OPNsense Forum
International Forums => German - Deutsch => Topic started by: white_rabbit on July 24, 2021, 11:19:44 am
-
Hallo.
Ja, dieses Problem ist wieder nur relativ vage zu beschreiben und es erfodert vielleicht einer Glaskugel ... aber ich versuche es trotzdem:
Ich bin gestern mit einer VM von einem Proxmox-Server auf einen anderen umgezogen. Nun befindet sich eine OPNSense mit HAProxy als reverse Proxy vor dem Zugang zur DMZ. Der leitet die Anfragen an Port 443 entsprechend an die richtige IP weiter. Das funktioniert auch, denn ich kann https://nextcloud.meine-domain.de auflösen und der Anmeldebildschirm erscheint. Wenn ich dann aber die Zugangsdaten des Admins eingebe, erhalte ich immer einen Timeout (bzw nach längerer Wartezeit ein "504 Gateway Time-out -- The server didn't respond in time.")
Nun weiß ich nicht, ob das ein Problem der Firewall oder ein Problem der Nexcloud ist. Da wir die User-Anmeldung an die Nextcloud über LDAP/AD realsiert haben, kann sich im Moment natürlich kein User anmelden -- aber der Login als Admin ist davon doch völlig unabhängig und sollte in jedem Fall funktionieren?
Wer hat einen guten Tipp, wonach man da schauen kann bzw wer kann überblicken, ob das eher auf OPNSense/HAProxy- oder auf Nexcloud-Seite zu suchen ist?
Danke!
-
Timeout bzw. 504 ist eigentlich ein Feedback vom HAproxy, dass da kein Backend verfügbar ist oder antwortet. Bist du sicher, dass der HAproxy da korrekt und vollständig konfiguriert ist?
Wir haben bei diversen pf-/OPNsense mit HAproxy auch Nextclouds dahinter und vom Prinzip her sollte da kein Problem bestehen. Hängt aber auch davon ab, ob da SSL terminiert wird oder durchgereicht wird, wie das Backend konfiguriert ist etc. etc. - da müsstest du etwas mehr Inhalt nachlegen :)
Warum kann sich via LDAP/AD Login niemand anmelden?
Cheers
\jens
-
Hallo.
Es ist so:
Die VM ist ein ganz normales Ubuntu 18.04, auf dem neben Nextcloud auch ein paar andere Verzeichnisse freigegeben sind. Die funktionieren alle -- ich komme also problemlos via
https://<interne IP>/service oder auch via https://unser-domainname.de/service auf diese Seiten. Daher denke ich eigentlich, dass der HAProxy richtig konfiguriert sein muss??
Einzig https://<interne IP>/nextcloud bzw https://unser-domainname.de/nextcloud macht im Moment Ärger.
Diese VM wurde aus einer alten Infrastruktur mit alter OpenLDAP-Anbindung rüber geholt. Dabei habe ich aber die neue LDAP/AD-Anbindung noch nicht konfiguriert, da ich eigentlich sicher war, dass ich mich als lokaler Admin anmelden kann und die neue LDAP/AD-Konfiguration eintragen kann. Und genau das klappt nicht ... dabei läuft sich der Prozess tot, bis es irgendwann entweder zu o.g. Meldung der OPNSense/HAProxy kommt oder aber ein Fehler auf dem Nextcloud-Anmeldebildschirm erscheint.
Da sich die IP-Adresse der VM geändert hat, hatte ich den Verdacht, dass irgendwo in der NC-Konfiguration noch der alte Eintrag steht ... aber ich finde nichts?! Wenn ich die NC in den Wartungsmodus versetze mit
sudo -u www-data php occ maintenance:mode --onerscheint die Seite, die den Wartungsmodus anzeigt, ebenfalls sofort. Auch das spricht doch dafür, dass mit dem HAProxy alles richtig ist, oder?
Reicht das an weiteren Infos oder brauchst du noch mehr?
Danke jedenfalls für's Mitdenken ... es ist gerade extrem frustrierend, da ich nicht gedacht hatte, dass der Umzug der VM so eine Riesen-Sache wird?!?
-
Wenn du auf den Login bzw die Wartungsseite kommst und du in einen Timeout rennst, wenn du dich anmeldest, würde ich mal probieren, den LDAP Server direct über die CLI zu erreichen. Wenn das nicht klappt, musst du schauen, wo auf dem Weg der Port blockiert wird.
Außerdem musst du in dem Fall mit dem Firewall-Administrator schimpfen, dass zumindest intern die Regeln nicht auf block, sondern auf reject lauten sollen, damit es nicht zu Timeouts kommt.
-
ok, ich kümmere mich später um diese Sache ... danke für die Tipps. Ich melde mich nochmal
-
Also aus deiner letzten Erklärung heraus würde ich auch sagen, es ist HAproxy seitig sehr wahrscheinlich alles korrekt. Die 504 kommt auch bei Timeouts und deine Beschreibung trifft das ganz gut. Lange Wartezeit, dann 504 - das ist die Rückmeldung von HAproxy, dass das Backend nicht innerhalb von X sec. geantwortet hat. Somit ist deine Vermutung wohl korrekt, dass sich da die VM irgendwo totläuft und nicht verbinden kann. Klingt also wirklich so, als würde ohne den korrekten LDAP nichts gehen.
-
OK, wenn ich wieder vor Ort bin, werde ich versuchen die alte LDAP Verbindung über die neue Leitung zu reaktivieren. Wenn das klappt und ich mich hoffentlich endlich wieder als Admin einloggen kann, stelle ich es auf die neue LDAP-Verbindung um...