路由器将自己的 SSL 证书而不是我的域提供给 LAN 主机

Question

我在 Docker 容器中的 NAS 上安装了 nextcloud 服务，该服务可通过 FQDN 从 Internet 访问，为此我生成了通配符 Letsencrypt 证书。 反向代理 (Traefik) 正在向服务分派请求并处理 http/https。

在我的 LAN 之外一切正常，但从本地网络连接到 nextcloud 会出现证书错误。 例如，尝试从 Firefox 打开 nextcloud 主页会给出：

nextcloud.yourdomain.com uses an invalid security certificate.
The certificate is not trusted because it is self-signed.
Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
View Certificate

点击“查看证书”实际上显示的是路由器自己的证书。

作为附加信息，即使在 LAN 内，我的 nextcloud 服务 FQDN 也已正确解析为我的路由器的公共 IP 地址，即

ping nextcloud.yourdomain.com

正确返回我的路由器的公共 IP 地址。

我怎样才能避免这种情况？为什么路由器使用自己的证书来传输到我 LAN 内的主机的 https 流量，而不是我域的 Letsencrypt 证书，就像从 LAN 外部发生的一样？

显然，反向代理或 NAS 不应受到指责，因为 https 请求甚至没有到达它们。

您能帮我解决一些其他问题吗？ 谢谢 PI

Answer 1

您使用的外部 IP 地址实际上是您的路由器的 IP 地址。对于来自外部（即互联网）的流量，有一个端口转发规则可以将此流量转发到内部服务器。对于来自内部的流量，不会应用此端口转发 - 这是您的特定路由器的工作方式。由于实际上有一个服务在同一个端口（路由器的管理界面）上运行，并且可以从内部访问，因此将使用它来代替。

请注意，这就是这个特定路由器的工作方式。不同的路由器可能会将端口转发应用于内部和外部流量。在这种情况下，它也需要支持NAT loopback。

一种解决方法是使用拆分 DNS，即通过公共 IP 地址从外部访问 nextcloud，并通过内部 IP 地址从内部访问 nextcloud。是否可以使用您已经拥有的系统完成这样的设置是未知的。