Kopano in DMZ und Host Alias - HTTP Error 400 Bad request

kopano
german
installation
ucs-4-3

#1

Hallo Zusammen!

Bin recht neu um Umgang mit Univention und dessen “Biosphäre” und stoßen hier gerade auf ein Problem das ich nicht lösen kann und hoffe auf Hilfe (falls ich mit den Univention-Begrifflichkeiten durcheinander gerate bitte ich um Entschuldigung):

Ich hab hier einen Univention Master (Domain Controller (dc1)) im LAN. Einen Univention Member Server in einer DMZ (dmz10). Ebenso steht in der DMZ ein Reverse Proxy (dmz01) mit nginx (“Nicht-Univention”) und konfigurierten “Let’s-encrypt” Zertifikate, der mir einkommenden Traffic auf die jeweiligen Webserver (da laufen noch andere “Nicht-Univentions”)) verteilt. Die Firewall leitet per NAT die entsprechenden Ports an den Reverse Proxy. An der Stelle ist alles soweit funktional und bis auf das eine Problem läuft an der Stelle alles reibungslos.

Auf dem Member Server habe ich nun Kopano Core und Webapp installiert und kann auch mit https://dmz10.meine.domäne.tld/webapp aus dem LAN heraus auf die Webapp zugreifen. Nun ist der Name nicht wirklich griffig, daher habe ich auf einem externen DNS-Server noch einen A-Record (mail.domäne.tld) der auf unsere externe IP zeigt und dann wie gesagt via NAT an den Reverse Proxy geht und von dort aus weitergeleitet wird auf den entsprechenden Server.

Nun das Problem:
Verwende ich nun https://mail.domäne.tld komme ich auf der Univention-Startseite des dmz10 Member Server an und sehe auch den Link zu Kopano. Klicke ich da drauf, geht es weiter auf https://mail.domäne.tld/webapp - bekomme allerdings dann einen “HTTP Error 400 - Bad Request”.

Ich hab schon versucht die Variable “kopano/cfg/server/server_name” mit dem Wert “mail.domäne.tld” zu setzen - aber das hatte genauso wenig Effekt wie alles andere was ich versucht habe.

Hat jemanden einen Tipp oder eine Idee die mir weiterhilft?

Schöne Grüße,
Simon


#2

Bei “Bad Request” fällt mir spontan ein, dass die WebApp seit einigen Versionen nur noch per https angesprochen werden möchte. Leitet der Reverse Proxy intern eventuell auf plain http um? (wobei ich mir nicht sicher bin ob das Cookie technisch wirklich einen Unterschied macht). Wie ist denn Nginx konfiguriert?

Das ist nur eine interne Serverbezeichnung und hat keinen Effekt darauf wie der Server von außen aufgerufen wird.


#3

Boah, hier bekommt man aber schnell eine Reaktion :slight_smile: Klasse…

… und dann auch gleich einen Volltreffer. In der Tat hat in der nginx Konfiguartion der proxy_pass auf http und nicht auf https gezeigt. Das korrigiert und nun läuft alles.

Prima! Ich danke vielmals.

Schöne Grüße!