Reverse Proxy für Joomla und Lotus Domino

Hallo,

seit mehreren Wochen versuche ich schon einen Reverse Proxy für unseren Joomla-Webserver und für das Webmail-Interface von Lotus Domino zu konfigurieren. Es scheitert teilweise an meiner Dummheit und teilweise an Eigenheiten der Programme.


Was ich brauche:
............Internet
................|
........ reverse Proxy
...........|............|
Webserver..... Lotus Domino Webmail

Also wenn ich auf
http://www.example.com/ soll man auf den webserver kommen.
http://www.example.com/mail soll man auf den Lotus Domino Webmail kommen der auf einem anderen Port läuft.

Wobei der reverse Proxy ja nicht einfach forwarden darf, niemand darf direkt mit dem Webserver oder Webmail kommunizieren.

Was ich versucht habe:

Apache2 mit mod_proxy, mod_headers, mod_rewrite usw....
Auf meiner Debianinstallation hat das anpassen der Links in den Headern nicht funktioniert d.h. wenn man über den reverse Proxy auf einen xampp ins root geht und die dortige index.php öffnet gehts nicht weiter weil in der index.php die Weiterleitung ins /xampp/ subdirectory per
$uri .= $_SERVER['HTTP_HOST'];
header('Location: '.$uri.'/xampp/');
gemacht wird. Zusätzlich hat kein Rewrite Befehl funktioniert.

Ich vermute das Lotus Domino das ähnlich macht und dewegen nicht funktioniert.

So hab ich am Apache2 Webmail konfiguriert

Zitat

<Location />
ProxyPass https://10.30.236.1:444/
ProxyPassReverse https://172.30.236.1:444/
SetOutputFilter proxy-html
ProxyHTMLExtended On
ProxyHTMLDoctype XHTML
RequestHeader unset Accept-Encoding
</Location>

geht aber

Zitat

<Location /mail>
ProxyPass https://10.30.236.1:444/
ProxyPassReverse https://172.30.236.1:444/
SetOutputFilter proxy-html
ProxyHTMLExtended On
ProxyHTMLDoctype XHTML
RequestHeader unset Accept-Encoding
</Location>

geht nicht, es werden keine Images oder CSS geladen und PHP/js arbeitet nicht.
Hab schon mit Rewrite Befehlen rumprobiert die werden einfach ignoriert.


Pound kann keine Unterverzeichnisse verarbeiten deswegen ist es durchgefallen.

Nginx versuch ich grad da schaff ichs aber nicht die Ports umzudrehen und die Subdirectory Weiterleitungen richtig zu konfigurieren.

Das geht auch hier nicht.

Zitat

location /mail {
#rewrite ^/mail(.*)$ ^/$1;
proxy_pass https://10.30.236.1:444/;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For proxy_add_x_forwarded_for;
}

Ein weiteres Problem is das ich den der Port des Webmail Servers nicht abfangen kann... wenn ich http://iprproxy/mail aufrufe komme ich auf http://iprproxy:444/mail was natürlich nicht geht.

Wenn ich den reverse Proxy auf Port 444 hören lasse gehen wie beim Apache keine Bilder kein CSS und kein PHP/js

Hat irgendjemand von euch ne Idee? Bin schon am verzweifeln.

lg Roli

Was ist denn überhaupt der Sinn hinter diesem Konstrukt? Was willst du damit erreichen?
Irgendwie schaut das nämlich für mich so aus, als willst du dir ein bissl "botschates" VPN basteln?

Jaja das is mir eh klar...das heißt also du bist in einer Firma (?) im Rechenzentrum (?) und ihr wollt euren Kunden (?) die Möglichkeit geben auf eure interne Serverfarm zuzugreifen. Deswegen wollts den reverse proxy aus Caching/Balancing Gründen vorschalten?

Schonmal dran gedacht eine Cloud zu bauen? Soll sich ziemlich gut verkaufen hab ich gehört...

