Re: проксирование на https

2016-06-16 Пенетрантность Валентин Бартенев 
On Thursday 16 June 2016 19:00:47 Илья Шипицин wrote:
> да, только что нашел эту директиву.
> а почему она по дефолту off ?
> 
> кажется, что с "on" она меньше поломает
> 
[..]

До версии 1.7.0 поддержки SNI на бекенды не было вовсе
и её включение может поломать некоторые конфигурации.

Также оно плохо дружит с keepalive.

--
Валентин Бартенев
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: проксирование на https

2016-06-16 Пенетрантность Илья Шипицин 
у proxy_ssl_name очень хорошее значение по умолчанию.

не совсем понятно, чем плохо "proxy_pass https://computer.domain;
по идее, все нужные параметры тут уже есть, в чем логика, чтобы еще раз их
описать?


16 июня 2016 г., 19:01 пользователь Maxim Dounin 
написал:

> Hello!
>
> On Thu, Jun 16, 2016 at 06:49:42PM +0500, Илья Шипицин wrote:
>
> > Привет!
> >
> > есть сервер на win2012r2, он настроен с поддержкой SNI.
> > он может принять соединение на https://computer.domain, но категорически
> > отказывается принимать соединения на https://ip-адрес
> 
> > 
> >
> > я убился уже, не могу заставить при проксировании передавать имя. оно
> > ресолвится и в результате
> >
> > 2016/06/16 18:44:22 [error] 55328#0: *703668639 peer closed connection in
> > SSL handshake (54: Connection reset by peer) while SSL handshaking to
> > upstream, client: 46.17.201.71, server: XXX, request: "GET
> > /adfs/portal/updatepassword HTTP/2.0", upstream: "
> > https://X.X.X.X:443/adfs/portal/updatepassword;, host: "XXX"
> >
> >
> > можно как-то сделать, чтобы апстрим не ресолвился?
>
> Если нужно, чтобы при соединении к бекенду nginx использовал
> Server Name Indication, aka SNI - надо включить
> proxy_ssl_server_name.  Имя берётся из proxy_pass, если нужно
> нестандартное - можно задать с помощью диреткивы proxy_ssl_name.
>
> Соответственно если нужно, чтобы nginx всегда шёл к заданному
> ip-адресу, но при этом указывал имя "computer.domain", есть два
> варианта:
>
> - Определить upstream computer.domain с нужным IP-адресом, как-то
>   так:
>
> upstream computer.domain {
> server 10.0.0.2:443;
> }
>
> proxy_pass https://computer.domain;
> proxy_ssl_server_name on;
>
> - Написать IP-адрес явно в proxy_pass, и переопределить имя где
>   надо:
>
> proxy_pass https://10.0.0.2;
> proxy_ssl_server_name on;
> proxy_ssl_name computer.domain;
> proxy_set_header Host computer.domain;
>
> --
> Maxim Dounin
> http://nginx.org/
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: проксирование на https

2016-06-16 Пенетрантность Maxim Dounin 
Hello!

On Thu, Jun 16, 2016 at 06:49:42PM +0500, Илья Шипицин wrote:

> Привет!
> 
> есть сервер на win2012r2, он настроен с поддержкой SNI.
> он может принять соединение на https://computer.domain, но категорически
> отказывается принимать соединения на https://ip-адрес
> 
> 
> я убился уже, не могу заставить при проксировании передавать имя. оно
> ресолвится и в результате
> 
> 2016/06/16 18:44:22 [error] 55328#0: *703668639 peer closed connection in
> SSL handshake (54: Connection reset by peer) while SSL handshaking to
> upstream, client: 46.17.201.71, server: XXX, request: "GET
> /adfs/portal/updatepassword HTTP/2.0", upstream: "
> https://X.X.X.X:443/adfs/portal/updatepassword;, host: "XXX"
> 
> 
> можно как-то сделать, чтобы апстрим не ресолвился?

Если нужно, чтобы при соединении к бекенду nginx использовал 
Server Name Indication, aka SNI - надо включить 
proxy_ssl_server_name.  Имя берётся из proxy_pass, если нужно 
нестандартное - можно задать с помощью диреткивы proxy_ssl_name.

Соответственно если нужно, чтобы nginx всегда шёл к заданному 
ip-адресу, но при этом указывал имя "computer.domain", есть два 
варианта:

- Определить upstream computer.domain с нужным IP-адресом, как-то 
  так:

upstream computer.domain {
server 10.0.0.2:443;
}

proxy_pass https://computer.domain;
proxy_ssl_server_name on;

- Написать IP-адрес явно в proxy_pass, и переопределить имя где 
  надо:

proxy_pass https://10.0.0.2;
proxy_ssl_server_name on;
proxy_ssl_name computer.domain;
proxy_set_header Host computer.domain;

-- 
Maxim Dounin
http://nginx.org/

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: проксирование на https

2016-06-16 Пенетрантность Илья Шипицин 
да, только что нашел эту директиву.
а почему она по дефолту off ?

кажется, что с "on" она меньше поломает

16 июня 2016 г., 18:56 пользователь Валентин Бартенев 
написал:

> On Thursday 16 June 2016 18:49:42 Илья Шипицин wrote:
> > Привет!
> >
> > есть сервер на win2012r2, он настроен с поддержкой SNI.
> > он может принять соединение на https://computer.domain, но категорически
> > отказывается принимать соединения на https://ip-адрес
> 
> > 
> >
> > я убился уже, не могу заставить при проксировании передавать имя. оно
> > ресолвится и в результате
>
> Есть такая директива:
> http://nginx.org/r/proxy_ssl_server_name/ru
>
> По умолчанию nginx не использует SNI в соединениях с апстримом,
> и ничего не передает.
>
> --
> Валентин Бартенев
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: проксирование на https

2016-06-16 Пенетрантность Валентин Бартенев 
On Thursday 16 June 2016 18:49:42 Илья Шипицин wrote:
> Привет!
> 
> есть сервер на win2012r2, он настроен с поддержкой SNI.
> он может принять соединение на https://computer.domain, но категорически
> отказывается принимать соединения на https://ip-адрес
> 
> 
> я убился уже, не могу заставить при проксировании передавать имя. оно
> ресолвится и в результате

Есть такая директива:
http://nginx.org/r/proxy_ssl_server_name/ru

По умолчанию nginx не использует SNI в соединениях с апстримом,
и ничего не передает.

--
Валентин Бартенев
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

проксирование на https

2016-06-16 Пенетрантность Илья Шипицин 
Привет!

есть сервер на win2012r2, он настроен с поддержкой SNI.
он может принять соединение на https://computer.domain, но категорически
отказывается принимать соединения на https://ip-адрес


я убился уже, не могу заставить при проксировании передавать имя. оно
ресолвится и в результате

2016/06/16 18:44:22 [error] 55328#0: *703668639 peer closed connection in
SSL handshake (54: Connection reset by peer) while SSL handshaking to
upstream, client: 46.17.201.71, server: XXX, request: "GET
/adfs/portal/updatepassword HTTP/2.0", upstream: "
https://X.X.X.X:443/adfs/portal/updatepassword;, host: "XXX"


можно как-то сделать, чтобы апстрим не ресолвился?

Илья Шипицин
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru