Nginx не проксирует на удаленный хост?

Question

Rick @rick1211

Nginx не проксирует на удаленный хост?

Здравствуйте!

Столкнулся с проблемой, что nginx не проксирует удаленный хост. На удаленном хосте крутится onlyoffice из docker-а.
Когда открываю приложение по ip/имени:порт -удаленный сервер с офисом работает.
Виртуальный стенд находится в локальной сети.

Конфиг на nginx:

server {
server_name apps.lab.lan;
rewrite ^ https://apps.lab.lan$request_uri? permanent;
}

server {
listen 80;
listen 443 ssl;
server_name apps.lab.lan;

ssl_certificate /home/ssl/apps-certs/apps.lab.lan.crt;
ssl_certificate_key /home/ssl/apps-certs/apps.lab.lan.key;
ssl_session_cache off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL;

gzip on;
gzip_min_length 1000;
gzip_http_version 1.0;
gzip_vary on;
gzip_comp_level 5;
gzip_proxied any;
gzip_types text/plain text/css text/javascript application/json;

client_max_body_size 100m;

location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass https://192.168.1.27:9443;
proxy_connect_timeout 60s;
proxy_read_timeout 60s;
proxy_send_timeout 60s;
proxy_ssl_verify off;
proxy_request_buffering off;

}
}

В логе nginx иногда проскакивает такие warning-и.

2017/10/03 17:58:38 [warn] 2522#2522: conflicting server name "apps.lab.lan" on 0.0.0.0:80, ignored

С хоста Nginx реверс-прокси на другое приложение срабатывает, но они находятся на одном хосте, а на удаленный хост не работает. Сертификаты самоподписаные.

Конфиг, почти такой, только хедеры отличаются в зависимости от приложения.

Любая информация на эту тему будет актуальна, траблшутинг и замечания.
Заранее благодарствую!

Вопрос задан более трёх лет назад
1572 просмотра

13 комментариев

Подписаться 1 Простой 13 комментариев

Пригласить эксперта

Ответы на вопрос 2

1 комментарий

Rick @rick1211 Автор вопроса

Спасибо за ответ. Попробовал как вы сказали, но все так же не проксирует на другой хост. Ошибок - нет. Но страница не доступна.
Пробовал и по ip-адресу и по имени, разницы особо нет. Отдельно сервер работает.

Логи чистые:
access.log
192.168.1.10 - - [04/Oct/2017:12:26:22 +0300] "POST /heartbeat HTTP/1.1" 200 31 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"

Error.log
2017/10/04 12:28:17 [notice] 3331#3331: signal process started

Вот измененный конфиг:

server {
server_name apps.lab.lan;
rewrite ^ https://apps.lab.lan$request_uri? permanent;
}

upstream apps {
server apps.lab.lan:9443;
}

server {

listen 80;
listen 443 ssl;

ssl_certificate /home/ssl/apps-certs/apps.lab.lan.crt;
ssl_certificate_key /home/ssl/apps-certs/apps.lab.lan.key;
ssl_session_cache off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL;

gzip on;
gzip_min_length 1000;
gzip_http_version 1.0;
gzip_vary on;
gzip_comp_level 5;
gzip_proxied any;
gzip_types text/plain text/css text/javascript application/json;

client_max_body_size 100m;

location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass https://apps;
proxy_connect_timeout 60s;
proxy_read_timeout 60s;
proxy_send_timeout 60s;
proxy_ssl_verify off;
proxy_request_buffering off;

}
}

Написано более трёх лет назад

7 комментариев

Rick @rick1211 Автор вопроса

По этой документации и настраивалось проксирование. Только проксируем с https на https. Только в этом разница.

Написано более трёх лет назад
Михаил Григорьев @Sleuthhound

Rick, включайте логгирование на nginx и на стороне onlyoffice

Попробуйте еще добавить в location / директиву proxy_redirect off;

Написано более трёх лет назад
Михаил Григорьев @Sleuthhound

Перенес пример выше в мой комментарий.

