virtualhost and co

Message par **kalistyan** » mar. 25 janv. 2011 11:24

1. Oui, foward du port 80 sur le VM Apache qui gère les vHosts
2.

Nom du vHost : keeran.unnati.fr
Dossier du vHost : /etc/apache2/sites-enabled/
Contenu du vHost :

Code : Tout sélectionner



        ServerName keeran.unnati.fr
#	 DocumentRoot
        ErrorLog /var/log/apache2/keeran-error.log
        TransferLog /var/log/apache2/keeran-access.log
        LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\""

 
ProxyRequests Off
ProxyVia On
ProxyPreserveHost On

ProxyPass / http://keeran.unnati.lan
ProxyPassReverse / http://keeran.unnati.lan


                Order allow,deny
                Allow from all

La ligne "DocumentRoot" est off car je ne sais pas quoi mettre...testé différent chemin mais ne change rien... :/

Message par **gizmo78** » mar. 25 janv. 2011 11:30

pour le document root tu monte un partage samba/nfs et tu le donne en cible [:androids974:6]

Message par **Kronick** » mar. 25 janv. 2011 11:32

mais non pas besoin de doc root valable puisque dans tous les cas, il va tout reverse proxyser (sauf si tu as une directive ProxyPass $ressource! auquel cas, un doc root sera nécessaire.)
as-tu activé le reverse sur la VM master. ?
tu peux faire un ls -l /etc/apache2/mods-enabled ?

Message par **kalistyan** » mar. 25 janv. 2011 11:36

J'ai bien executé a2enmod proxy & a2enmod proxy_http.

ls -l /etc/apache2/mods-enabled =

Code : Tout sélectionner

total 0
lrwxrwxrwx 1 root root 28 2011-01-24 14:39 alias.conf -> ../mods-available/alias.conf
lrwxrwxrwx 1 root root 28 2011-01-24 14:39 alias.load -> ../mods-available/alias.load
lrwxrwxrwx 1 root root 33 2011-01-24 14:39 auth_basic.load -> ../mods-available/auth_basic.load
lrwxrwxrwx 1 root root 33 2011-01-24 14:39 authn_file.load -> ../mods-available/authn_file.load
lrwxrwxrwx 1 root root 36 2011-01-24 14:39 authz_default.load -> ../mods-available/authz_default.load
lrwxrwxrwx 1 root root 38 2011-01-24 14:39 authz_groupfile.load -> ../mods-available/authz_groupfile.load
lrwxrwxrwx 1 root root 33 2011-01-24 14:39 authz_host.load -> ../mods-available/authz_host.load
lrwxrwxrwx 1 root root 33 2011-01-24 14:39 authz_user.load -> ../mods-available/authz_user.load
lrwxrwxrwx 1 root root 32 2011-01-24 14:39 autoindex.conf -> ../mods-available/autoindex.conf
lrwxrwxrwx 1 root root 32 2011-01-24 14:39 autoindex.load -> ../mods-available/autoindex.load
lrwxrwxrwx 1 root root 27 2011-01-24 14:39 cgid.conf -> ../mods-available/cgid.conf
lrwxrwxrwx 1 root root 27 2011-01-24 14:39 cgid.load -> ../mods-available/cgid.load
lrwxrwxrwx 1 root root 30 2011-01-24 14:39 deflate.conf -> ../mods-available/deflate.conf
lrwxrwxrwx 1 root root 30 2011-01-24 14:39 deflate.load -> ../mods-available/deflate.load
lrwxrwxrwx 1 root root 26 2011-01-24 14:39 dir.conf -> ../mods-available/dir.conf
lrwxrwxrwx 1 root root 26 2011-01-24 14:39 dir.load -> ../mods-available/dir.load
lrwxrwxrwx 1 root root 26 2011-01-24 14:39 env.load -> ../mods-available/env.load
lrwxrwxrwx 1 root root 27 2011-01-24 14:39 mime.conf -> ../mods-available/mime.conf
lrwxrwxrwx 1 root root 27 2011-01-24 14:39 mime.load -> ../mods-available/mime.load
lrwxrwxrwx 1 root root 34 2011-01-24 14:39 negotiation.conf -> ../mods-available/negotiation.conf
lrwxrwxrwx 1 root root 34 2011-01-24 14:39 negotiation.load -> ../mods-available/negotiation.load
lrwxrwxrwx 1 root root 28 2011-01-25 00:31 proxy.conf -> ../mods-available/proxy.conf
lrwxrwxrwx 1 root root 33 2011-01-25 00:32 proxy_http.load -> ../mods-available/proxy_http.load
lrwxrwxrwx 1 root root 28 2011-01-25 00:31 proxy.load -> ../mods-available/proxy.load
lrwxrwxrwx 1 root root 33 2011-01-24 14:39 reqtimeout.conf -> ../mods-available/reqtimeout.conf
lrwxrwxrwx 1 root root 33 2011-01-24 14:39 reqtimeout.load -> ../mods-available/reqtimeout.load
lrwxrwxrwx 1 root root 31 2011-01-24 14:39 setenvif.conf -> ../mods-available/setenvif.conf
lrwxrwxrwx 1 root root 31 2011-01-24 14:39 setenvif.load -> ../mods-available/setenvif.load
lrwxrwxrwx 1 root root 29 2011-01-24 14:39 status.conf -> ../mods-available/status.conf
lrwxrwxrwx 1 root root 29 2011-01-24 14:39 status.load -> ../mods-available/status.load

