Почему не удается установить соединение с Gitlab сервером с proxy сервера?

Question

[Euxinus]

Добрый день.!

Есть локальный гитлаб сервер который имеет выход в интернет через прокси сервер nginx. Когда пытаюсь выполнить команду curl c прокси сервера то получаю Connection timed out.

вывод команды curl -v https://gitlab.domen.ru

*   Trying МойБелыйАйпиТут:443...
* connect to МойБелыйАйпиТут port 443 failed: Connection timed out
* Failed to connect to gitlab.domen.ru port 443 after 129625 ms: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to gitlab.domen.ru port 443 after 129625 ms: Connection timed out

вывод команды curl -v --resolve gitlab.domen.ru:443:192.168.0.19 https://gitlab.domen.ru

* Added gitlab.domen.ru:443:192.168.0.19 to DNS cache
* Hostname gitlab.domen.ru was found in DNS cache
*   Trying 192.168.0.19:443...
* Connected to gitlab.domen.ru (192.168.0.19) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Finished (20):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.2 (OUT), TLS header, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
*  subject: CN=gitlab.domen.ru
*  start date: Jul 16 07:47:19 2024 GMT
*  expire date: Oct 14 07:47:18 2024 GMT
*  subjectAltName: host "gitlab.domen.ru" matched cert's "gitlab.domen.ru"
*  issuer: C=US; O=Let's Encrypt; CN=R11
*  SSL certificate verify ok.
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
> GET / HTTP/1.1
> Host: gitlab.domen.ru
> User-Agent: curl/7.81.0
> Accept: */*
>
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Server: nginx/1.18.0 (Ubuntu)
< Date: Sun, 28 Jul 2024 09:30:54 GMT
< Content-Type: text/html; charset=utf-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< Cache-Control: no-cache
< Content-Security-Policy:
< Location: https://gitlab.domen.ru/users/sign_in
< Permissions-Policy: interest-cohort=()
< X-Content-Type-Options: nosniff
< X-Download-Options: noopen
< X-Frame-Options: SAMEORIGIN
< X-Gitlab-Meta: {"correlation_id":"01J3WAVFR1HT296AR47BEP63N2","version":"1"}
< X-Permitted-Cross-Domain-Policies: none
< X-Request-Id: 01J3WAVFR1HT296AR47BEP63N2
< X-Runtime: 0.019921
< X-Ua-Compatible: IE=edge
< X-Xss-Protection: 1; mode=block
< Strict-Transport-Security: max-age=63072000
< Referrer-Policy: strict-origin-when-cross-origin
<
* Connection #0 to host gitlab.domen.ru left intact
<html><body>You are being <a href="https://gitlab.domen.ru/users/sign_in">redirected</a>.</body></

Comments

[Ivan Ustûžanin]

ничего не понятно, но очень интересно
без описания что есть что и как оно соединено между собой можно только ванговать

[Euxinus]

IvanU7n, Есть белый айпи закреплненный за роутером, у которого есть несколько доменных имен. Прокси сервер на nginx эти доменные имена разруливает на соответствующие серверы. Когда выполняю команду curl -v https://gitlab.domen.ru с прокси сервера то получаю Connection timed out.

[d-stream]

описано невнятно: "гитлаб ходит через прокси в инет" зачем ему туда ходить? )))
ну а дальше уже разве что в telephaty mode: hairpin nat / split dns, listen localhost, etc

А так слона лучше есть по кускам: например постучаться с хоста nginx до гитлаба

[Euxinus]

d-stream, Может не правильно выразился. Гитлаб имеет доступ в интернет благодаря прокси на nginx. С хоста до гитлаба постучался таким способом curl -v --resolve gitlab.domen.ru:443:192.168.0.19 https://gitlab.domen.ru, аутпут выше во втором блоке.

[d-stream]

Euxinus, ну так опять - зачем гитлабу ходить в интернет?
может быть всё-таки клиентам ходить в гитлаб [через прокси]?

* прям вспоминается анек про проктолога:
- на входе болит
- пока вы выход будете использовать как вход - так и будет

[Euxinus]

d-stream, да, точно, клиентам )))

[d-stream]

Euxinus, nginx клиентам отвечает?