Написано более трёх лет назад
Rick @rick1211 Автор вопроса

Михаил Григорьев, Логирование включено, на двух сторонах:
access.log
192.168.1.41 - - [04/Oct/2017:19:30:38 +0300] "GET /ocs/v2.php/apps/notifications/api/v2/notifications HTTP/1.1" 200 1900 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"
192.168.1.41 - - [04/Oct/2017:19:43:10 +0300] "POST /heartbeat HTTP/1.1" 200 31 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"
err.log
2017/10/04 19:43:25 [notice] 4580#4580: signal process started

Проксирование на удаленный хост там не отображается.

Написано более трёх лет назад
Rick @rick1211 Автор вопроса

Михаил Григорьев, Попробовал некоторые блоки из вашего конфига, к сожалению безуспешно.

Написано более трёх лет назад
Михаил Григорьев @Sleuthhound
Rick, на удаленном хосте тоже нужно логи смотреть

1. Проверьте с сервера где стоит frontend с помощью curl что отдает хост 192.168.1.27:9443
если ssl сертификат самоподписной (опция -k)
curl -D - -o /dev/null -k -s https://192.168.1.27:9443

2. включите логи на frontend и на backend, в частности error_log в режиме debug
на frontend конфиг nginx для логгирования можно сделать такого вида:
http { ... log_format upstream_log '[$time_local] $remote_addr - $remote_user - $server_name to: $upstream_addr: $request upstream_response_time $upstream_response_time msec $msec request_time $request_time'; upstream onlyoffice { server 192.168.1.27:9443 fail_timeout=0; } ... server { ... access_log /var/log/nginx/onlyoffice-access.log upstream_log; error_log /var/log/nginx/onlyoffice-error.log debug; location / { proxy_pass https://onlyoffice; ... } ... }

3. Попробуйте поставить proxy_ssl_session_reuse off;
Написано более трёх лет назад
Михаил Григорьев @Sleuthhound

Логи с frontend и backend выкладывайте сюда. Полный конфиг nginx с frontend тоже выкладывайте.
У меня реально работает и проксирует на backend с самоподписными ssl сертификатами. На frontend у меня сертификат от letsencrypt.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+2 ещё

Простой
Почему centos не видет lvm pv на shared iscsi lun?
- 1 подписчик
- 59 минут назад
- 17 просмотров
0

ответов
Linux

+2 ещё

Простой
Как правильно настроить SSH и RDP через reverse ssh через третий хост?
- 1 подписчик
- 5 часов назад
- 51 просмотр
0

ответов
Linux

+2 ещё

Простой
Как создать ICQ сервер?
- 1 подписчик
- 14 часов назад
- 209 просмотров
2

ответа
Linux

+1 ещё

Простой
Как исправить ошибку?
- 1 подписчик
- 17 часов назад
- 91 просмотр
1

ответ
Linux

+1 ещё

Простой
Как выполнить rm без ошибок?
- 1 подписчик
- 18 часов назад
- 98 просмотров
3

ответа
Linux

+1 ещё

Простой
Как изменить /dev/sda на другое название, и последствия?
- 1 подписчик
- 20 часов назад
- 104 просмотра
3

ответа
Linux

+2 ещё

Простой
Linux (Ubuntu, Gnome) необходимо небольшое окошко поверх всех остальных окон?
- 1 подписчик
- вчера
- 217 просмотров
2

ответа
Linux

+3 ещё

Средний
Как исправить раздел LVM — отсутствует верная таблица разделов?
- 1 подписчик
- вчера
- 79 просмотров
1

ответ
Linux

+1 ещё

Простой
Как правильно передать значения к переменную внутри команды curl?
- 1 подписчик
- вчера
- 86 просмотров
4

ответа
Linux

+1 ещё

Средний
Как исправить ошибку «Meego grubby fatal error: unable to find a suitable template»?
- 1 подписчик
- вчера
- 51 просмотр
1

ответ
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Программист C/C++ embedded Linux

