NGINX & Microsoft Remote Desktop

Zie je nog bijzonderheden in de access/error logs van Nginx? (Iets anders dan status 200?)
Wat was de config van HAProxy?
Toevallig in de Windows Event Viewer nog iets te vinden van foutmeldingen? (Maar dat is misschien wat meer zoekwerk, aangezien dat vaak een gedrocht is om doorheen te klikken.)

Als je echt helemaal los wil gaan, kan je een packet capture doen met HAProxy en met Nginx en vergelijken of je ander gedrag ziet, bijvoorbeeld missende headers.

Nginx geeft dus een Unauthorized terug. Zou me niet verbazen als hij ergens een header mist. Ik denk dat je toch iets moet met m'n twee andere suggesties

Chris-1992 schreef op maandag 14 november 2022 @ 22:24:
@TommieW
In de eventviewer kan ik niks terugvinden hierover.

In NGINX vind ik dit terug.
[Afbeelding]

op de gateway vind je ook niks terug??

Ik ken nginx niet, maar krijg je met onderstaande config niet een certificaatfout?



Ik zou die url even op FQDN proberen.

Chris-1992 schreef op dinsdag 15 november 2022 @ 11:56:
[...]

Nee, ook niks te zien.

hmm... ikzelf gebruik altijd een WAP als reverse proxy en niet NGINX.
je configuratie lijkt me vrij kaal als je ook rdp-stream erdoor wilt kunnen krijgen.

op wat heb je je configuratie gebaseerd? iets dat je online hebt gevonden en dat zou moeten werken?

- wat als je rdp doet via een mstsc icoontje (incl gateway)?

Je PFsense die HAproxy gebruikt werkt prima. Wat is de reden om voor Nginx te gaan en van HAproxy af te stappen? Nginx is veel meer dan een reverse proxy, wat naar mijn mening onnodig 'zwaar' is voor wat het moet doen.

Maar kijk eens naar je HAproxy configuratie. Hoe staat die ingesteld? Als je echt Nginx wilt gebruiken, moet het prima mogelijk zijn om de configuratie te vertalen. Tenzij HAproxy in tcp mode staat, ipv http mode.

Chris-1992 schreef op woensdag 16 november 2022 @ 11:30:
@Hero of Time
Ik wil van HAproxy afstappen omdat ik hier geen certificaten kan voorzien voor domeinen die ik niet in beheer heb. (toch niet dat ik weet? )
Ik moet elke 3 maand een TXT record aanmaken of verbinden via een API om nieuwe certificaten aan te vragen.
Bij NGINX gaat dit wel via Let's encrypt.

Ah, maar hier maak je dan een fout. HAproxy kan wel degelijk met Let's Encrypt werken. Certbot heeft namelijk een ingebouwde webserver en het enige wat je dan moet doen, is een backend in HAproxy toevoegen om naar die instantie te verwijzen als het pad begint met /.well-known.

Zie o.a. https://www.lucastechblog...haproxy-and-lets-encrypt/ en https://serversforhackers.com/c/letsencrypt-with-haproxy als je geen LUA script zaken wilt gebruiken (en de methode die ik bedoel).

HAproxy kan SSL certificaten uit een map halen en kijkt naar de private key die erbij hoort aan de hand van de bestandsnaam. Dus iets als certificaat.pem heeft bijgehorende key certificaat.key (of certificaat.pem.key, weet even niet meer exact welke van de twee formaten het pakt) wat HAproxy automatisch oppakt. Zou de key certificate.key heten, dan werkt het niet, want niet dezelfde naam als het certificaat.

Enige kleinigheidje waar je mee zit, is dat je HAproxy op je PFsense draait en niet een server waar je eenvoudiger de config kan aanpassen.

Misschien iets kleins maar in mijn nginx config staat geen poort ip:443 maar gewoon de https://url
En niet specifiek een :443 poort erachter, wellicht een klein dingetje die een redirect breekt van rdweb?

Daarnaast had ik rare 401 errors tot ik het volgende toevoegde in nginx config

proxy_read_timeout 3500;
proxy_connect_timeout 3500;
proxy_send_timeout 1500;
proxy_buffer_size 16k;
proxy_buffers 32 16k;
proxy_busy_buffers_size 64k;