UltraMonkey-L7

Fork

• ultramonkey-l7-v2
• ultramonkeyl7-repo
• log4cxx
• ultramonkey-l7-mod-url
• ultramonkey-l7-v3
• sslproxy
• l7gui

[Ultramonkey-l7-users 428] SSLの振り分けと接続元IPアドレスの取得について

takep****@gmail***** takep****@gmail*****
2011年 7月 10日 (日) 19:37:21 JST

• 前の記事 [Ultramonkey-l7-users 427] Re: [Ultramonkey-l7-develop 697] Re: Re: Failed to add virtual service to l7vsd エラーについて
• 次の記事 [Ultramonkey-l7-users 429] Re: SSLの振り分けと接続元IPアドレスの取得について
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

　竹内です。連続の質問で申し訳ありません。

　SSLの振り分けについてなのですが、設定方法が良く分かりません。

　やりたいことは、HTTPと同じように下記のように振り分けをしたい、
ということなのですが……

-------------------------------------------------
g.g.g.1:443 → l.l.l.11.443、l.l.l.12:443
（g.g.g.nはグローバルIP、l.l.l.nはローカルIPアドレス）
-------------------------------------------------

サーバ構成は以下の通りです。
-------------------------------------------------
・g.g.g.1 / l.l.l.1 UM-L7稼働サーバ
・l.l.l.11          Webサーバ（リアルサーバ）
・l.l.l.12          Webサーバ（リアルサーバ）
-------------------------------------------------

　まず、l.l.l.11とl.l.l.12に通常と同じように、SSLの有効な証明書の
設定をしました。（各ローカルサーバに共通で1ドメイン分のみです）

（ssl.confにて、
> <VirtualHost _default_:443>
> ServerName example.jp:443

　・SSLCertificateFile（Webサーバ証明書）
　・SSLCertificateKeyFile（秘密鍵）
　・SSLCertificateChainFile（チェーン証明書）
　を指定しました）

# openssl s_client -connect l.l.l.11:443
# openssl s_client -connect l.l.l.12:443

　を実行すると、

> Certificate chain
> (略) /O=example.jp/
> (略) 
> Verify return code: 0 (ok)

　と設定したFQDNが出ます。

　この状態で、l7directord.cfに
-------------------------------------------------
virtual  = g.g.g.1:443
        real = l.l.l.11:443 masq 1
        real = l.l.l.12:443 masq 1
        module        = sessionless --forwarded-for
        service       = https
-------------------------------------------------
　という記述を追加し、実行してみると、2分以上かかって
タイトルタグのみ出たり、すべて表示されたりする状況になりました。
（接続元IPアドレスはl.l.l.1で、UM-L7のローカルIPが出ます）

　そこで、sslidモジュールに記述を変え、
-------------------------------------------------
virtual  = g.g.g.1:443
        real = l.l.l.11:443 masq 1
        real = l.l.l.12:443 masq 1
        module        = sslid --forwarded-for
        service       = https
-------------------------------------------------
　とすると、

-------------------------------------------------
[ERR0201] Failed to add virtual service to l7vsd: `g.g.g.1:443 sslid ',
output: `PARSE ERROR: protocol module argument error(--proto-module):
Option error.'
-------------------------------------------------
　というエラーになります。

　とりえあずマニュアルに記述のあった
-------------------------------------------------
virtual  = g.g.g.1:443
        real = l.l.l.11:443 masq 1
        real = l.l.l.12:443 masq 1
        module        = sslid
        service       = https
-------------------------------------------------
　にすると、接続され、表示速度も問題ないのですが、アクセスログに
記録されるのはUM-L7のローカルIPで、アクセスしてきたユーザのIPアドレスが
分からない状態です。

　アクセスしてきたユーザのIPアドレスをログに残るようにするには、
どのように設定したら良いのでしょうか？
　アドバイスをいただけましたら幸甚です。

　環境は、
・Ultramonkey-L7 V3.0.1(l7vsd、l7directord)
・CentOS 5.6
・Apache2.2.3+MOD_SSL+mod_extract_forwarded
　です。

　長くなってしまい、申し訳ありません。
よろしくお願いいたします。

• 前の記事 [Ultramonkey-l7-users 427] Re: [Ultramonkey-l7-develop 697] Re: Re: Failed to add virtual service to l7vsd エラーについて
• 次の記事 [Ultramonkey-l7-users 429] Re: SSLの振り分けと接続元IPアドレスの取得について
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]