mikrocontroller.net

Forum: PC-Programmierung HTTPS Proxy server - nginx?


Autor: Proxy (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Hi,

ich möchte Nginx dazu bringen je nach subdomain die https Anfrage an 
eine andere Seite/Webapp

https://ap1.beispiel.de -> https://192.168.0.10
https://ap2.beispiel.de -> https://192.168.0.11
...


die Seiten https://192.168.0.10, https://192.168.0.11
haben bereits ihre eigene https certifikate und funktionieren, wenn man 
die direkt zugreift.

Ich habe versucht nginx dazu zu bringen, diese Aufgabe zu erfüllen, 
jedoch ohne Erfolg. Das Problem ist, dass nginx einen ssl certifikat 
erwartet und das möchte ich nicht tun. Ich möchte nur, dass nginx je 
nach dns die Anfrage transparent an die bestimmte IP Addresse 
weiterleitet und die Antwort zurücksendet. Ist es dafür überhaupt 
geeignet? Oder soll ich lieber mit einem reinen TCP proxy versuchen? 
Oder NAT?

Autor: Daniel A. (daniel-a)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Früher hatte ich mir dafür mal dashier geschrieben: 
https://github.com/Daniel-Abrecht/DPA-SSL-SNI-Forwarder

Aber ich glaube seit der letzten TLS Version ist sowas garnichtmehr 
möglich.

Autor: Daniel F. (df311)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Proxy schrieb:
> ich möchte Nginx dazu bringen je nach subdomain die https Anfrage an
> eine andere Seite/Webapp
>
> https://ap1.beispiel.de -> https://192.168.0.10

bitte was möchtest du? irgendwas fehlt da.

Proxy schrieb:
> die Seiten https://192.168.0.10, https://192.168.0.11
> haben bereits ihre eigene https certifikate und funktionieren

das kann nur schlangenöl sein, weil (meines wissens) für lokale ip 
adressen kein (gscheides) zertifikat erstellt werden kann

Proxy schrieb:
> Das Problem ist, dass nginx einen ssl certifikat erwartet und das möchte ich 
nicht tun.

und warum nicht? wenn du eine (öffentlich erreichbare) Seite mit einem 
SSL-Zertifikat versehen möchtest, dann sollte das schon eines sein das 
von einer CA unterschrieben ist. Selbst signierte und Snakeoil 
Zertifikate machen einfach zu viele Probleme.
Wenn es nur zur internen verwendung ist, dann mach dir doch einfach noch 
mehr Schlangenöl.

---

Ich habe zwar immer noch nicht verstanden was du eigentlich machen 
willst, aber ich schätze einfach mal:
du hast zwei Server auf zwei Rechnern/Instanzen/Containern/... laufen 
und möchtest einfach anhand der Subdomain das Ziel unterscheiden.

das kann nginx "out of the box" (nur so schnell hergerotzt, keine 
Garantie für Tippfehler o.ä.):
server {
  server_name irgendwas;
  location /some/path/ {
    proxy_pass https://192.168.0.123;
  }
}
server {
  server_name wasanderes;
  location /some/path/ {
    proxy_pass https://192.168.0.124;
  }
}

was dabei aber immer noch passieren kann ist, dass nginx die Verwendung 
von https im proxy_pass verweigert, wenn das Zertifikat nicht 
verifiziert werden kann (also sind wir wieder beim Schlangenöl Problem).

: Bearbeitet durch User
Autor: Stromspardose (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Daniel F. schrieb:
> was dabei aber immer noch passieren kann ist, dass nginx die Verwendung
> von https im proxy_pass verweigert, wenn das Zertifikat nicht
> verifiziert werden kann (also sind wir wieder beim Schlangenöl Problem).

 proxy_ssl_verify off;
# Damit ist's dann nicht besser als reines http hinter dem Proxy, OK wenn man seinem internen 192.168er Netz vertraut.

#Ansonsten kann man sein Schlangenöl auch anpinnen: 

 proxy_ssl_trusted_certificate schlangenöl_ca.pem ;




alles hier nachzulesen
http://nginx.org/en/docs/http/ngx_http_proxy_module.html

Autor: Andreas S. (andreas) (Admin) Benutzerseite Flattr this
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Proxy schrieb:
> Ich möchte nur, dass nginx je nach dns die Anfrage transparent an die
> bestimmte IP Addresse weiterleitet und die Antwort zurücksendet. Ist es
> dafür überhaupt geeignet? Oder soll ich lieber mit einem reinen TCP
> proxy versuchen?

nginx kann TCP proxy: 
https://docs.nginx.com/nginx/admin-guide/load-balancer/tcp-udp-load-balancer/

Wenn ap1.beispiel.de und ap2.beispiel.de die selbe IP-Adresse haben, 
dann muss man den Hostnamen aus dem Verbindungsaufbau abfangen:
http://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html
Die erste Beispielconfig sollte deinen use case genau abdecken.

Autor: Nop (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Daniel F. schrieb:

> das kann nur schlangenöl sein, weil (meines wissens) für lokale ip
> adressen kein (gscheides) zertifikat erstellt werden kann

Ist im Firmenumfeld nicht nur üblich, sondern auch sinnvoll. Es muß 
nicht jeder im Netzwerk mitlesen können, was die HR über die interne 
Webanwendung in die Datenbank eingibt.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Nop schrieb:
> Ist im Firmenumfeld nicht nur üblich, sondern auch sinnvoll. Es muß
> nicht jeder im Netzwerk mitlesen können, was die HR über die interne
> Webanwendung in die Datenbank eingibt.

Wobei es ein angenehmer und einfacher ist, Server per interner Domain 
(mail.intern.firma.de) anzusprechen und dafür intern ausgestellte 
Wildcard-Domain Zertifikate (*.intern.firma.de) zu verwenden. Jeden 
Server per IP-Adresse anzusprechen und jeweils einzeln Zertifikate zu 
vergeben, ist deutlich umständlicher und obendrein einschränkend.

: Bearbeitet durch User
Autor: Proxy (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Daniel F. schrieb:
>> Das Problem ist, dass nginx einen ssl certifikat erwartet und das möchte ich
> nicht tun.
>
> und warum nicht? wenn du eine (öffentlich erreichbare) Seite mit einem
> SSL-Zertifikat versehen möchtest, dann sollte das schon eines sein das
> von einer CA unterschrieben ist.

Weil ich ohne neue Zertifikate zu erstellen, der Stream auf TCP ebene je 
nach dns name auf verschiedene Nodes weiterleiten wollte.

Ich habe aber noch einmal den OSI model angeschaut und jetzt weiß ich, 
dass es auf dem OSI 4 (Transport) gar nicht möglich ist nach DNS die TCP 
Pakete weiterzuleiten, da dns die DNS Info nicht enthaltet.

Bei nginx geht die Weiterleitung, weil es auf OSI (Anwendung) läuft, 
HTTP/S request enthaltet DNS Name.

Mit nginx Lösung ist man aber quasi "man in the middle", man erstellt 
einen eigenen Server mit SSL Zertifikat und leitet entschlüsselte http 
Pakete an interne Server weiter. Das wollte ich aber ursprünglich nicht.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.