https://www.opennet.ru/openforum/vsluhforumID12/7367.html Всем привет.<br><br>Не могу найти вариант заставить работать прокси на две (и более на перспективу вирт машин)<br><br>Сейчас имеем:<br>Пул сайтов ВМ которые висят на ип 192.168.1.35 и прекрасно проксируютс Хапрокси. Каждый сайт имеет свой сертификат.<br><br>Я завел еще одну ВМ 192.168.1.33 - (црм, офис и тп) - ну блин не могу добиться нормальной работы, все время отдается сертификат одной из машин с первой ВМ<br><br>Вот конфиг - что не так делаю?<br><br>UPD<br>root@HAPROXY:~# curl -I https://crm2.mysite.ru<br>curl: (51) SSL: no alternative certificate subject name matches target host name 'crm2.mysite.ru'<br><br>frontend MY-SSL<br>bind *:443<br> mode tcp<br># mode http<br># option forwardfor<br># reqadd X-Forwarded-Proto:\ https<br> use_backend MY-SSL<br><br>backend MY-SSL<br> mode tcp<br> stick-table type ip size 1m expire 1h<br> stick on src<br> timeout connect 10s<br> timeout client 1m<br> timeout server 1m<br> option ssl-hello-chk<br> server mysite.ru 19 https://www.opennet.ru/openforum/vsluhforumID12/7367.html#6 Thu, 07 Jan 2021 20:37:50 GMT Спасибо вам за ссылку, помогло!<br>+ пришлось купить новый домен и перевести не работающий сайт на него тк на прежнем было включено HSTS (это зло) и выдавался один из сертификатов с сервера 192.168.1.35 (первый по списку, это уже проделки sni)<br>Так что вопрос можно закрыть.<br>Еще раз спасибо!<br>&gt; https://dev.to/dviejopomata/haproxy-multiple-certificates-over-single-ip-using-sni-29ka <br>&gt; Ну и смотрите https://medium.com/@olivier.ragain/haproxy-https-load-balancing-on-sni-207c17398d19 https://www.opennet.ru/openforum/vsluhforumID12/7367.html#5 Thu, 07 Jan 2021 12:22:19 GMT Спасибо за ваш ответ.<br>Я попробую вашу ссылку, по итогам отпишу.<br><br>PS я пробовал (убрав все остальные сайты из конфига хапрокси) заходить из инета на нужную мне ВМ - все равно не шло. Хотя курлом с любых других моих ВМ в той же сети прокси вроде как отрабатывал. Но вот в комплексе не идет хоть ты лопни..<br>&gt; Типа так: <br>&gt; https://dev.to/dviejopomata/haproxy-multiple-certificates-over-single-ip-using-sni-29ka https://www.opennet.ru/openforum/vsluhforumID12/7367.html#4 Thu, 07 Jan 2021 00:48:46 GMT &gt; Нет, проблем с ВМ откуда должен прийти ответ вообще не идет <br><br>Оцените сами свой конфиг. Фронтэнды описаны совершенно одинаково, ниоткуда не понятно, в каком случае должна применятся одна конфигурация, а когда другая. Странно что оно вообще не ругается на два разных bind-а на одном и том-же порту.<br><br>&gt; Я задавал вопрос на их сайте https://discourse.haproxy.org/t/haproxy-can-proxy-to-multiple-separate-vms/6057/4 <br><br>Вам там всё правильно сказали. Надо чтобы HAProxy разобрал запрос HTTP, прочухал к какому сайту обращаются и на основе этого выбрал правильный бакэнд. Узнать имя сайта который просит клиент, не начиная, собственно, SSL/TLS сессию (для этого нужен сертификат и ключ), сервер может с помощью SNI.<br><br>&gt; Похоже нет роутинга на вторую ВМ а как его сделать я чего <br>&gt; то не догоняю, если честно <br><br>Типа так:<br>https://dev.to/dviejopomata/haproxy-multiple-certificates-over-single-ip-using-sni-29ka<br><br>Ну и смотрите https://medium.com/@olivier.ragain/haproxy-https-load-balancing-on-sni-207c17398d19<br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/7367.html#3 Wed, 06 Jan 2021 21:53:02 GMT Особо не принципиально tcp mode или нет, мне надо просто что бы работало :)<br> https://www.opennet.ru/openforum/vsluhforumID12/7367.html#2 Wed, 06 Jan 2021 21:51:20 GMT Нет, проблем с ВМ откуда должен прийти ответ вообще не идет<br>Я задавал вопрос на их сайте https://discourse.haproxy.org/t/haproxy-can-proxy-to-multiple-separate-vms/6057/4<br>Похоже нет роутинга на вторую ВМ а как его сделать я чего то не догоняю, если честно<br><br>&gt; У вас только с сертификатом проблема? Подозреваю, что ваш HAPROXY не умеет <br>&gt; отличить запрос к MY-SSL от MY-CRM и просто обращается всегда к <br>&gt; первому.<br>&gt; Возможные меры: <br>&gt; Разнесите сайты по разным портам (некрасиво) или адресам на прокси, раз так <br>&gt; нужен mode tcp.<br>&gt; Используйте один и тот-же сертификат на разных сайтах (лучше не).<br>&gt; Терминируйте TLS на прокси, Nginx хорошо справляется. https://www.opennet.ru/openforum/vsluhforumID12/7367.html#1 Wed, 06 Jan 2021 21:13:50 GMT У вас только с сертификатом проблема? Подозреваю, что ваш HAPROXY не умеет отличить запрос к MY-SSL от MY-CRM и просто обращается всегда к первому.<br><br>Возможные меры:<br>Разнесите сайты по разным портам (некрасиво) или адресам на прокси, раз так нужен mode tcp.<br>Используйте один и тот-же сертификат на разных сайтах (лучше не).<br>Терминируйте TLS на прокси, Nginx хорошо справляется.<br><br>