Q&A
コメント遅くなり申し訳ありません。
質問した際はお忙しいなか迅速に回答いただき、
感謝に堪えません。今回はいただいた方法を
こちらの都合で試せなかったのですが、
次回何かあった際には、有益に利用させていただきます。
###前提・実現したいこと
RHEL6/Apache2.2 でリバースプロキシを
構築しました。
もともとRHEL5/Apache2.0.59のリバースプロキシを
リプレースいたしました。
リバースプロキシ先は、同じなのですが
新サーバでは一部でBadGatewayが発生しています。
設定の比較やログなど確認したのですが、
不正なレスポンスが返ってきているぐらいしかわからず、
調査の糸口がありません。
飛ばし先アプリは同じなのですが、
レスポンスが違うようなので、
どういったレスポンスが返っているか
調べたいのですが、確認方法は
ありますでしょうか。
また、Apacheのバージョンの違いなどにより
挙動が変わっている可能性などありますでしょうか。
ご教授よろしくお願いいたします。
###発生している問題・エラーメッセージ
IE上のエラーメッセージ
Bad Gateway
The proxy server received an invalid response from an upstream server.
Apache Server at XXXX.XXXX.com Port 443
Apacheのエラーログ
[Mon Sep 12 16:22:04 2016] [error] (502)Unknown error 502: proxy: pass request body failed to 10.214.XX.XX:XXXXX (10.214.XX.XX)
[Mon Sep 12 16:22:04 2016] [error] proxy: pass request body failed to 10.214.XX.XX:XXXXX (10.214.XX.XX) from 10.243.YY.YYY ()
10.214.XX.XX:XXXXX リバースプロキシ先サーバ
10.243.yy.yyy アクセス元PC
Apacheアクセスログ
10.243.yy.yyy - - [12/Sep/2016:16:22:04 +0900] TLSv1.2 ECDHE-RSA-AES256-SHA384 "GET /protect/zzzz/ HTTP/1.1" 502 314
Apache設定
ProxyPass /protect/zzzz/ https://10.214.XX.X:XXXXX/
ProxyPassReverse /protect/zzzz/ https://10.214.XX.XX:XXXXX/
###試したこと
設定の比較、ログの確認
###補足情報(言語/FW/ツール等のバージョンなど)
より詳細な情報
回答2件
0
いただいた情報でレスポンスをとろうと検討したのですが、サーバ負荷がかかりそうですので
一旦保留となりました。またいただいたパラメータが有効になっている場合は、
BadGatewayになる可能性があるということで確認させていただき、そこは無効となっておりました。
その間にリバースプロキシ飛ばし先サーバのログから、SSLの暗号化関連のエラーが発生してることが判明。
####<2016/09/13 10時03分14秒 JST> <Warning> <Security> <XXXXXXXXXX> <PIA> <ExecuteThread: '46' for queue: 'weblogic.kernel.Default'> <<WLS Kernel>> <> <BEA-090476> <Invalid/unknown SSL header was received from peer 10.154.XX.XX - 10.154.XX.XX during SSL handshake.>
リバースプロキシ先サーバは確認したところWebLogic8でTLS1.0でしか接続できないことが判明。
SSLProtocol
SSLCiphesuite
を変更するも改善せず。さらに調べた結果Proxy側にも同様の設定があり
SSLProxyProtocol
SSLProxyCiphesuite
などいろいろ変更した結果、
以下の設定で改善しました。
SSLProxyProtocol +ALL -TLSv1.1 -TLSv1.2
今回は、自己解決できましたが、
次回以降もデバッグモードは使って行きたいと思います。
ご協力ありがとうございました。
投稿2016/09/29 08:04
総合スコア7
0
ベストアンサー
mod_dumpioが利用できると思います。
ErrorLog にリクエスト、レスポンスが出力されます。
LogLevel は debug です。
SSL の ErrorLog を分けているのであれば、そちらの LogLevel を debug に上げてください。
LoadModule dumpio_module modules/mod_dumpio.so SSLProxyEngine On ProxyPass /protect/zzzz/ https://10.214.XX.X:XXXXX/ ProxyPassReverse /protect/zzzz/ https://10.214.XX.XX:XXXXX/ DumpIOInput On DumpIOOutput On DumpIOLogLevel debug LogLevel debug
Apacheのバージョンの違いなどにより
挙動が変わっている可能性などありますでしょうか。
バージョン 2.2 で SSLProxyCheckPeerCN, SSLProxyCheckPeerExpire が増えています。
デフォルトでは off ですが、マニュアルの説明を見ると、チェックに失敗したときに 502 Bad Gateway になるとのことですので、on になっていないか確認するといいと思います。
投稿2016/09/12 11:18
総合スコア12146
追加ですが、ずっと出先で作業していたのですが、
そのシンクライアントでは投稿しても反応せず、
やっと自社に戻り、通常PCで投稿させていただきました。
本当に遅くなりすいませんでした。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。