Как использовать proxy_pass для https?

Question

[historydev]

Задача: получить доступ к веб админке proxmox backup server.

Схема: host (domain.com - 192.168.0.106) <=> vm (nginx) (192.168.100.2) <=> another vm (proxmox backup server) (192.168.100.8)

Вчера весь день гуглил как изменить адрес, порт и протокол на котором заводится админка pbs, ничего не нашёл, решил зайти с другой стороны.

На another vm (proxmox backup server) адрес веб-интерфейса указан как https://192.168.100.8:8007, однако при curl https://192.168.100.8:8007 получаем ошибку ssl.

Я пошёл дальше, пробую curl 192.168.100.8:8007 - ответ пустой.

Погуглил ошибку ssl, посоветовали флаг -k, при обращении curl -k https://192.168.100.8:8007 получаю html интерфейса.

Скрины

domain.com nginx ssl config

#listen 80;

    listen 443 ssl http2; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
    gzip off;
    proxy_max_temp_file_size 0;
    #http2_max_field_size 64k;
#http2_max_header_size 512k;

#    location / {
#       return 123;    
#    }

    location /backup {
#       proxy_set_header   X-Forwarded-For $remote_addr;
#        proxy_set_header   Host $http_host;
        proxy_pass https://192.168.100.8:8007;
        ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem; # managed by Certbot
    }

    location /dashboard/ {
        proxy_pass http://192.168.100.5:8001/dashboard/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/;
    }

}

Нашёл доки nginx где советуют добавить ssl в роут, я попробовал, получаю 502 ошибку:

root@nginx:/home/nginx-user# curl -k https://localhost/backup
<html>
<head><title>502 Bad Gateway</title></head>
<body>
<center><h1>502 Bad Gateway</h1></center>
<hr><center>nginx/1.18.0 (Ubuntu)</center>
</body>
</html>

https://docs.nginx.com/nginx/admin-guide/security-...

При обращении на внешний адрес, https://domain.com/backup, долгая загрузка, а после редирект на https://192.168.100.8:8007/

Answer 1

[IvanU7n]

скорее всего поможет:

location /backup/ {
  proxy_pass https://192.168.100.8:8007/;
  proxy_redirect https://192.168.100.8:8007/ /backup/;
}

в текущей конфигурации идёт обращение к https://192.168.100.8:8007/backup, что ведёт к редиректу, который пробрасывается напрямую без обработки

Comments

[historydev]

тоже самое:

root@nginx:/home/nginx-user# curl -k https://localhost/backup
<html>
<head><title>502 Bad Gateway</title></head>
<body>
<center><h1>502 Bad Gateway</h1></center>
<hr><center>nginx/1.18.0 (Ubuntu)</center>
</body>
</html>

На внешний домен тоже, как описал

[AUser0]

И добавить
proxy_set_header 'Host' 192.168.100.8;

А упоминание ssl_certificate/ssl_certificate_key из location{} лучше убрать, будет использоваться указанный в server{}.

[historydev]

AUser0,

root@nginx:/home/nginx-user# systemctl restart nginx
root@nginx:/home/nginx-user# curl -k https://localhost/backup
<html>
<head><title>502 Bad Gateway</title></head>
<body>
<center><h1>502 Bad Gateway</h1></center>
<hr><center>nginx/1.18.0 (Ubuntu)</center>
</body>
</html>

location /backup {
#       proxy_set_header   X-Forwarded-For $remote_addr;
#        proxy_set_header   Host $http_host;
        proxy_set_header  'Host'  192.168.100.8;
        proxy_pass https://192.168.100.8:8007/;
        proxy_redirect https://192.168.100.8:8007/ /backup/;
#       proxy_ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; # managed by Certbot
#       proxy_ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem; # managed by Certbot
    }

[IvanU7n]

historydev, а оно вообще доступно с нужной машины?

AUser0, по идее не нужно, т.к. Host и Connection переопределяются по умолчанию

[AUser0]

IvanU7n, ага, и переопределятся они на какое значение? На domain.com?

historydev, а curl https://192.168.100.3/backup ?

[historydev]

IvanU7n, доступно:

root@nginx:/home/nginx-user# ssh root@192.168.100.8
The authenticity of host '192.168.100.8 (192.168.100.8)' can't be established.
ED25519 key fingerprint is SHA256:KGmGpa3g68k5U/WIVqFKk3Skko709bnC7zvseYWuufM.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])?

root@host_name:~# ssh root@192.168.100.8
The authenticity of host '192.168.100.8 (192.168.100.8)' can't be established.
ED25519 key fingerprint is SHA256:KGmGpa3g68k5U/WIVqFKk3Skko709bnC7zvseYWuufM.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])?

[IvanU7n]

AUser0, в доке всё написано ) на $proxy_host, т.е. origin из урла в proxy_pass, а Connection на close

historydev, что ответит curl -k https://192.168.100.8:8007/ с виртуалки где nginx?

[historydev]

AUser0,

а curl https://192.168.100.3/backup ?

Опечатался, адрес nginx 192.168.100.2 - тоже самое, ошибка ssl:

root@nginx:/home/nginx-user# curl https://192.168.100.2/backup
curl: (60) SSL: no alternative certificate subject name matches target host name '192.168.100.2'
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

[historydev]

IvanU7n, html вернёт, как и на самой машине где оно стоит:

root@nginx:/home/nginx-user# curl -k https://192.168.100.8:8007/
<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <meta http-equiv="X-UA-Compatible" content="IE=edge">

[IvanU7n]

historydev, а что в логах nginx?
да и / в конце пути в location всё же будет не лишним

[IvanU7n]

historydev, и ещё вопрос: это единственный server в конфигурации nginx?

[historydev]

IvanU7n,

Слеш добавил, что он даёт конкретно?

Никаких проблем с путями не было, встречал только с какими-то php штуками или статикой, но я таким не пользуюсь.

В error логах последняя запись относится к /dashboard, больше ничего. - /var/log/nginx/error.log
В access логах постучался на https://domain.com/backup - /var/log/nginx/access.log:

192.168.100.2 - - [28/Dec/2023:12:07:54 +0300] "GET /backup HTTP/2.0" 502 166 "-" "curl/7.81.0"

[historydev]

IvanU7n, Нет, есть ещё, один редиректит все 80 на 443, и ещё парочка субдомены слушает:

server {
        server_name sub.domain.com;

    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

    location / {
        #add_header Content-Type text/html;
        #return 200 '<html><body>Hello API</body></html>';
        proxy_pass http://192.168.100.5:8001/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/;
    }

}

server {
    server_name sub.domain.com;

    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/sub.domain.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/sub.domain.com/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

    location / {
        proxy_pass http://192.168.100.6;
    }

}

server {
    server_name _;
    listen 80;

    return 301 https://$host$request_uri;
}

[IvanU7n]

historydev, как минимум бесплатный редирект с путём без слэша на путь со слэшем, другого я не знаю, но все примеры в документации имеют слэш на конце

т.е. про /backup/ или https://192.168.100.8:8007/ в error-логе вообще ничего?

ну тогда крайний вариант, смотреть через tcpdump что уходит (и ходит ли) в сторону 192.168.100.8, т.к. что-то я не помню способа логировать то, что уходит на проксируемый ресурс

[historydev]

IvanU7n, вообще ничего, по 192.168.100.8 поиск 0, по /backup 2 совпадения для /dashboard

[historydev]

IvanU7n, куда ставить tcpdump и запускать? На 192.168.100.8?

[IvanU7n]

historydev, можно и туда, но я бы поставил его на машину в nginx, а потом что-то типа tcpdump -nv host 192.168.100.8, а в соседней консоли запрос через curl

[historydev]

IvanU7n,
curl -k https://localhost/backup на nginx

root@nginx:/home/nginx-user# curl -k https://localhost/backup
<html><body>You are being <a href="http://192.168.100.6/users/sign_in">redirected</a>.</body></html>root@nginx:/home/nginx-user#

tcpdump:

root@nginx:/home/nginx-user# tcpdump -nv host 192.168.100.8
tcpdump: listening on ens18, link-type EN10MB (Ethernet), snapshot length 262144 bytes
12:55:10.399438 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.100.8 tell 192.168.100.2, length 28
12:55:10.399680 ARP, Ethernet (len 6), IPv4 (len 4), Reply 192.168.100.8 is-at ba:aa:6d:be:c2:6e, length 28

[IvanU7n]

historydev, в текущей конфигурации дело явно не доходит до проксирования, да и ответ со странным редиректом — я бы ожидал редирект на https://localhost/backup/, а не на 192.168.100.6/users/sign_in, которого как бы нет

в общем curl -k https://localhost/backup/ тоже со слешем на конце и на всякий случай добавить в этом server-блоке для listen default_server

[historydev]

IvanU7n, редирект да, редиректит на 100.6, непонятно почему, добавил / в конец, не помогло

[historydev]

IvanU7n, curl -k https://localhost/backup/ возвращает пустоту

[historydev]

IvanU7n, непонятно почему, редиректило на сабдомен, я закомментил сервер с ним и стало стучаться куда нужно по всей видимости

[historydev]

IvanU7n, походу проблема была в том, что он был по пути /backup, а не в корне, сейчас всё работает без доп. настроек, не знаю как так вышло, просто proxy_pass https://...

[IvanU7n]

historydev, в общем default_server в listen для нужного server-блока должен помочь в этом случае

в общем проблема, вероятно, в окружении, чтобы его исключить сделайте простой конфиг с одним server-блоком и добейтесь нужного функционала, потом уже можно усложнять

либо можно backup также вынести на отдельный поддомен, это должно упростить конфигурацию

а в текущей мешанине сложно разобраться, даже понять причину почему curl -k https://localhost/backup/ возвращает пустоту, а не что-то осмысленное

[IvanU7n]

historydev, вот одна из причин, почему было сложно разобраться

[historydev]

IvanU7n, оно просто заработало, я не понимаю почему)

[historydev]

IvanU7n, вынес на субдомен:

Заголовки и прочее для сокетов, там терминал по ним работает

server {
    server_name sub.domain.com;


    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/sub.domain.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/sub.domain.com/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

    location / {
        proxy_pass https://192.168.100.8:8007;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_set_header Host $host;
    }

}