9
Mobile Device Management hinter Nginx reverse Proxy
Hallo Zusammen,
ich habe ein MDM System aufgesetzt (Apptec um genau zu sein) und bin eigentlich relativ zufrieden damit, allerdings versuche Ich dieses hinter einem Nginx Reverse Proxy zu betreiben.
Die Ports 80,443 weiterzuleiten funktioniert auch einwandfrei, allerdings wird für das Android Rollout der Port 8080 auch verlangt. Nun zum eigentlichen Problem:
Mit Portweiterleitung and den MDM Server funktioniert es einwandfrei, mir wäre aber aus Sicherheit/Log Gründen lieber, diesen Port auch über den Proxy laufen zu lassen, allerdings führt das immer zu Fehlern.
Hat jemand hier Erfahrungen damit gemacht?
Ich habe die Portweiterleitung aufgesetzt wie jede andere auch und sogar invalid header zugelassen und websocket upgrade ausprobiert.
Der Error log sagt jedes mal nur:
"client sent invalid request while reading client request line, ..., request: "MDM ""
Danke im Vorraus
ich habe ein MDM System aufgesetzt (Apptec um genau zu sein) und bin eigentlich relativ zufrieden damit, allerdings versuche Ich dieses hinter einem Nginx Reverse Proxy zu betreiben.
Die Ports 80,443 weiterzuleiten funktioniert auch einwandfrei, allerdings wird für das Android Rollout der Port 8080 auch verlangt. Nun zum eigentlichen Problem:
Mit Portweiterleitung and den MDM Server funktioniert es einwandfrei, mir wäre aber aus Sicherheit/Log Gründen lieber, diesen Port auch über den Proxy laufen zu lassen, allerdings führt das immer zu Fehlern.
Hat jemand hier Erfahrungen damit gemacht?
Ich habe die Portweiterleitung aufgesetzt wie jede andere auch und sogar invalid header zugelassen und websocket upgrade ausprobiert.
Der Error log sagt jedes mal nur:
"client sent invalid request while reading client request line, ..., request: "MDM ""
Danke im Vorraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667921
Url: https://administrator.de/contentid/667921
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
wie hast du denn deinen nginx konfiguriert?
grüße
wie hast du denn deinen nginx konfiguriert?
grüße
1
Und 8080 ist Webtraffic oder was?
Zitat von @150631:
Und 8080 ist Webtraffic oder was?
Und 8080 ist Webtraffic oder was?
Im Handbuch steht IOS & Android kommunikation.
In die Richtung:
server {
listen 8080 ssl;
server_name ws.example.com;
location / {
proxy_pass https://localhost:8080; (Ja doppel ssl)
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade; (funktioniert auch ohne diesen und nächsten header nicht)
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
proxy_read_timeout 300s;
proxy_send_timeout 300s;
access_log /var/log/nginx/ws.example.com.access.log;
error_log /var/log/nginx/ws.example.com.error.log warn;
ssl_certificate /etc/letsencrypt/live/ws.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/ws.example.com/privkey.pem;
}
Moin,
könnte es daran liegen, dass auf dem Reverse Proxy und auf dem Backend nicht das selbe SSL-Zertifikat verwendet wird?!
Unabhängig davon wollen die vermutlich ihr Universal Gateway verkaufen wollen.
Gruß,
Dani
könnte es daran liegen, dass auf dem Reverse Proxy und auf dem Backend nicht das selbe SSL-Zertifikat verwendet wird?!
Unabhängig davon wollen die vermutlich ihr Universal Gateway verkaufen wollen.
Gruß,
Dani
Ich fragte ob es eine Web-Kommunikation ist, wobei http(s) gemacht wird.
Zitat von @Dani:
Moin,
könnte es daran liegen, dass auf dem Reverse Proxy und auf dem Backend nicht das selbe SSL-Zertifikat verwendet wird?!
Unabhängig davon wollen die vermutlich ihr Universal Gateway verkaufen wollen.
Gruß,
Dani
Moin,
könnte es daran liegen, dass auf dem Reverse Proxy und auf dem Backend nicht das selbe SSL-Zertifikat verwendet wird?!
Unabhängig davon wollen die vermutlich ihr Universal Gateway verkaufen wollen.
Gruß,
Dani
Das mit dem Verkaufen kann ich mir gut vorstellen.
Selbe zertifikat hab ich nicht als mögliche Fehlerquelle erkannt. Ich werds die Tage mal probieren.
Zitat von @150631:
Ich fragte ob es eine Web-Kommunikation ist, wobei http(s) gemacht wird.
Ich fragte ob es eine Web-Kommunikation ist, wobei http(s) gemacht wird.
Ich bin mir nicht sicher worauf du hinaus willst bzw wie ich das checken kann. Es wird auf jeden fall mit ssl verschlüsselt. Ich hab jetzt nicht die Pakete gecheckt, was das genau für Anfragen sind.
Das hier steht im Administrationshandbuch dazu, was mir aber nichts für meine Frage bringt:
Ich sehe keinen Grund warum port 8080 nicht durch einen rev-proxy funktionieren sollte und bin nicht so happy damit den Port für die ganze Welt zu öffnen und zu hoffen, dass die Ihr Produkt richtig sichern
.
Würde einfach mal vermuten das es auf Port 8080 überhaupt kein http / https traffic ist.
Mal versucht das Nginx stream modul stattdessen zu nutzen ? nginx.org/en/docs/stream/ngx_stream_proxy_module.html
Mal versucht das Nginx stream modul stattdessen zu nutzen ? nginx.org/en/docs/stream/ngx_stream_proxy_module.html
1
Das ist auch meine Befürchtung.
Stream Module funktioniert grad aus technischen gründen nicht (irgendwas mit letsencrypt, mir aber zu blöd zum debuggen) und würde mich auch keine waf dazwischen schalten lassen, da kann Ich gleich Portweiterleitung lassen.
Stream Module funktioniert grad aus technischen gründen nicht (irgendwas mit letsencrypt, mir aber zu blöd zum debuggen) und würde mich auch keine waf dazwischen schalten lassen, da kann Ich gleich Portweiterleitung lassen.
