Как настроить nginx сервер-посредник (прокси сервер) для проксирования https (ssl)?

Question

[Антон Пащенко]

Здравствуйте, коллеги!
Использую следующую схему работы NGINX Reverse Proxy Server:


Ни как не могу добиться передачи сертификата от конечных Web Server'ов, у меня постоянно приходит сертификат от главного NGINX Reverse Proxy Server'a.

Использую следующие записи:

server {
        listen       12.77.0.221:80;
        server_name crm.at5.su www.crm.at5.su;
        access_log /var/www/httpd-logs/crm.at5.su.access.log;
        error_log /var/www/httpd-logs/crm.at5.su.error.log notice;

        location ~* {

                proxy_ignore_client_abort on;
                proxy_pass https://12.77.0.213:80;
                proxy_redirect https://12.77.0.213:80 ~*;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-Port $server_port;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
         }
}

server {
        listen       12.77.0.221:443;
        server_name crm.at5.su www.crm.at5.su;
        access_log /var/www/httpd-logs/crm.at5.su.access.log;
        error_log /var/www/httpd-logs/crm.at5.su.error.log notice;

        location ~* {

                proxy_ignore_client_abort on;
                proxy_pass https://12.77.0.213:443;
                proxy_redirect https://12.77.0.213:443 ~*;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-Port $server_port;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header HTTPS YES;
         }
}

server {
        listen       12.77.0.221:8893;
        server_name crm.at5.su www.crm.at5.su;
        access_log /var/www/httpd-logs/crm.at5.su.access.log;
        error_log /var/www/httpd-logs/crm.at5.su.error.log notice;

        location ~* {

                proxy_ignore_client_abort on;
                proxy_pass https://12.77.0.213:8893;
                proxy_redirect https://12.77.0.213:8893 ~*;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-Port $server_port;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header HTTPS YES;
         }
}

server {
        listen       12.77.0.221:8894;
        server_name crm.at5.su www.crm.at5.su;
        access_log /var/www/httpd-logs/crm.at5.su.access.log;
        error_log /var/www/httpd-logs/crm.at5.su.error.log notice;

        location ~* {

                proxy_ignore_client_abort on;
                proxy_pass https://12.77.0.213:8894;
                proxy_redirect https://12.77.0.213:8894 ~*;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-Port $server_port;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header HTTPS YES;
         }
}

Comments

[Lynn «Кофеман»]

https://nginx.org/ru/docs/stream/ngx_stream_ssl_pr...

[Антон Пащенко]

Написал конфиг как по ссылке, не понимаю, почему ошибка на 9й строке:

nginx: [emerg] "proxy_pass" directive is not allowed here in /etc/nginx/vhosts/www-root/crm.at5.su.conf:9

map $ssl_preread_server_name $name {
    crm.at5.su  crmat;
}
upstream crmat {
    server 12.77.0.213:443;
}
server {
    listen 443;
    proxy_pass $name;
    ssl_preread on;

Гляньте, пожалуйста!

Answer 1

[Alexey Dmitriev]

У вас все работает как и должно.
То, что вы задумали - возможно только через проксирование с использованием модуля nginx_stream.
А вообще вам нужно изучить, для чего сертификаты, как они работают.
Ну и nginx он reversE proxy, а не revers.

Comments

[Антон Пащенко]

То, что вы задумали - возможно только через проксирование с использованием модуля nginx_stream.

Уже разобрался и даже настроил. Но спасибо за совет, вы абсолютно правы.

Ну и nginx он reversE proxy, а не revers.

Большое спасибо, исправил ляп, в т.ч. на картинке)

В курсе, другому ответившему расписал в комментарии детали, что в моём случае мне нужно именно так всё настраивать, как настроено.

Answer 2

[ky0]

Зачем вам nginx, если вы собрались TCP проксировать? Поставьте, не знаю, haproxy какую-нить...

Ну или наоборот - зачем вам тридцать "внутренних" nginx'ов, если можно всё сделать на одном "внешнем"?

Comments

[Антон Пащенко]

Зачем вам nginx, если вы собрались TCP проксировать? Поставьте, не знаю, haproxy какую-нить...

UDP тоже будет трафик, телефония в частности, просто я пока TCP не настроил о нём и не задумывался.

Ну или наоборот - зачем вам тридцать "внутренних" nginx'ов, если можно всё сделать на одном "внешнем"?

Вообще не понял вашу мысль.
У меня у клиента на офисе один канал интернет, с одним IP, а сайтов уже 6шт на разных ВМ.
Сейчас у провайдера куплены 6 реальный IP навешанных на один интерфейс роутера.
Хочу оставить один IP и разрулить все запросы по доменным именам через ВМ Nginx Revers Proxy.

[Антон Пащенко]

Ну или наоборот - зачем вам тридцать "внутренних" nginx'ов, если можно всё сделать на одном "внешнем"?

Там где на схеме NGINX web-server - это с fastcgi сервера, у них nginx вместо apache используется.

[ky0]

Антон Пащенко, а терминировать сертификаты в самой дали - зачем, если у вас есть единая точка входа в виде nginx посередине? Хотите посадить все сайты на один адрес - пожалуйста, для этого SNI и существует.

Как связаны телефония и nginx - не представляю.

Инструменты должны подходить к задаче, а не натягиваться на глобус.

[Антон Пащенко]

а терминировать сертификаты в самой дали - зачем, если у вас есть единая точка входа в виде nginx посередине? Хотите посадить все сайты на один адрес - пожалуйста, для этого SNI и существует.

Так сейчас и работает. дело в том, что у разных ВМ с сайтами разные владельцы, и им нужен доступ к сертификатам, они сами их покупают, настраивают и т.п., Не хочется им давать доступ к общему прокси серверу.

Как связаны телефония и nginx - не представляю.

Тоже на одном внешнем порту 2 АТСки думал повесить, UDP трафик по доменным именам развести. Ну это ещё только первые мысли, возможно по портам разведу и вопрос будет закрыт.

Инструменты должны подходить к задаче, а не натягиваться на глобус.

Ну так то, если сертификаты раздавать на одной машине, то у меня уже работает, да и можно HAProxy использовать...
Но мне надо именно nginx

Answer 3

[Антон Пащенко]

Необходимо в файле nginx.conf, ну или через связанные конфигурации, заменить нотацию
http { ... }
на

stream {
    map $ssl_preread_server_name $name {
        site1.ru  site1;
        site2.ru  site2;
    }
    upstream site1p80 {
            server 192.168.88.231:80;
            }
    upstream site1p443 {
            server 192.168.88.231:443;
            }
    upstream site1p8893 {
            server 192.168.88.231:8893;
            }
    upstream site1p8894 {
            server 192.168.88.231:8894;
            }

    upstream site2p80 {
            server 192.168.88.180:80;
            }
    upstream site2p443 {
            server 192.168.88.180:443;
            }
    upstream site2p8893 {
            server 192.168.88.180:8893;
            }
    upstream site2p8894 {
            server 192.168.88.180:8894;
            }
    server {
             listen 443;
             proxy_pass ${name}p443;
             ssl_preread on;
         }
    server {
             listen 80;
             proxy_pass ${name}p80;
          }
    server {
               listen 8893;
               proxy_pass ${name}p8893;
           }
    server {
               listen 8894;
               proxy_pass ${name}p8894;
            }
}