nginxを用いたport forwardingがsshトンネル経由でうまく動かない

前提・実現したいこと

実現したいこと１：自宅サーバとEC2上のインスタンスの間にVPNを貼り、インスタンス上のnginxを通して自宅サーバに展開されているサイトにアクセスできるようにしたい。
実現したいこと２：上記は単純には実装できた。が、セキュリティを確保するために誰でもアクセスできるようにすると困るので、sshトンネルで一旦EC2上にクライアント端末のportをつなげてそこを通して接続するように設定したい。

実装方法１：実現したいこと１は単純に自宅サーバとEC２上にopenvpnを貼ってnginxの設定を下記のようにconf.dに記述して実現

server {
        listen 80;
        server_name [EC2インスタンスのipアドレス];

        location / {
                proxy_pass http://[自宅のipアドレス];
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Host $http_host;
                proxy_http_version 1.1;
                proxy_redirect off;
                proxy_buffering off;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
                proxy_read_timeout 86400;
        }
}

実現方法２：実現したいこと２はインスタンスの接続可能設定を22番ポート(ssh)のみ可能にawsセキュリティグループから設定し、クライアント端末から下記のコマンドで接続を試みる。(意図としてはクライアント端末の8889番をインスタンス80番につなげて、そこからnginxに自宅サーバにつないでほしかった)

ssh ubuntu@[EC2インスタンスのipアドレス] -L 8889:localhost:80

発生している問題・エラーメッセージ

ブラウザからlodalhost:8889に接続するとnginxのデフォルトのwelcomeページが表示されてしまう。

試したこと

やりたいこと２のsshトンネルをほって接続する方式ではなく、インスタンスのipに直接アクセスしてnginxに運んでもらうのはうまくいって自宅サーバ上のサイトが表示されます。

行動規範の内容に同意します

回答2件

ベストアンサー

まずhttpのバーチャルホストの仕組を理解した方がいいと思います。

例えばウェブブラウザで http://www.example.com/some/where/ にアクセスした場合、ウェブブラウザはサーバに接続した後以下のようなリクエストを送信します。

GET /some/where/ HTTP/1.1
Host: www.example.com
[その他のヘッダ]
[改行のみの行]

サーバはこの Host ヘッダを見てどのホスト名でアクセスに来たかを知り、適切なコンテンツを返します。
nginxも Host ヘッダを見て、server_name が一致するバーチャルホスト設定に従って処理を行います。

さて、sshトンネル経由で接続した場合ですが、ウェブブラウザでは http://localhost:8889/ にアクセスします。
この時に送られる Host ヘッダは localhost:8889 となり、ssh はこのヘッダを書き換えたりしないのでそのままサーバに送られます。

一方、サーバ側の設定では

server_name [EC2インスタンスのipアドレス];

となっているので、Hostヘッダとserver_nameが違うのでこの設定は使われず、デフォルトのバーチャルホスト設定が使われます。
なので server_name を localhost に変更すればよさそうなのですが、手元で試した範囲ではうまく動きませんでした。
どうも IPv6 が関係していると思われます。

ssh で -L 8889:localhost:80 とした場合、ローカルのポート 8889 にアクセスするとサーバの localhost のポート 80 に接続する事になります。この時 localhost は IPv6 の ::1 と IPv4 の 127.0.0.1 の二つのアドレスを持っているので、まず IPv6 の ::1 に接続を行おうとし、接続できなかった場合は 127.0.0.1 に接続するという動作になります。

一方、nginx では listen 80; とした場合は IPv4 アドレスのみが対象となるようでした。なので

listen [::1]:80;
server_name localhost;

というように listen で IPv6 アドレスを指定するか、

ssh ubuntu@[EC2インスタンスのipアドレス] -L 8889:127.0.0.1:80

のように IPv4 アドレスへ接続するように指定する必要が有りました。

私は nginx の動作に詳しくないので、詳しい方がいましたら訂正/補足をお願いします。

ただ、提示されたログを見ると

127.0.0.1 - - [01/Feb/2020:08:40:54 +0000] "GET /tree HTTP/1.1" 404 209 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36"

と 127.0.0.1 からの接続として記録されているので、単純に server_name を localhost にするだけでも大丈夫かもしれません。

投稿2020/02/12 03:19

doda

総合スコア947

robotmanhogehog

2020/02/13 17:11

うおおおおおおすごいいけました神です。 server_name localhost;の記述でドンピシャでした。すごすぎる感動で震えています。 > となっているので、Hostヘッダとserver_nameが違うのでこの設定は使われず、デフォルトのバーチャルホスト設定が使われます。 > なので server_name を localhost に変更すればよさそうなのですが、手元で試した範囲ではうまく動きませんでした。このあたりのことぜんぜんにわかっていませんでした。ありがとうございます

行動規範の内容に同意します

nginx のログには、どのように記録されていますか？

気になったのは、nginx の設定が、

server {

    listen 80;
    server_name [EC2インスタンスのipアドレス];

となっていて、「EC2インスタンスのipアドレス」にアクセスがあった際に proxy_pass していますが、ssh は、 localhost に接続しています。違うバーチャルホストに接続しているように見えます。

投稿2020/02/01 11:28

CHERRY

総合スコア25171

robotmanhogehog

2020/02/02 12:48

nginxのログ(/var/log/access.log)へsshトンネル経由でwelcomページが表示されてしまった際のログは下記のとおりとなっています。 ``` 127.0.0.1 - - [01/Feb/2020:08:40:54 +0000] "GET /tree HTTP/1.1" 404 209 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36" ``` > となっていて、「EC2インスタンスのipアドレス」にアクセスがあった際に proxy_pass していますが、ssh は、 localhost に接続しています。違うバーチャルホストに接続しているように見えます。私の理解ですと、sshのコマンド自体はEC2のインスタンスipに接続をして、localhostの8889番portを相手の80番につなげているという理解なので、違うバーチャルホストに接続しているように見えますというのはどこの記述を見てそう思うにいたったのでしょうか？ネットワークの素人でまったく申し訳ないです。。。

行動規範の内容に同意します

あなたの回答