質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.50%

  • Apache

    2109questions

    Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

  • proxy

    156questions

    proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

ReverseProxy(Apache)でBadGateway

解決済

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 3,718

usususa

score 1

前提・実現したいこと

RHEL6/Apache2.2 でリバースプロキシを
構築しました。
もともとRHEL5/Apache2.0.59のリバースプロキシを
リプレースいたしました。
リバースプロキシ先は、同じなのですが
新サーバでは一部でBadGatewayが発生しています。

設定の比較やログなど確認したのですが、
不正なレスポンスが返ってきているぐらいしかわからず、
調査の糸口がありません。

飛ばし先アプリは同じなのですが、
レスポンスが違うようなので、
どういったレスポンスが返っているか
調べたいのですが、確認方法は
ありますでしょうか。

また、Apacheのバージョンの違いなどにより
挙動が変わっている可能性などありますでしょうか。

ご教授よろしくお願いいたします。

発生している問題・エラーメッセージ

IE上のエラーメッセージ

Bad Gateway
The proxy server received an invalid response from an upstream server.


Apache Server at XXXX.XXXX.com Port 443

Apacheのエラーログ
[Mon Sep 12 16:22:04 2016] [error] (502)Unknown error 502: proxy: pass request body failed to 10.214.XX.XX:XXXXX (10.214.XX.XX)
[Mon Sep 12 16:22:04 2016] [error] proxy: pass request body failed to 10.214.XX.XX:XXXXX (10.214.XX.XX) from 10.243.YY.YYY ()

10.214.XX.XX:XXXXX リバースプロキシ先サーバ
10.243.yy.yyy アクセス元PC

Apacheアクセスログ
10.243.yy.yyy - - [12/Sep/2016:16:22:04 +0900] TLSv1.2 ECDHE-RSA-AES256-SHA384 "GET /protect/zzzz/ HTTP/1.1" 502 314

Apache設定
ProxyPass /protect/zzzz/ https://10.214.XX.X:XXXXX/
ProxyPassReverse /protect/zzzz/ https://10.214.XX.XX:XXXXX/

試したこと

設定の比較、ログの確認

補足情報(言語/FW/ツール等のバージョンなど)

より詳細な情報

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

0

mod_dumpioが利用できると思います。
ErrorLog にリクエスト、レスポンスが出力されます。
LogLevel は debug です。
SSL の ErrorLog を分けているのであれば、そちらの LogLevel を debug に上げてください。

LoadModule dumpio_module modules/mod_dumpio.so

SSLProxyEngine On
ProxyPass        /protect/zzzz/ https://10.214.XX.X:XXXXX/
ProxyPassReverse /protect/zzzz/ https://10.214.XX.XX:XXXXX/

DumpIOInput On
DumpIOOutput On
DumpIOLogLevel debug
LogLevel debug

Apacheのバージョンの違いなどにより
挙動が変わっている可能性などありますでしょうか。

バージョン 2.2 で SSLProxyCheckPeerCNSSLProxyCheckPeerExpire が増えています。
デフォルトでは off ですが、マニュアルの説明を見ると、チェックに失敗したときに 502 Bad Gateway になるとのことですので、on になっていないか確認するといいと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/09/29 17:00

    コメント遅くなり申し訳ありません。
    質問した際はお忙しいなか迅速に回答いただき、
    感謝に堪えません。今回はいただいた方法を
    こちらの都合で試せなかったのですが、
    次回何かあった際には、有益に利用させていただきます。

    キャンセル

  • 2016/09/29 17:02

    追加ですが、ずっと出先で作業していたのですが、
    そのシンクライアントでは投稿しても反応せず、
    やっと自社に戻り、通常PCで投稿させていただきました。
    本当に遅くなりすいませんでした。

    キャンセル

0

いただいた情報でレスポンスをとろうと検討したのですが、サーバ負荷がかかりそうですので
一旦保留となりました。またいただいたパラメータが有効になっている場合は、
BadGatewayになる可能性があるということで確認させていただき、そこは無効となっておりました。

その間にリバースプロキシ飛ばし先サーバのログから、SSLの暗号化関連のエラーが発生してることが判明。

<2016/09/13 10時03分14秒 JST> <Warning> <Security> <XXXXXXXXXX> <PIA> <ExecuteThread: '46' for queue: 'weblogic.kernel.Default'> <<WLS Kernel>> <> <BEA-090476> <Invalid/unknown SSL header was received from peer 10.154.XX.XX - 10.154.XX.XX during SSL handshake.>

リバースプロキシ先サーバは確認したところWebLogic8でTLS1.0でしか接続できないことが判明。
SSLProtocol
SSLCiphesuite
を変更するも改善せず。さらに調べた結果Proxy側にも同様の設定があり
SSLProxyProtocol
SSLProxyCiphesuite
などいろいろ変更した結果、
以下の設定で改善しました。
SSLProxyProtocol +ALL -TLSv1.1 -TLSv1.2

今回は、自己解決できましたが、
次回以降もデバッグモードは使って行きたいと思います。

ご協力ありがとうございました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

同じタグがついた質問を見る

  • Apache

    2109questions

    Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

  • proxy

    156questions

    proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。