feat: soporte para dominios FQDN con detección automática de zona DNS

Añade soporte completo para usar dominios FQDN externos (ejemplo.com,
kipu.latina.red, etc.) además de subdominios .abyaya.la.

Cambios principales:
- Generación automática de subdominio .abyaya.la como alias
- Detección automática de TLDs compuestos (.com.ar, .co.uk, etc.)
- Actualización DNS multi-zona en Knot
- Procesamiento de múltiples dominios por servicio
- Certificados SSL para todos los dominios + wildcards

La detección de tipo de dominio (FQDN vs subdominio) es completamente
automática basada en el sufijo .abyaya.la.

Ver FQDN_AUTHORITATIVE.md para documentación completa.

FQDN_AUTHORITATIVE.md

@@ -0,0 +1,133 @@
+# Soporte para Dominios FQDN Autoritativos
+
+Esta feature añade soporte para usar dominios FQDN externos (ejemplo.com, kipu.latina.red, etc.) además de subdominios .abyaya.la.
+
+## Cambios Implementados
+
+### 1. Generación Automática de Subdominio Default
+
+Cuando se define un dominio FQDN, el sistema genera automáticamente un subdominio `.abyaya.la` basado en el `service_name` que funciona como alias.
+
+**Ejemplo:**
+```yaml
+- service_name: kipu
+  domains:
+    - kipu.latina.red
+  nodo: kipu.comun
+  force_https: yes
+```
+
+El sistema automáticamente añade `kipu.abyaya.la` a la lista de dominios, por lo que ambos dominios funcionarán y redirigirán al primero de la lista.
+
+### 2. Soporte para TLDs Compuestos
+
+El sistema detecta automáticamente TLDs compuestos como `.com.ar`, `.co.uk`, `.com.br`, etc., y extrae correctamente la zona DNS.
+
+**TLDs soportados:**
+- com.ar, gov.ar, org.ar, gob.ar, net.ar, mil.ar, edu.ar
+- com.mx
+- co.uk
+- com.br
+- co.nz, net.nz, org.nz
+
+Para añadir más TLDs, editar `roles/knsupdate/vars/main.yml`.
+
+### 3. Actualización DNS Multi-Zona
+
+El sistema ahora actualiza correctamente el DNS en Knot para cada dominio según su tipo:
+
+- **Subdominios .abyaya.la**: Se actualizan en la zona `abyaya.la.`
+- **FQDN autoritativos**: Se actualizan en su zona correspondiente (ej: `latina.red.`, `example.com.ar.`)
+
+La detección es **completamente automática** basada en el sufijo del dominio.
+
+## Uso
+
+### Caso Básico: Solo FQDN
+
+```yaml
+- service_name: ejemplo
+  domains:
+    - ejemplo.latina.red
+  nodo: ejemplo.comun
+  force_https: yes
+```
+
+**Resultado:**
+- `ejemplo.latina.red` → Dominio principal (detectado como FQDN)
+- `ejemplo.abyaya.la` → Generado automáticamente como alias
+- Ambos tienen certificados SSL wildcard
+- Ambos redirigen al primero (ejemplo.latina.red)
+
+### Caso Avanzado: Múltiples Dominios
+
+```yaml
+- service_name: miapp
+  domains:
+    - miapp.com.ar
+    - miapp.latina.red
+    - miapp.abyaya.la
+  nodo: miapp.comun
+  force_https: yes
+```
+
+**Resultado:**
+- Los tres dominios funcionan
+- Todos redirigen al primero (miapp.com.ar)
+- Certificados SSL para cada dominio + wildcards
+- DNS actualizado en zonas: `com.ar.`, `latina.red.`, `abyaya.la.`
+
+### Subdominios de FQDN
+
+```yaml
+- service_name: api
+  domains:
+    - api.ejemplo.com.ar
+  nodo: api.comun
+  force_https: yes
+```
+
+**Resultado:**
+- `api.ejemplo.com.ar` → Dominio principal (hostname: api, zona: com.ar.)
+- `api.abyaya.la` → Generado automáticamente
+
+## Archivos Modificados
+
+1. **roles/proxy/tasks/main.yml**: Añade dominio default .abyaya.la automáticamente
+2. **roles/knsupdate/vars/main.yml**: Lista de TLDs compuestos
+3. **roles/knsupdate/tasks/update.yml**: Procesa múltiples dominios
+4. **roles/knsupdate/tasks/update_domain.yml**: Nuevo archivo que detecta tipo de dominio
+5. **roles/knsupdate/tasks/templates/commands.j2**: Usa zona y hostname dinámicos
+
+## Comportamiento de Certificados SSL
+
+Certbot obtiene certificados para **todos** los dominios listados más sus wildcards:
+
+```bash
+certbot certonly -d ejemplo.com.ar -d *.ejemplo.com.ar -d ejemplo.abyaya.la -d *.ejemplo.abyaya.la
+```
+
+Usa el método `dns-standalone` que requiere que el proxy controle el DNS autoritativo. Esto funciona porque knsupdate actualiza Knot con todos los dominios.
+
+## Migración desde Configuración Anterior
+
+La configuración anterior sigue funcionando sin cambios:
+
+```yaml
+- service_name: viejo
+  domains:
+    - viejo.abyaya.la
+  nodo: viejo.comun
+  force_https: yes
+```
+
+Todo funciona exactamente igual para subdominios .abyaya.la existentes.
+
+## Notas Técnicas
+
+- La detección de tipo de dominio es **completamente automática** basada en el sufijo `.abyaya.la`
+- Los subdominios .abyaya.la siempre se generan automáticamente si no están presentes
+- La zona DNS se detecta automáticamente considerando TLDs simples y compuestos
+- Todos los dominios apuntan al mismo nodo en la VPN
+- El primer dominio en la lista es considerado el principal para certificados SSL
+- No se requiere ningún flag especial en la configuración

