Connect. Communicate. Collaborate. Securely.

Domů » Česky » Kerio Connect » Apache/Nginx reverse proxy problem po upgradu na v9.1.1
  •  
DaemonCZE je nyní offline DaemonCZE

Příspěvky: 12
Odeslat poštu tomuto uživateli
Dobrý den/Ahoj,
chtěl bych se podělit o problém, který nastává poustupně u všech mnou spravovaných zákaznických instalací. Objevil se po upgradu z verze 9.0.4 na poslední 9.1.1.

Standardně nasazuji Kerio Connect interně v síti a do internetu je vystaven prostřednictvím reverzního proxy serveru přes SSL (Apache nebo v poslední době Nginx). Vše doposud fungovalo naprosto normálně, dle očekávání.
Po upgradu na poslední verzi 9.1.1 začaly všechny instance Apache serverů zamrzat a hlásit hlásit chybu "[error] server reached MaxClients setting, consider raising the MaxClients setting". Normálně bych to přisoudil velkému počtu spojení, tak jsem šel cestou nejmenšího odporu a počet virtuálních serverů a klientů navýšil na takové hodnoty, kterých není při běžném provozu možné dosáhnout (když nepočítám DDoS). Jaké bylo překvapení, když server opět přestal odpovídat.
V logu se začalyobjevovat chyby typu:

"(70014)End of file found: proxy: error reading status line from remote server XXX.XXX.XXX.XXX" (kde XXX je IP adresa interního serveru)

a

"proxy: Error reading from remote server returned by /webmail/ws/im" .

Vzhledem k poměrně nudnému záznamu jsem nasadil nginx, který už byl výřečnější a vytrvale u klientů používajících Kerio Offline klienta pro Outlook hlásí:

"[error] 6437#0: *3795 upstream timed out (110: Connection timed out) while reading upstream, client: XXX.XXX.XXX.XXX, server: fqdn.adresa.serveru, request: "POLL /koff/uzivatel@email.cz/ HTTP/1.1", upstream: "https://YYY.YYY.YYY.YYY:443/koff/uzivatel<at>email.cz/", host: "fqdn.adresa.serveru"

Nginx oproti Apache tyto timeouty řeší sestřelením spojení, kdežto Apache je udržuje až do chvíle, kdy mu dojdou prostředky. Možná je to chyba konfigurace Apache, ale to je spíše následek než příčina.
Přijde mi, že klient nebo server správně neukončují spojení nebo http požadavky.

Nějaké nápady, jak toto vyřešit, případně není to chyba samotného Keria? Toto chování doposud nenastávalo.

Schema zapojení:

internet <-> firewall <-> reverzní proxy <-> kerio connect

Zdraví, Honza
  •  
Pavel Dobrý (Kerio) je nyní offline Pavel Dobrý (Kerio)

Příspěvky: 1550
Odeslat poštu tomuto uživateli
V obou případech je třeba doladit konfiguraci reverzní proxy. URL /webmail/ws/im je pro websocket spojení a POLL požadavek je longpoll spojení, které vyžaduje timeout alespoň 10 minut.

Databáze znalostí: http://kb.kerio.com/
Technická podpora: http://www.kerio.cz/cz/support
  •  
DaemonCZE je nyní offline DaemonCZE

Příspěvky: 12
Odeslat poštu tomuto uživateli
Dobrý den,
velice Vám děkuji. Konečně jsem se měl čeho chytit. Prozkoumal jsem a zkusil nové nastavení včetně upgrade spojení v nginx pro rpvoz websocketu (http://nginx.org/en/docs/http/websocket.html). Na provní pohled už to funguje tak, jak má. Snad to přežijí i ty servery Smile.

Zdraví, H.
  •  
DaemonCZE je nyní offline DaemonCZE

Příspěvky: 12
Odeslat poštu tomuto uživateli
Takapache jsem už nevrace, ale nginx drží v pohodě po správném nastavení.Občas sicezahlásí do logu timeout, ale podle kamaráda programátora to není na škodu. Prostě klient se serverem jednou za čas obnoví spojení.
Děkuji za důležité rady.

Pokládám problém za vyřešený.

Díky, H.
  •  
Gregorij89 je nyní offline Gregorij89

Příspěvky: 6
Odeslat poštu tomuto uživateli
Dobrý den, vyskytl se mi stejný problém, navíc dlouhodobě nejde (přes reverse proxy) stahovat hromadně přílohy (pouze po jedné) a po updatu na poslední verzi nejde ani chat, což při přímém spojení funguje. Bohužel nelze přemigrovat na nginx, potřebuju to zprovoznit na Apache. Schéma s reverse proxy, které používá i původní tazatel, není nic neobvyklého, ba naopak z hlediska bezpečnosti je to obecně doporučená konfigurace, proto bych se chtěl zeptat autorů, zda by mohli zveřejnit návod, jak nastavit reverse proxy na nejběžnějších softwarech k tomu určených (Apache, Nginx atd.). Určitě by to nám správcům pomohlo.

Zdraví JK
Předchozí téma: Vydán Kerio Connect 9.2.1
Další téma: EAS pro iPhone
Jít na fórum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Aktuální čas: Ne lis 19 13:08:31 CET 2017

Celkový čas potřebný k vygenerování této stránky: 0.00432 vteřin
.:: Kontakt :: Domů ::.
Běží na: FUDforum 3.0.4.