NGINX Proxy Manager + Synology = 502 Bad gateway

[Googler1]

Caute
mam (chcem mat) self hostovane dve domeny a kazdu na samostatnom HW preto som do synology nainstaloval NGINX Proxy Manager (Docker) podla tohto videa https://www.youtube.com/watch?v=X1jCLKKkYuQ
Nasledne som do NGINX Proxy Manager pridal prvu domenu, ktora je na inom HW, web tej domeny funguje v pohode. Problem nastal, ked som chcel pridat dalsiu domenu (web), ktora ma byt hostovana na tom istom Synology, na ktorom je nainstalovany Proxy Manager - hadze to chybu 502 Bad Gateway Openresty.
V dockery som vytvoril novu mac vlan siet pre NGINX Proxy Mamager a vytvoril bridge.

Do Proxy Managera som pre tu konkretnu domenu zadal realnu Synology LAN IP
V Synology virtual hosts som skusal menit porty 80/443 na ine (pre pripadny konflikt so systemovymi sluzbami) a potom som tieto zmenene porty samozrejme upravil aj v Proxy Manageri, ale ani zmena portov nepomohla.
Dalej som skusal aj nainstalovat do Synology aj Apache (defaultny webserver pre Synology je NGINX), ale zatial to nejde ani pod jednym z nich.
Na routery mam povoleny dns, preto som skusal aj v routery priradit danu domenu pod lan ip synology - nepomohlo.

"zaujimave" sa mi zda, ze ked som experimentoval s roznymi kombinaciami, tak sa mi pri jednej (nespominam si pri akej) stalo, ze ta chyba sa mi zobrazila aj v tedy ked som namiesto domeny zadal do prehliadaca LAN IP, ale v ostatnych pripadoch cez LAN IP to bolo bez chyby.

Mate napady na riesenie?

[molnart]

ten prvy koment pod videom si cital? "** PLEASE READ IF YOU GET THE BAD GATEWAY ERROR **"

ja ked som skusal NPM tak sa mi nejako neosvedcila jednoduchsie mi prislo nastavit reverse proxy priamo v nginx. napr. swag je velmi uztocny kontajner ktory dokaze generovat aj SSL certifikay cez letsencrypt. https://hub.docker.com/r/linuxserver/swag nevyhoda je ze len jednu domenu, ak chces druhu, potrebujes dalsiu instanciu

[Googler1]

ano cital som to ale to sa tyka inej chyby (aj ked s podobnym textom), tyka sa to problemu, ze niekomu nefunguje prihlasenie do NPM.
Mne sa zda NPM zda prave ze velmi funkcny, jednoduchy a uzitocny, ale ked mi nikto neporadi, tak mozno vyuzijem tvoju alternativu. Ja si myslim ze v mojom pripade nie je problem v NPM (lebo druha domena funguje), tipujem to na nastavenia v Synology alebo Dockeru.

[molnart]

domenu musis mat vzdy smerovany na IP adresu kde ti bezi nginx server na porte 80/443. a potom v NPM musis mat nastavene presmerovanie na prislusnu IP adresu a port sluzby kde chces aby domena smerovala.

[Googler1]

no domeny mam smerovane na verejnu ip routera, z routera mam porty 80 a 443 nasmerovanu na docker macvlan ip pre NPM, z NPM to smerujem na LAN IP serverov prislusnych domen na porty 80/443, jedna domena bezi druha nie (ta co je smerovana na Synology nejde) preto, ako pisem vyssie som potom skusal alternativne porty na Synology (7080,8443).
Aby som to napisal jednoznacne Obidve domeny smeruju cez router na NPM a ten ich nasledne rozdeluje - kazdu na iny server v LAN.

[molnart]

stale mi to pride ze to mas nejako divne. namiesto macvlan daj bridge mod, tusim macvlan vidi len sam seba a nevidia sa navzajom alebo nejake podobne obmedzenie tam je. a tie sluzby mas tiez divne nastavene, vsak ich daj na jeden device a na svoje prislusne porty, ked ich mas vsetky na 80/443 tak straca vyznam robit reverse proxy. riesil som to podobnu vec davnejsie, skus vyhladat moje posty s obsahom reverse proxy, mozno ti to pomoze

[Googler1]

tie sluzby mas tiez divne nastavene, vsak ich daj na jeden device a na svoje prislusne porty, ked ich mas vsetky na 80/443 tak straca vyznam robit reverse proxy. riesil som to podobnu vec davnejsie, skus vyhladat moje posty s obsahom reverse proxy, mozno ti to pomoze

vsak oni su smerovane aj teraz na jeden device, na routery su obe domeny natovane na docker NPM cez porty 80/443 (prehliadace nativne ine porty nepouzivaju, takze keby som na routery aj otvoril ine porty, kazdy by ich musel vpisovat do prehliadaca za domenu) Ak si to myslel tak, ze v ramci LAN siete skusit pouzit iny port pre kazdu domenu, tak to som skusal, pisal som to v prvom poste a nepomhlo to.
Skusim pozriet tie tvoje posty a mozno mi nieco docvakne

[Googler1]

Dam sem este error.log z NGINX:

Kód: Vybrať všetko

2022/05/04 22:49:55 [error] 408#408: *213 connect() failed (113: No route to host) while connecting to upstream, client: moja.verejna.ip.adresa, server: mojadomena.sk, request: "GET / HTTP/1.1", upstream: "http://lokalna.ip.adresa.synology:80/", host: "mojadomena.sk"

Output prehliadaca: Bad gateway 502

Doplnim, ze na domenu bolo pri tomto logu pristupovane z LAN

[molnart]

preco sa ti nginx snazi pripojit na tvoju verejnu ip? ma sa pripojit na vnutornu ip tej sluzby

[Googler1]

to neviem presne ani ja, jediny dovod, ktory mi napada je, ze moj ISP pouziva NAT 1:1 cize ja ked otvaram nejake porty do wan, tak aby to fungovalo musim ten traffic smerovat na gateway ISP, ktora vsetok traffic zase "preposiela" na verejnu IP. Ale niez si nie som uplne na 100% isty, ze NAT 1:1 je ten dovod preco sa NGINX pripaja na verejnu IP, ale ina mozna pricina mi nenapada.
Nie som si vedomi, ze by v nejakych nastaveniach / configoch bola priamo pouzita moja verejna IP. Samozrejme okrem toho, ze DNS A zaznamy domen su smerovane na verejnu IP.

[Googler1]

cital som ze v niektorych pripadoch byva tento problem sposobemy starou verziou dockeru a "najnovsia" verzia na synology v package center je stara cca rok, takze som to "vyriesil" pouzitim ineho HW s debian OS a vsetko ide. Teda proxy manager je na debiane, web1 na synology, web2 na debian2

[Googler1]

Este jednu vec sa chcem spytat: Ked chcem v Nginx Proxy Manager Access List povolit pristup na nejaku (sub)domenu iba z niektorych lokalnych ip, tak momentalne mi to nefunguje (aj ked sa pripajam z povolenej ip, tak sa mi zobrazi len typicky error 403). Myslim si, ze je to preto, ze NPM je v normalnej bridge sieti a pravdepodobne "nevidi" ip adresy z lokalnej siete. Ak je moj predpoklad spravny, tak na toto by bolo dobre vytvorit v dockery bud novu macvlan siet alebo host siet.

Vie mi niekto napisat co je pre tento pripad lepsie a ako to urobit?