Изначально настройка моего блога планировалась как чисто IPv6-проект через WireGuard, так как всё это работает на домашнем сервере (кстати, бесплатные IPv6-адреса можно получить на route64.org). Чтобы повысить доступность, я добавил внешний IPv4-прокси (спасибо @Larvitz).

При этом сразу возникли проблемы с SSL: так как изначально и A-, и AAAA-записи шли через прокси, проверка Let's Encrypt на моем сервере завершалась ошибкой.

Решение: «IPv6-хак»

Решение заключалось в том, чтобы явно направить AAAA-запись напрямую на WireGuard-IP моего сервера, вместо того чтобы также пропускать её через прокси.

• Домен: blog.burningboard.org
• A-запись (прокси): 194.28.98.217
• AAAA-запись (сервер): 2a11:6c7:f05:a8::2 (WireGuard)

Благодаря этой прямой AAAA-записи на мой WireGuard-IP, Let’s Encrypt по-прежнему обращается к моему серверу напрямую через IPv6 (так как AAAA-запись имеет приоритет по умолчанию) и выпускает SSL-сертификат. IPv4-трафик передается мне прокси-сервером в зашифрованном виде.

Финальная конфигурация

Чтобы взаимодействие работало без сбоев, нам пришлось подправить конфигурацию серверов Caddy:

1. На моем сервере (NixOS, blog.nix)

Чтобы реальные IP-адреса посетителей доходили корректно и не перезаписывались IP-адресом прокси, его необходимо пометить как доверенный:

services.caddy.globalConfig = ''
  servers {
      trusted_proxies static 2a06:9801:1c:1000::10
  }
'';

2. На внешнем прокси (Caddy)

Чтобы прокси корректно обращался к моему серверу по HTTPS, он должен передавать имя хоста (SNI):

reverse_proxy [https://[2a11:6c7:f05:a8::2]:443](https://[2a11:6c7:f05:a8::2]:443) {
    header_up Host {host}
    transport http {
        tls_server_name blog.burningboard.org
    }
}

Теперь блог доступен через IPv4 и IPv6, надежно зашифрован, а мой домашний IP при этом остается приватным! 🚀