session установлена и не просрочена.

12.4. Редирект не работает
• Проверьте redirectTarget – должен быть полным URL с протоколом.
• Убедитесь, что serviceType=“redirect” указан верно.

12.5. Статические файлы не отдаются
• Проверьте, существует ли указанная в staticRoot директория и доступна ли она для чтения процессом Traefik.
Например, для staticRoot = “/srv/www” выполните:
ls -ld /srv/www
Ожидаемый вывод:
drwxr-xr-x 2 traefik traefik 4096 мар 10 12:00 /srv/www
• Если директория не существует, создайте её:
mkdir -p /srv/www
• Убедитесь, что владельцем является пользователь, от которого запущен Traefik.
Узнайте пользователя Traefik:
ps aux | grep traefik
Обычно это пользователь traefik или nobody. Если это traefik, установите владельца:
chown -R traefik:traefik /srv/www
• Если владелец другой, но достаточно прав на чтение для всех, проверьте права:
chmod -R 755 /srv/www (даёт чтение и выполнение для всех)
• Проверьте, что внутри директории есть файлы, которые должен отдавать сервер.
• Убедитесь, что плагин statiq загружен в статической конфигурации Traefik
(секция experimental.plugins должна содержать statiq).

  • **Что будет, если директория /srv/www отсутствует или пуста, но при этом в конфигурации есть сервис с staticRoot = "/srv/www"?**
    - Если директория **отсутствует**: при запуске Traefik или при первом обращении к этому сервису в логах появятся ошибки вида
      `plugin/statiq: cannot read directory /srv/www: no such file or directory`, и запросы будут завершаться ошибкой 500 (Internal Server Error) или 404.
    - Если директория **существует, но пуста**: Traefik будет корректно обрабатывать запросы, но для любого запрошенного пути будет возвращать **404 Not Found**, поскольку файлы не найдены. Ошибок в логах Traefik (уровня ERROR) при этом не возникнет, только обычные записи о 404 в access-логе.
    - Если директория **не используется** (нет сервисов с staticRoot = "/srv/www"), то её отсутствие или пустота никак не влияют на работу Traefik.

12.6. Логи Traefik
• Для просмотра логов доступа выполните на OPNsense:
tail -f /var/log/traefik/access.log
• Для просмотра ошибок:
tail -f /var/log/traefik/traefik.log | grep ERR
• Также можно использовать API Traefik для просмотра созданных роутеров:
curl http://127.0.0.1:8080/api/http/routers | jq ‘. | select(.rule | contains(“remote3”))’

12.7. Проблемы с сертификатами (для доменов с le-http)
• Проверьте, что домен доступен из интернета для HTTP-01 challenge (порт 80).
• Посмотрите логи получения сертификата:
tail -f /var/log/traefik/traefik.log | grep -i “acme|remote3”
• Убедитесь, что в статической конфигурации правильно указан email и storage.

12.8. Проблемы с удалённым сервером
• С удалённого сервера проверьте доступность порта 80 OPNsense:
curl -I http://192.168.1.1:80 -H “Host: ad.remote3.fbx.one”
• Должен вернуться либо ответ от бэкенда (если stub), либо редирект 308 (если le-http).
• Если возвращается 308, значит домен требует HTTPS, и вам нужно либо перевести его в stub,
либо настроить прокси на HTTPS (см. раздел 9.2).

================================================================================

13. ЗАКЛЮЧЕНИЕ

Данная конфигурация позволяет централизованно управлять доступом к множеству
сервисов через один файл, используя декларативный подход. Благодаря шаблонизации
поддерживаются сложные сценарии: геоблокировка, авторизация по ключу, редиректы
и статические файлы, включая корневые домены. Правильная настройка удалённого
сервера (NGINX) в паре с Traefik обеспечивает безопасный доступ из интернета
с использованием внешнего SSL-терминатора.

Следуя приведённым инструкциям и примерам, вы сможете быстро добавлять новые
сервисы и изменять существующие без риска нарушить работу других. После любого
изменения файла не забудьте перезапустить Traefik (в OPNsense через GUI или
командой service traefik restart). При возникновении проблем используйте
раздел отладки для диагностики.

# Traefik динамическая конфигурация для скачивания

# Traefik global configuration для скачивания