Loadbalancing bei einem Webserver und einem Mailserver? Vor allem Load Balancing könnte schwierig werden, wenn der Proxy wegen SSL in die Knie geht.

War eh eher scherzhaft gemeint, weil Clouds in letzer Zeit ja so "cool" sind...drum auch der smiley.

Mir ist schon klar, was ihr damit bezwecken wollt, aber ich seh irgendwo den Vorteil nicht, gegenüber Systemen die einfach in der DMZ stehen...abgesehn davon, dass halt ein zusätzlicher Abstraktionslayer drin ist.

Du baust dir dadurch wie smut schon gesagt hat einen Flaschenhals und im Endeffekt auch einen single point of failure! Fällt der Proxy, fallen beide Systeme.
Außerdem bin ich wie meine beiden Mitdiskutanten der Meinung, dass die Verschlüsselung sehr schnell die Kapazitäten des Systems ausschöpft. Deswegen gibts für diesen Zweck ja auch eigene Appliances, die das in Hardware machen.
Im Prinzip verlagerst du ja die Last von 2 Systemen auf eines.

Was deine Frage angeht: Nein, ich kenn keine Firmen die Port 444 offen haben, weil die meisten einfach ihre Kisten in eine DMZ-Stellen und für ihre Kunden über den well known port zugänglich machen.

Wenns hier um Sicherheitsbedenken geht ists imho auch der falsche Weg, weil es keine Rolle spielen _sollte_ ob nun ein Mail-, oder ein Proxy-Server aus dem www zugänglich ist.

Wenn du kein load balancing damit betreiben willst, würd ich eher bei der Sicherheit ansetzen, anstatt diese exotische Konfiguration zu verfolgen.

@EvilGohan
Du hast schon recht vor allem mit der Ausfallsicherheit.
Aber ich kenn keine andere Möglichkeit Leute anhand des Paths auf verschiedene Server zu schicken.
zb:
http://www.example.com --> Webserver
http://www.example.com/webmail --> Webmail
http://www.example.com/traveler --> Traveler Server

Wir haben da zu viele Services die die selben well known ports brauchen würden.
Natürlich könnten wir jetzt neue IPs beantragen aber das ist ja auch keine Lösung.

Man kommt ja bei den meisten Firmen ja auch nicht mit Zielport z.B 444 raus. Wenn jetzt jemand seinen Webshop auf https betreibt kann er seinen Webmail Zugang zb auf Port 444 betreiben. Dann hast is Problem (was wir jetzt haben) dass wenn du bei ner anderen Firma schnell Mails checken willst nicht aufs Webmail kommst.

@userohnenamen
ja wir betreuen ca 50 Firmen in Salzburg die Lotus einsetzen.... aber schonmal versucht Lotus als relationale Datenbank zu verwenden?

Im nginx hab ich das zum laufen gebracht:
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_pass https://10.30.236.1:444/;
proxy_redirect off;

proxy_set_header Host $host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
Die folgende Config geht aber wenn ich "location /webmail" setz kommt ein Header mit ner anderen Location und Port zurück und der Request lauft ins leere.

Ich bräuchte sowas wie
"proxy_set_header location=localhost/webmail"
und
"proxy_set_header Port=443".

Habe aber nichts gefunden.

@kleinerChemiker
mod_headers ist was anderes damit kannst du header modifizieren wenn du apache in verbindung mit mod_proxy als reverse proxy hernimmst.
hab ich allerdings nicht zum laufen gebracht weil apache meine rewrite und header statements völlig ignoriert hat.

aber bei Sachen wie lotus domino webmail kannst kein mod_headers installieren deswegen hilfts mir nicht.

Und auf welchem Gerät sortierst du incoming Traffic anhand der subdomains auf die richtigen Server? Laut meines Wissens brauchst dafür wieder sowas wie nen reverse Proxy.
Oder hab ich dich falsch verstanden?

So kannst btw. auch über DNS ganz einfach load balancen...