nginx прокси за MikroTik'ом - по http все ОК, по https не работает

RIP, OSFP, BGP, MPLS/VPLS
apay
Сообщения: 2
Зарегистрирован: 27 фев 2018, 11:24

nginx прокси за MikroTik'ом - по http все ОК, по https не работает

Сообщение apay »

Есть несколько серверов за микпотиком, для доступа к ним извне был поднят nginx прокси и настроен форвардинг с МикроТика на него.
Сначала все было по http, потом потребовалось перейти на https, скопировал из http и подправил правила на МикроТике, донастроил nginx прокси.
По HTTP все работает пректасно, по https из внутренней сети тоже. Если форвардить на конкретный сервер, извне по https тоже все ОК, но если форвардить на nginx проксю по https, то выдает таймаут (Too long to respond. ERR_TIMED_OUT)

На проксе при попытке соединения по https извне в лог вообще ничего не пишется, на микротике логи что на 80, что на 443 потры одинаковы.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: nginx прокси за MikroTik'ом - по http все ОК, по https не работает

Сообщение Chupaka »

А где, собственно, правила? Если подключения на 443 нет, но из локалки работает - дело может быть в фильтре файрвола. Хотя не исключена неверная настройка правил NAT - никто ведь не знает, как именно у вас настроено.
apay
Сообщения: 2
Зарегистрирован: 27 фев 2018, 11:24

Re: nginx прокси за MikroTik'ом - по http все ОК, по https не работает

Сообщение apay »

Сорри.
http:

Код: Выделить всё

/ip firewall nat add action=dst-nat chain=dstnat dst-address=xx.xx.xx.xx dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.7.8 to-ports=80
/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.7.8 dst-port=80 out-interface=bridge-local protocol=tcp src-address=192.168.7.0/24
https:

Код: Выделить всё

/ip firewall nat add action=dst-nat chain=dstnat dst-address=xx.xx.xx.xx dst-address-type=local dst-port=443 protocol=tcp to-addresses=192.168.7.8 to-ports=443
/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.7.8 dst-port=443 out-interface=bridge-local protocol=tcp src-address=192.168.7.0/24
фильтр стоит по-умолчанию

Код: Выделить всё

/ip firewall ашдеук add chain=forward comment="default configuration" connection-state=established,related
Еще раз: при форварде на конкретный сервер по https извне все оступно, если же форвардим на проксю - молчит как партизан. Вот это то и смущает.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: nginx прокси за MikroTik'ом - по http все ОК, по https не работает

Сообщение Chupaka »

Ну, я бы тогда добавлял правила в фильтр с Action=Log, чтобы посмотреть, где пакеты ходят, а где - пропадают. Или Tools -> Packet Sniffer, кому что ближе :)