abyayala.yml

@@ -217,8 +217,9 @@ matrix:
   - service_name: kipu
     domains:
       - kipu.abyaya.la
+      - kipu.latina.red
     nodo: kipu.comun
-    force_https: yes
+    ssl: no
 
   - service_name: carabobolibre
     domains:

roles/knsupdate/tasks/templates/commands.j2

@@ -1,14 +1,19 @@
 {% for dns_server in dns_servers %}
 server {{ dns_server }}
-zone abyaya.la.
-origin abyaya.la.
+zone {{ zone }}
+origin {{ zone }}
 ttl 60
-del {{ vho }} a
-del {{ vho }} ns
-add {{ vho }} a {{ host_ip }}
-add *.{{ vho }} a {{ host_ip }}
-add _acme-challenge.{{ vho }} a {{ host_ip }}
-add _acme-challenge.{{ vho }} ns _acme-challenge
+del {{ hostname }} a
+del {{ hostname }} ns
+add {{ hostname }} a {{ host_ip }}
+{% if is_abyayala_subdomain %}
+add *.{{ hostname }} a {{ host_ip }}
+{% else %}
+add {{ domain }} a {{ host_ip }}
+add *.{{ domain }} a {{ host_ip }}
+{% endif %}
+add _acme-challenge.{{ hostname }} a {{ host_ip }}
+add _acme-challenge.{{ hostname }} ns _acme-challenge
 {% if vhost.dns_extras is defined %}
 {% for dns_extra in vhost.dns_extras %}
 {{ dns_extra }}

roles/knsupdate/tasks/update.yml

@@ -1,7 +1,5 @@
-    - set_fact:
-        vho: "{{ vhost.domains[0] | regex_replace('([a-z0-9]+)\\.abyaya\\.la', '\\1')}}"
-
-    - name: knsupdate
-      shell: knsupdate
-      args:
-        stdin: "{{ lookup('template', 'templates/commands.j2') }}"
+    - name: process each domain in the list
+      include_tasks: update_domain.yml
+      with_items: "{{ vhost.domains }}"
+      loop_control:
+        loop_var: domain

roles/knsupdate/tasks/update_domain.yml

@@ -0,0 +1,36 @@
+    - set_fact:
+        is_abyayala_subdomain: "{{ domain.endswith('.abyaya.la') }}"
+
+    - name: extract zone and hostname for abyaya.la subdomains
+      set_fact:
+        zone: "abyaya.la."
+        hostname: "{{ domain | regex_replace('([a-z0-9-]+)\\.abyaya\\.la', '\\1') }}"
+      when: is_abyayala_subdomain
+
+    - name: split domain into parts
+      set_fact:
+        domain_parts: "{{ domain.split('.') }}"
+      when: not is_abyayala_subdomain
+
+    - name: detect if domain uses compound TLD
+      set_fact:
+        domain_suffix_2: "{{ domain_parts[-2:] | join('.') }}"
+        uses_compound_tld: "{{ domain_parts[-2:] | join('.') in compound_tlds }}"
+      when: not is_abyayala_subdomain
+
+    - name: extract zone and hostname for FQDN with compound TLD
+      set_fact:
+        zone: "{{ domain_parts[-3:] | join('.') }}."
+        hostname: "{{ domain_parts[:-3] | join('.') if domain_parts | length > 3 else '@' }}"
+      when: not is_abyayala_subdomain and uses_compound_tld
+
+    - name: extract zone and hostname for FQDN with simple TLD
+      set_fact:
+        zone: "{{ domain_parts[-2:] | join('.') }}."
+        hostname: "{{ domain_parts[:-2] | join('.') if domain_parts | length > 2 else '@' }}"
+      when: not is_abyayala_subdomain and not uses_compound_tld
+
+    - name: knsupdate for this domain
+      shell: knsupdate
+      args:
+        stdin: "{{ lookup('template', 'templates/commands.j2') }}"

roles/knsupdate/vars/main.yml

@@ -3,3 +3,18 @@ dns_servers:
 - "athshe.sutty.nl"
 - "gethen.sutty.nl"
 - "ganam.sutty.nl"
+
+compound_tlds:
+  - com.ar
+  - com.mx
+  - co.uk
+  - com.br
+  - gov.ar
+  - org.ar
+  - gob.ar
+  - net.ar
+  - mil.ar
+  - edu.ar
+  - co.nz
+  - net.nz
+  - org.nz

roles/proxy/tasks/main.yml

@@ -48,6 +48,21 @@
           loop_control:
             loop_var: domino
 
+        - name: add default abyaya.la subdomain if not present
+          set_fact:
+            matrix_loop_with_defaults: "{{ matrix_loop_with_defaults | default([]) | union([ item_with_default ]) }}"
+          vars:
+            has_abyayala_domain: "{{ item.domains | select('match', '.*\\.abyaya\\.la$') | list | length > 0 }}"
+            default_domain: "{{ item.service_name }}.abyaya.la"
+            domains_with_default: "{{ item.domains + [default_domain] if not has_abyayala_domain else item.domains }}"
+            item_with_default: "{{ item | combine({'domains': domains_with_default}) }}"
+          with_items: "{{ matrix_loop | default([]) }}"
+
+        - name: update matrix_loop with defaults
+          set_fact:
+            matrix_loop: "{{ matrix_loop_with_defaults }}"
+          when: matrix_loop_with_defaults is defined
+
         - name: certificates loop
           include_tasks: ../../certbot/tasks/certbot.yml
           with_items: "{{ matrix_loop | default([]) }}"

roles/proxy/templates/default_proxy.conf

@@ -15,7 +15,7 @@
         client_max_body_size 1G;
         proxy_ssl_verify off;
         proxy_ssl_server_name on;
-        proxy_ssl_name $ssl_server_name;
+        proxy_ssl_name $host;
 
         proxy_pass https://$comun_{{ vhost.nodo | replace(".", "") }};