Nginx/ReverseProxy: ERR_CONNECTION_CLOSED bei größerem POST (Chrome+Safari)

Begonnen von FunkOdyssey, 10 Dezember 2020, 15:55:27

Vorheriges Thema - Nächstes Thema

FunkOdyssey

Hallo, ich habe Probleme, größere forms in FHEM per POST abzusenden.
Ich habe Nginx als ReverseProxy vor FHEM geschaltet.

Wenn ich ein größeres DOIF oder auch sonstige Eingaben absende, so bleibt das Fenster stehen und es passiert nicht. Es kommt auch kein Timeout.

In der Konsole sehe ich folgende (gekürzte) Ausgabe:

jquery.min.js:4 POST https://domain.de/fhem?cmd.modifydi_test%3Dmodify%20di_test....... net::ERR_CONNECTION_CLOSED
send @ jquery.min.js:4
ajax @ jquery.min.js:4
FW_cmd @ fhemweb.js:549
(anonymous) @ fhemweb.js:787
dispatch @ jquery.min.js:3
r.handle @ jquery.min.js:3


Ich habe das auf verschiedenen Geräten und in allen Browsern. Auch im Safari auf einem iPhone.
Am FHEM-Style liegt es auch nicht. Und auch ohne CodeMirror kommt es zu diesem Verhalten.
Nachtrag: Es scheint im Firefox nicht aufzutreten.

Die URL im POST ist insgesamt 4900 Bytes lang.

Nginx-Konfiguration:

# If we receive X-Forwarded-Proto, pass it through; otherwise, pass along the
# scheme used to connect to this server
map $http_x_forwarded_proto $proxy_x_forwarded_proto {
  default $http_x_forwarded_proto;
  ''      $scheme;
}
# If we receive X-Forwarded-Port, pass it through; otherwise, pass along the
# server port the client connected to
map $http_x_forwarded_port $proxy_x_forwarded_port {
  default $http_x_forwarded_port;
  ''      $server_port;
}
# If we receive Upgrade, set Connection to "upgrade"; otherwise, delete any
# Connection header that may have been passed to this server
map $http_upgrade $proxy_connection {
  default upgrade;
  '' close;
}
# Apply fix for very long server names
server_names_hash_bucket_size 128;
# Default dhparam
# Set appropriate X-Forwarded-Ssl header
map $scheme $proxy_x_forwarded_ssl {
  default off;
  https on;
}
gzip_types text/plain text/css application/javascript application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
log_format vhost '$host $remote_addr - $remote_user [$time_local] '
                 '"$request" $status $body_bytes_sent '
                 '"$http_referer" "$http_user_agent"';
access_log off;
                ssl_protocols TLSv1.3;
                ssl_ciphers HIGH:!aNULL:!MD5;
                ssl_prefer_server_ciphers off;
# HTTP 1.1 support
proxy_http_version 1.1;
proxy_buffering off;
proxy_set_header Host $http_host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $proxy_connection;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
proxy_set_header X-Forwarded-Ssl $proxy_x_forwarded_ssl;
proxy_set_header X-Forwarded-Port $proxy_x_forwarded_port;
# Mitigate httpoxy attack (see README for details)
proxy_set_header Proxy "";
server {
        server_name _; # This is just an invalid value which will never trigger on a real hostname.
        listen 80;
        access_log /var/log/nginx/access.log vhost;
        return 503;
}
server {
        server_name _; # This is just an invalid value which will never trigger on a real hostname.
        listen 443 ssl http2;
        access_log /var/log/nginx/access.log vhost;
        return 503;
        ssl_session_cache shared:SSL:50m;
        ssl_session_tickets off;
        ssl_certificate /etc/nginx/certs/default.crt;
        ssl_certificate_key /etc/nginx/certs/default.key;
}
# fhem.domain.de
upstream fhem.domain.de {
                                # Cannot connect to network of this container
                                server 127.0.0.1 down;
                        # fhem
                        server 192.168.0.123:8083;
}
server {
        server_name fhem.domain.de;
        listen 80 default_server;
        access_log /var/log/nginx/access.log vhost;
        # Do not HTTPS redirect Let'sEncrypt ACME challenge
        location /.well-known/acme-challenge/ {
                auth_basic off;
                allow all;
                root /usr/share/nginx/html;
                try_files $uri =404;
                break;
        }
        location / {
                return 301 https://$host$request_uri;
        }
}
server {
        server_name fhem.domain.de;
        listen 443 ssl http2 default_server;
        access_log /var/log/nginx/access.log vhost;
        ssl_session_timeout 5m;
        ssl_session_cache shared:SSL:50m;
        ssl_session_tickets off;
        ssl_certificate /etc/nginx/certs/fhem.domain.de.crt;
        ssl_certificate_key /etc/nginx/certs/fhem.domain.de.key;
        ssl_dhparam /etc/nginx/certs/fhem.domain.de.dhparam.pem;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/certs/fhem.domain.de.chain.pem;
        add_header Strict-Transport-Security "max-age=31536000" always;
        include /etc/nginx/vhost.d/default;
        location / {
                proxy_pass http://fhem.domain.de;
                auth_basic      "Restricted fhem.domain.de";
                auth_basic_user_file    /etc/nginx/htpasswd/fhem.domain.de;
        }
}


Die conf wird eigentlich durch ein Docker-Image erstellt (https://github.com/nginx-proxy/nginx-proxy). Ich würde diesen vollautomatischen Weg aber auch verlassen, wenn ich die conf individualisieren müsste.

Kann mir jemand helfen oder einen Hinweis geben, wo ich suchen soll?

Wernieman

- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

FunkOdyssey

Danke für deinen Tipp.
Ich habe das nun an mehreren Stellen eingebaut, aber der Fehler bleibt leider.

Ich habe auch versucht, FHEMWEB das longpoll von websocket auf den Wert 1 zu setzen. Dies machte aber keinen Unterschied. Also wieder zurück zu Websocket.

Das passiert nicht, wenn ich den Host direkt (ohne ReverseProxy) aufrufe.

Wernieman

Du musst es "nur" bei der Reverse-Proxy Definition setzen ....

Sorry aber Deine Definition für den NGINX ist mir zu aufwendig (um nicht sagen kompliziert) um es zu debuggen. Kannst Du es mal Vereinfach probieren?
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

FunkOdyssey

Es war ein langer steiniger Weg, dass endlich herauszufinden.

Mit folgender Ergänzung konnte ich nun größere XHR-Post über HTTP/2 absetzen.

# Increase http2 max sizes
http2_max_field_size 64k;
http2_max_header_size 64k;


Ich habe die nginx-conf, die automatisch durch die Docker-Images erstellt werden, über eine /nginx/conf.d/my_proxy.conf Proxy-weit erweitert: https://github.com/nginx-proxy/nginx-proxy#proxy-wide