Message par **Kronick** » mar. 25 janv. 2011 11:59

ok si tu tapes dans ton nav. l'ip de l'appliance sur le port 80, ça réponds ?

Message par **kalistyan** » mar. 25 janv. 2011 12:07

Non...mais c'est normal dans le sens ou le port n'est plus naté sur l'adresse IP de l'appliance mais celle du master (apache vHosts...)

Edit : mais avec l'ip je devrais tomber sur le serveur apache par défaut... si ai tout bien capté...

Message par **gizmo78** » mar. 25 janv. 2011 12:14

je comprends plus rien la xD

Message par **kalistyan** » mar. 25 janv. 2011 12:18

Bah comme l'a bien compris Kronick, je souhaite ceci :

NDD (Gandi)
|-------> Ton IP Publique
| ----> Routeur -> NAT vers une VM qui gère les vHosts
|----> Depuis cette VM, redirection vers tous les serveurs...

Message par **gizmo78** » mar. 25 janv. 2011 12:25

ca okay j'ai pigé ^^

par contre c'est le coup du reverse proxy pour apache où je suis perdu.

Si je résume bien:

on s'adresse à la vm apache master, et suivant le ndd donné en requête il choisit ou non de renvoyer vers une autre vm, sauf que je pige pas comment la vm répond à l'hôte demandeur oO

Message par **kalistyan** » mar. 25 janv. 2011 12:29

Bien résumé.

Message par **kalistyan** » mar. 25 janv. 2011 12:47

Bon, suis reparti d'un snapshot.

A partir de l'@IP ou d'un NDD tombe bien sur Nitish (master vHost) le forward du port 80 fonctionne. Reste à régler le reverse proxy...

Message par **kalistyan** » mar. 25 janv. 2011 13:15

J'avance...

Le fait de repartir sur de bonne base... obtiens des logs

Code : Tout sélectionner

[Tue Jan 25 13:12:01 2011] [error] [client 92.90.19.27] client denied by server configuration: proxy:http://keeran.unnati.lan
[Tue Jan 25 13:12:01 2011] [error] [client 92.90.19.27] client denied by server configuration: proxy:http://keeran.unnati.lanfavicon.ico, referer: http://keeran.unnati.fr/

Maintenant le forward fonctionne mais comme l'indique le log, l'accès au site n'est pas autorisé... et ceci sur les deux serveurs...

Message par **kalistyan** » mar. 25 janv. 2011 13:40

Problème d'accès résolu :

Code : Tout sélectionner

/etc/apache2/mods-enabled/proxy.conf

Allow from all

La redirection fonctionne pour http://kalika.unnati.fr (reste encore un problème d'icone...)

Concernant http://keeran.unnati.fr ai un souci de DNS : lookup failure for : keeran.unnati.lanapp (ai du faire une faute de frappe, mais sais plus où...)

Edit :

Cela fonctionne

Problème corrigé en rajoutant le / en fin de ligne.

Code : Tout sélectionner

ProxyPass / http://mon.domaine.lan[g]/[/g]
ProxyPassReverse / http://mon.domaine.lan[g]/[/g]

Message par **gizmo78** » mar. 25 janv. 2011 13:49

pour keeran je tombe sur syncrify xD

Message par **kalistyan** » mar. 25 janv. 2011 13:49

Nickel !

Message par **gizmo78** » mar. 25 janv. 2011 13:55

ha c'est normal xD

je croyais que c'était un autre site ^^

Message par **Kronick** » mar. 25 janv. 2011 14:29

oui, regarde bien mon exemple [:kronick:5]
balises location pour les autorisations, et les slashs à la fin pour que le mapping du context path se fasse bien

Message par **kalistyan** » mar. 25 janv. 2011 14:51

Avais bien vu les slashs... mon erreur a été de ne pas repartir de zéro lorsque tu as posé ton tuto.

4- La subtilié :
tu déclares les ndd publiques (.fr) sur la vm master
tu fais un proxy reverse sur la vm internes (.lan)

Ai une VM DNS, devrait pourvoir m'en servir... en créant une zone... non ?

Edit : reste encore un point à corriger, c'est l'accès aux différents domaines depuis le lan...

Edit 2 : c'est mon firewall qui bloque...

Code : Tout sélectionner

01/25/2011 15:23:08.032 TCP connection dropped 192.168.XXX.X60, 3459, LAN 88.XXX.XXX.171, 80, WAN 'Web (HTTP)' 0

Message par **Kronick** » mar. 25 janv. 2011 15:57

iptables -s 192.168.XXX.0/24 -j ACCEPT pour faire simple

oui oui, si tu as un DNS qui tourne, déclare les zones et rulez

c'est plus propre

Message par **kalistyan** » mar. 25 janv. 2011 16:10

Ce n'est pas le firewall de la VM mais une appliance "hard" (un vieux sonicwall). Il est impossible de modifier la règle 0...qui bloque l'accès... pas bien grave.

Encore merci Kronick.

Message par **kalistyan** » mar. 25 janv. 2011 17:45

Gandi offre un certificat SSL pour l'achat d'un domaine ou renouvellement pendant un an. J'viens d'en faire la demande

wait & see...

Message par **kalistyan** » mar. 25 janv. 2011 18:13

Ceci est un email automatique pour vous informer que votre certificat
SSL Standard a bien été activé sur le domaine unnati.fr !

Reste pu cas installer...

Message par **Kronick** » mar. 25 janv. 2011 19:27

GG o/

Message par **kalistyan** » mar. 25 janv. 2011 19:48

Bon cela ne fonctionne pas :d

NAT du port 443 activé & fonctionnel (testé avec telnet).

Ensuite ai suivi le wiki de Gandi ici

L'erreur est la suivante :

Code : Tout sélectionner

[Tue Jan 25 18:49:44 2011] [error] [client XXX.90.XX3.X1X] Invalid method in request \x16\x03\x01

Pareil pour le SSL sauf qu'il faut remplacer par le NDD publique et le NDD/ IP privée

Peux tu être plus clair ? commence à fatiguer...

Message par **Kronick** » mar. 25 janv. 2011 20:34

Cela veut dire que le client demande un flux crypté qui ne l'est pas. En gros, tu as mal configuré ton SSL

1- Nat du port 443 vers la VM apache

2- Vhost du même type que le 80 SANS wildcard , mais IP explicite

ProxyPass et Reverse :
https://pouet/

3- subtilité :
SSLProxyEngine On

ProxyPass https://pouet/
ProxyPassReverse https://pouet/

4- le SSL est à activer et à configurer sur l'appliance (gestion des clé priv/ publique/ ca)

5- ne pas oublier un tit Listen 443 dans la conf Apache

et voila