[Euxinus]

d-stream, клиентам ходить в гитлаб

[Euxinus]

d-stream, короче вот два одинаковых запроса с двух разных серверов. master1 это прокси сервер

root@k8s-master1:~# nmap -p 443 БелыйАйпи
Starting Nmap 7.80 ( https://nmap.org ) at 2024-07-28 12:06 UTC
Nmap scan report for БелыйАйпи
Host is up (0.00079s latency).

PORT    STATE    SERVICE
443/tcp filtered https

Nmap done: 1 IP address (1 host up) scanned in 0.45 seconds
root@k8s-master1:~# curl -v https://gitlab.domen.ru
*   Trying БелыйАйпи:443...
* connect to БелыйАйпи port 443 failed: Connection timed out
* Failed to connect to gitlab.domen.ru port 443 after 129304 ms: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to gitlab.domen.ru port 443 after 129304 ms: Connection timed out
root@k8s-master1:~#

root@worker-node2:~# nmap -p 443 БелыйАйпи 
Starting Nmap 7.80 ( https://nmap.org ) at 2024-07-28 12:06 UTC
Nmap scan report for БелыйАйпи 
Host is up (0.00081s latency).

PORT    STATE    SERVICE
443/tcp filtered https

Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds
root@worker-node2:~# curl -v https://gitlab.domen.ru
*   Trying 192.168.0.19:443...
* Connected to gitlab.domen.ru (192.168.0.19) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Finished (20):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.2 (OUT), TLS header, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
*  subject: CN=gitlab.domen.ru
*  start date: Jul 16 07:47:19 2024 GMT
*  expire date: Oct 14 07:47:18 2024 GMT
*  subjectAltName: host "gitlab.domen.ru" matched cert's "gitlab.domen.ru"
*  issuer: C=US; O=Let's Encrypt; CN=R11
*  SSL certificate verify ok.
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
> GET / HTTP/1.1
> Host: gitlab.domen.ru
> User-Agent: curl/7.81.0
> Accept: */*
>
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Server: nginx/1.18.0 (Ubuntu)
< Date: Sun, 28 Jul 2024 12:06:12 GMT
< Content-Type: text/html; charset=utf-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< Cache-Control: no-cache
< Content-Security-Policy:
< Location: https://gitlab.domen.ru/users/sign_in
< Permissions-Policy: interest-cohort=()
< X-Content-Type-Options: nosniff
< X-Download-Options: noopen
< X-Frame-Options: SAMEORIGIN
< X-Gitlab-Meta: {"correlation_id":"01J3WKQV5YDKRWBKD0WSJJECNN","version":"1"}
< X-Permitted-Cross-Domain-Policies: none
< X-Request-Id: 01J3WKQV5YDKRWBKD0WSJJECNN
< X-Runtime: 0.028165
< X-Ua-Compatible: IE=edge
< X-Xss-Protection: 1; mode=block
< Strict-Transport-Security: max-age=63072000
< Referrer-Policy: strict-origin-when-cross-origin
<
* Connection #0 to host gitlab.domen.ru left intact
<html><body>You are being <a href="https://gitlab.domen.ru/users/sign_in">redirected</a>.</body></html>root@worker-node2:~#

[Alexey Dmitriev]

Выход gitlab сервера в интернет через прокси сервер и вход на gitlab сервер из интернета через внешний ip адрес прокси сервера - это абсолютно разные вещи - не понятно - зачем вы упоминаете первую вещь, если у вас не работает вторая. И настраиваются они абсолютно по разному.
Для второго нужен reverse proxy\DNAT.

[Euxinus]

Alexey Dmitriev, reverse proxy настроен

server {
    listen 8080;
    server_name gitlab.domen.ru gitlab.domen.ru;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name gitlab.domen.ru gitlab.domen.ru;

    ssl_certificate /etc/letsencrypt/live/gitlab.domen.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/gitlab.domen.ru/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
        proxy_pass http://192.168.0.26:8086; <-----------------Это сервер гитлаба
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Ssl   on;
    }

}

Answer 1

[ky0]

Выглядит, как будто на фаерволле не настроен доступ из интернета по внешнему IP.

Comments

[Euxinus]

root@k8s-master1:~# nmap -p 443 БелыйАйпи
Starting Nmap 7.80 ( https://nmap.org ) at 2024-07-28 10:26 UTC
Nmap scan report for БелыйАйпи
Host is up (0.0054s latency).

PORT    STATE    SERVICE
443/tcp filtered https

Nmap done: 1 IP address (1 host up) scanned in 5.55 seconds
root@k8s-master1:~# netstat -tuln | grep 443
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN
tcp6       0      0 :::6443                 :::*                    LISTEN

root@k8s-master1:~# systemctl status ufw
○ ufw.service - Uncomplicated firewall
     Loaded: loaded (/lib/systemd/system/ufw.service; disabled; vendor preset: enabled)
     Active: inactive (dead)
       Docs: man:ufw(8)

[ky0]

Euxinus, ну, вот - filtered. А должно быть open.

[Euxinus]

ky0, в роутере отключил фильтрацию, но не помогло

[Euxinus]

ky0, только что проверил на другом сервере 443 порт и он так же стоит filtered но curl -v https://gitlab.domen.ru отрабатывает как положено

[ky0]

Euxinus, timeout - это классическая проблема с сетевый доступами. Веб-сервер либо просто разрывает соединение, либо даёт какой-то ответ.

[Euxinus]

ky0, но почему соединение обрывается только на прокси сервере?

[ky0]

Euxinus, соединение не обрывается - соединение не устанавливается. На каком из этапов не проходят пакеты - можно низкоуровнево посмотреть с помощью просмотра трафика, например, tcpdump'ом.

[Euxinus]

ky0,

Сервер пытается установить соединение с удалённым хостом, но не получает ответов. Причина остается не известной

root@k8s-master1:~# sudo tcpdump -i any host БелыйАйпи and port 443 -nn -vvv
tcpdump: data link type LINUX_SLL2
tcpdump: listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
10:59:28.958801 enp0s3 Out IP (tos 0x0, ttl 64, id 47023, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.0.19.34804 > БелыйАйпи.443: Flags [S], cksum 0xc1d9 (incorrect -> 0xf882), seq 4185875861, win 64240, options [mss 1460,sackOK,TS val 2380471353 ecr 0,nop,wscale 7], length 0
10:59:29.977735 enp0s3 Out IP (tos 0x0, ttl 64, id 47024, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.0.19.34804 > БелыйАйпи.443: Flags [S], cksum 0xc1d9 (incorrect -> 0xf487), seq 4185875861, win 64240, options [mss 1460,sackOK,TS val 2380472372 ecr 0,nop,wscale 7], length 0
10:59:31.991327 enp0s3 Out IP (tos 0x0, ttl 64, id 47025, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.0.19.34804 > БелыйАйпи.443: Flags [S], cksum 0xc1d9 (incorrect -> 0xecaa), seq 4185875861, win 64240, options [mss 1460,sackOK,TS val 2380474385 ecr 0,nop,wscale 7], length 0
10:59:36.181841 enp0s3 Out IP (tos 0x0, ttl 64, id 47026, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.0.19.34804 > БелыйАйпи.443: Flags [S], cksum 0xc1d9 (incorrect -> 0xdc4b), seq 4185875861, win 64240, options [mss 1460,sackOK,TS val 2380478576 ecr 0,nop,wscale 7], length 0
10:59:44.374240 enp0s3 Out IP (tos 0x0, ttl 64, id 47027, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.0.19.34804 > БелыйАйпи.443: Flags [S], cksum 0xc1d9 (incorrect -> 0xbc4b), seq 4185875861, win 64240, options [mss 1460,sackOK,TS val 2380486768 ecr 0,nop,wscale 7], length 0
11:00:00.501816 enp0s3 Out IP (tos 0x0, ttl 64, id 47028, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.0.19.34804 > БелыйАйпи.443: Flags [S], cksum 0xc1d9 (incorrect -> 0x7d4b), seq 4185875861, win 64240, options [mss 1460,sackOK,TS val 2380502896 ecr 0,nop,wscale 7], length 0