РТК Автоматика • Москва

от 170 000 до 250 000 ₽

Нарисовать рекламный креатив для ios приложения

25 апр. 2024, в 12:26

10000 руб./за проект

Верстка

25 апр. 2024, в 12:23

2500 руб./за проект

ASO дизайн для ios приложения (Иконка+Скриншоты)

25 апр. 2024, в 12:21

10000 руб./за проект

Варнинг исправил. 2 раза был сервак. Но не проксирует по прежнему.
Владимир Муковоз, К сожалению нет, сейчас пробую разніе конфигурации, но при вводе в строку браузера apps.lab.lan он не редиректит на https://apps.lab.lan:8443
Rick, это потому что ты передаёшь строку host))) Не передавай её и не будет)))
proxy_set_header Host $http_host;
Я про это строку) ))))

Хотя могу ошибаться, покажи виртуальный хост для
https://192.168.1.27:9443;
Владимир Муковоз, не дело в этой строке "proxy_set_header Host $http_host;" Попробовал и без неё.
Не понял про виртуальный хост ? в Nginx идет проксирование на другую машину с ip-шником. Конфиг вверху.
Rick, ну так редиректит конфиг который находится там. На той машине) Тут даже директивы такой нет.
Владимир Муковоз, на другой машине крутится приложение на порту 9443, когда я ввожу адрес в браузере https://192.168.1.27:9443, приложение открывается. На другом хосте нет никаких конфигов.
Rick, сделай на сервере с которого собрался проксировать
wget https://192.168.1.27:9443
и посмотри что скачается и не переадресует ли вгет тоже)
Владимир Муковоз, да переадресовывает, только на сертификат ругается.
Rick, ну так как ты видишь текущий сервер не виноват что идёт переадресация. Разбираться надо с тем который хочешь проксировать.
Владимир Муковоз, Да, но дело в том, что другой сервер, тоже видит тот, который проксирует.
Rick, редирект делает тот сервер, который ты собрался проксировать. Понятно одно что срабатывает какое-то условие с этим сервером, но условие прописано там, а не тут. Поэтому настраивать надо тот.

Answer 1 · 2017-10-04 00:08:32

1. В двух секциях server одинаковое server_name , а прокси настроен только во второй. Потенциально это источник проблемы.
2. Попробуйте выделить сервер-получатель в отдельный блок upstream и в proxy-pass прописать его.

Answer 2 · 2017-10-04 13:43:40

Что мешает обратиться к официальной документации с примерами настроек, а не городить огород?

https://github.com/ONLYOFFICE/document-server-prox...

У меня в одном проекте проксирование HTTPS-to-HTTPS на Nginx настроено так:

http {

        # Websocket
        map $http_upgrade $connection_upgrade {
                default upgrade;
                ''      close;
        }

server {
...  
          lingering_time 86400;
          proxy_ssl_verify off;
          proxy_ssl_session_reuse on;
          proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
          proxy_cache off;
          proxy_store off;

          set $ssl off;
          set $port 80;
          if ($scheme = https) {
              set $ssl on;
              set $port 443;
          }

        location / {
            proxy_pass https://192.168.XX.XX:8443/;
            gzip off;
            proxy_read_timeout          600s;
            proxy_connect_timeout       600s;
            proxy_redirect              off;
            proxy_buffering             off;
            proxy_request_buffering     off;
            proxy_http_version          1.1;
            proxy_set_header Host                   $http_host;
            proxy_set_header X-Real-IP              $remote_addr;
            proxy_set_header X-Forwarded-Ssl        $ssl;
            proxy_set_header X-Forwarded-For        $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto      $scheme;
            proxy_set_header X-Forwarded-Port       $port;
            proxy_set_header X-Frame-Options        SAMEORIGIN;
            proxy_set_header Upgrade                $http_upgrade;
            proxy_set_header Connection             $connection_upgrade;
            proxy_set_header Referer "";
        }
}
}

Nginx не проксирует на удаленный хост?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт