5
Apache2: Reverse Proxy funktioniert nicht
Hallo liebe Community,
ich möchte einen ReverseProxy einrichten, damit der Port 9001 mit pad.domain.de:80 ansprechbar wird. Es handelt sich dabei um ein Etherpad. Auf meinem vServer läuft das problemlos, nun hab ich aber einen Root-Server hinter einer Firewall und einem internen Netzwerk mit der IP 10.98.2.1 und einer Domain nach dem Muster abteilung.firma.de mit einer im Internet auflösbaren IP-Adresse abteilung.firma.de=217.217.217.217 (Beispiel). Diese vHost-Config führt zu nichts:
<VirtualHost *:80>
LoadModule proxy_module /usr/lib/apache2/modules/mod_proxy.so
LoadModule proxy_http_module /usr/lib/apache2/modules/mod_proxy_http.so
LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so
LoadModule deflate_module /usr/lib/apache2/modules/mod_deflate.so
ProxyVia On
ProxyRequests Off
ProxyPass / http://localhost:9001/
ProxyPassReverse / http://localhost:9001/
ProxyPreserveHost on
<Proxy *>
Options FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Proxy>
</VirtualHost>
Wo liegt das Problemm? Kann mir jemand helfen?
Cheers,
Homer
ich möchte einen ReverseProxy einrichten, damit der Port 9001 mit pad.domain.de:80 ansprechbar wird. Es handelt sich dabei um ein Etherpad. Auf meinem vServer läuft das problemlos, nun hab ich aber einen Root-Server hinter einer Firewall und einem internen Netzwerk mit der IP 10.98.2.1 und einer Domain nach dem Muster abteilung.firma.de mit einer im Internet auflösbaren IP-Adresse abteilung.firma.de=217.217.217.217 (Beispiel). Diese vHost-Config führt zu nichts:
<VirtualHost *:80>
LoadModule proxy_module /usr/lib/apache2/modules/mod_proxy.so
LoadModule proxy_http_module /usr/lib/apache2/modules/mod_proxy_http.so
LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so
LoadModule deflate_module /usr/lib/apache2/modules/mod_deflate.so
ProxyVia On
ProxyRequests Off
ProxyPass / http://localhost:9001/
ProxyPassReverse / http://localhost:9001/
ProxyPreserveHost on
<Proxy *>
Options FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Proxy>
</VirtualHost>
Wo liegt das Problemm? Kann mir jemand helfen?
Cheers,
Homer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 276983
Url: https://administrator.de/contentid/276983
Ausgedruckt am: 24.11.2024 um 23:11 Uhr
5 Kommentare
Neuester Kommentar
Nur nochmal doof nachgefragt weil das aktuelle Design etwas verwirrend geschildert ist:
Wenn ja:
- Der produktive Server auf dem es nun laufen soll sitzt mit einer 10.98.2.1 /24 IP im lokalen Netz.
- Die Firewall davor macht statisches NAT von der öffentlichen IP 217.217.217.217 auf die interne IP 10.98.2.1 damit diese interne IP des Servers von außen erreichbar ist.
- Die Firewall filtert TCP 80, sprich lässt einzig TCP 80 Traffic auf diese NAT IP von außen passieren ?
Wenn ja:
- Was sagt ein tcpdump port 80 auf dem Server ? Kommt da überhaupt TCP 80 Traffic von außen via FW an ?
Ja, aqui, da hast du recht, erste Variante alles ja! Hier die Daten des tcpdump:
root@server:/etc/apache2/sites-available# tcpdump port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:36:29.801416 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [S], seq 514543034, win 14600, options [mss 1460,sackOK,TS val 262100713 ecr 0,nop,wscale 7], length 0
14:36:29.801826 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [S.], seq 331394066, ack 514543035, win 28960, options [mss 1460,sackOK,TS val 14667549 ecr 262100713,nop,wscale 7], length 0
14:36:29.814415 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [.], ack 1, win 115, options [nop,nop,TS val 262100717 ecr 14667549], length 0
14:36:29.847140 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [P.], seq 1:229, ack 1, win 115, options [nop,nop,TS val 262100725 ecr 14667549], length 228
14:36:29.847203 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [.], ack 229, win 235, options [nop,nop,TS val 14667560 ecr 262100725], length 0
14:36:29.850493 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [P.], seq 1:523, ack 229, win 235, options [nop,nop,TS val 14667561 ecr 262100725], length 522
14:36:29.863676 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [.], ack 523, win 123, options [nop,nop,TS val 262100729 ecr 14667561], length 0
14:36:29.866698 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [P.], seq 229:770, ack 523, win 123, options [nop,nop,TS val 262100730 ecr 14667561], length 541
14:36:29.867098 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [P.], seq 523:989, ack 770, win 244, options [nop,nop,TS val 14667565 ecr 262100730], length 466
14:36:29.880946 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [F.], seq 770, ack 989, win 131, options [nop,nop,TS val 262100733 ecr 14667565], length 0
14:36:29.881114 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [F.], seq 989, ack 771, win 244, options [nop,nop,TS val 14667569 ecr 262100733], length 0
14:36:29.893561 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [.], ack 990, win 131, options [nop,nop,TS val 262100736 ecr 14667569], length 0
^C
12 packets captured
13 packets received by filter
0 packets dropped by kernel
root@server:/etc/apache2/sites-available# tcpdump port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:36:29.801416 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [S], seq 514543034, win 14600, options [mss 1460,sackOK,TS val 262100713 ecr 0,nop,wscale 7], length 0
14:36:29.801826 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [S.], seq 331394066, ack 514543035, win 28960, options [mss 1460,sackOK,TS val 14667549 ecr 262100713,nop,wscale 7], length 0
14:36:29.814415 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [.], ack 1, win 115, options [nop,nop,TS val 262100717 ecr 14667549], length 0
14:36:29.847140 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [P.], seq 1:229, ack 1, win 115, options [nop,nop,TS val 262100725 ecr 14667549], length 228
14:36:29.847203 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [.], ack 229, win 235, options [nop,nop,TS val 14667560 ecr 262100725], length 0
14:36:29.850493 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [P.], seq 1:523, ack 229, win 235, options [nop,nop,TS val 14667561 ecr 262100725], length 522
14:36:29.863676 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [.], ack 523, win 123, options [nop,nop,TS val 262100729 ecr 14667561], length 0
14:36:29.866698 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [P.], seq 229:770, ack 523, win 123, options [nop,nop,TS val 262100730 ecr 14667561], length 541
14:36:29.867098 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [P.], seq 523:989, ack 770, win 244, options [nop,nop,TS val 14667565 ecr 262100730], length 466
14:36:29.880946 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [F.], seq 770, ack 989, win 131, options [nop,nop,TS val 262100733 ecr 14667565], length 0
14:36:29.881114 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [F.], seq 989, ack 771, win 244, options [nop,nop,TS val 14667569 ecr 262100733], length 0
14:36:29.893561 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [.], ack 990, win 131, options [nop,nop,TS val 262100736 ecr 14667569], length 0
^C
12 packets captured
13 packets received by filter
0 packets dropped by kernel
Mmmhhh....da stimmt aber was nicht !
Du siehst ja ganz deutlich das die Absender IP astaro.abteilung.local ist, also die lokale IP Adresse der Astaro Firewall selber !
Wenn du die DNS Auflösung im tcpdump abschaltest mit tcpdump -n port 80 kannst du das auch sehen.
Hier sollte aber eigentlich die Absender IP des externen HTTP Clients stehen, denn dahin sollen ja die Antwortpakete des Servers wieder zurück.
Sieht auf den ersten Blick nach einem Problem im 1:1 NAT der FW aus.
Ggf. kannst du mit tcpdump -n src net x.y.0.0/16 and port 80 den Output noch etwas filtern um nicht ggf. lokalen Traffic des Servers mit der FW noch einzufangen.
Wenn du weisst in welchem IP Netz sich der externe Client befindet kann man das mit x.y.0.0/16 oder gröber mit x.0.0.0/8 noch weiter filtern.
Wenn du mit dem Client auf http://www.wieistmeineip.de// surfst siehst du dessen externe, öffentliche IP.
Du siehst ja ganz deutlich das die Absender IP astaro.abteilung.local ist, also die lokale IP Adresse der Astaro Firewall selber !
Wenn du die DNS Auflösung im tcpdump abschaltest mit tcpdump -n port 80 kannst du das auch sehen.
Hier sollte aber eigentlich die Absender IP des externen HTTP Clients stehen, denn dahin sollen ja die Antwortpakete des Servers wieder zurück.
Sieht auf den ersten Blick nach einem Problem im 1:1 NAT der FW aus.
Ggf. kannst du mit tcpdump -n src net x.y.0.0/16 and port 80 den Output noch etwas filtern um nicht ggf. lokalen Traffic des Servers mit der FW noch einzufangen.
Wenn du weisst in welchem IP Netz sich der externe Client befindet kann man das mit x.y.0.0/16 oder gröber mit x.0.0.0/8 noch weiter filtern.
Wenn du mit dem Client auf http://www.wieistmeineip.de// surfst siehst du dessen externe, öffentliche IP.
Wenn du weisst in welchem IP Netz sich der externe Client befindet kann man das mit x.y.0.0/16 oder gröber mit x.0.0.0/8 noch
weiter filtern.
Wenn du mit dem Client auf http://www.wieistmeineip.de// surfst siehst du dessen externe, öffentliche IP.
Danke schonmal! Die öffentliche IP kenne ich. Meinst du, die Astaro ist falsch konfiguriert?weiter filtern.
Wenn du mit dem Client auf http://www.wieistmeineip.de// surfst siehst du dessen externe, öffentliche IP.
Das sieht ganz danach aus !
