staging.inyokaproject.org

Ich habe eine jitsi-meet Installation auf meinem Arbeitsplatz-Rechner unter ubuntu 18.04 eingerichtet. Um jitsi aus dem Internet erreichbar zu machen, musste ich Freigaben durch meine DMZ einrichten. Auf dem äußeren Router habe ich Port 80, 443, udp:1000 auf den inneren Router freigegeben. Am inneren Router Freigaben von Port 80, 443, udp:1000 auf meinen Arbeitsplatz-Rechner. Das funktionierte ordnungsgemäß. Ich habe Meetings mit bis zu 5 Teilnehmern getestet. Ok, das ist sicherheitstechnisch nicht ideal. Aber das soll ja auch keine Dauerlösung sein.

Parallel dazu betreibe ich mehrere Webserver in meiner DMZ. Die verschiedenen Domain der Webserver werden von einem reverse Proxy verteilt. Dafür habe ich einen Raspi mit Apache2 in der DMZ eingerichtet. Das habe ich für mein jitsi-Experiment abgeschaltet. Ich musste ja Port 80 und 443 auf den inneren Router umlenken.

Jetzt möchte ich sowohl den jitsi-Server und meine Webserver über den reverse Proxy erreicbar machen. Ich habe also Port 80 und 443 wieder auf den Proxy umgelenkt. Die Freigaben im inneren Router so belassen. Im Proxy habe ich folgendes ergänzt:

<VirtualHost *:443>
        ServerName mydomain.diskstation.org
        DocumentRoot /var/www/html/jitsi
        SSLEngine on
        SSLInsecureRenegotiation off
        SSLProtocol -ALL -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
        SSLHonorCipherOrder On
        SSLEngine on
        SSLInsecureRenegotiation off
        SSLProtocol -ALL -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
        SSLHonorCipherOrder On
        SSLCertificateFile /etc/apache2/ssl/fullchain_jitsi.pem
        SSLCertificateKeyFile /etc/apache2/ssl/privkey_jitsi.pem
        SSLProxyEngine on
        SSLProxyVerify none
        SSLProxyCheckPeerCN off
        SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off
        ProxyRequests off
        RewriteEngine On
        ProxyPass "/" "https://192.168.57.26/"          # Das ist die Adresse des inneren Routers
        ProxyPassReverse "/"  "https://192.168.57.26/"
</VirtualHost>

Wenn ich meine jitsi-Domain im Browser aufrufe, kommt folgende Meldung:

Proxy Error
The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request

Reason: Error reading from remote server

Im error.log von jitsi auf dem Arbeitsplatz-Rechner:

[Tue May 26 14:00:52.631126 2020] [rewrite:trace2] [pid 25512] mod_rewrite.c(475): [client 80.243.32.216:59092] 80.243.32.216 - - [mydomain.diskstation.org/sid#760080d0][rid#6c9eb058/initial] init rewrite engine with requested uri /
[Tue May 26 14:00:52.631321 2020] [rewrite:trace1] [pid 25512] mod_rewrite.c(475): [client 80.243.32.216:59092] 80.243.32.216 - - [mydomain.diskstation.org/sid#760080d0][rid#6c9eb058/initial] pass through /
[Tue May 26 14:00:52.699088 2020] [rewrite:trace2] [pid 25512] mod_rewrite.c(475): [client 80.243.32.216:59092] 80.243.32.216 - - [mydomain.diskstation.org/sid#760080d0][rid#6c9e9058/initial] init rewrite engine with requested uri /favicon.ico, referer: https://mydomain.diskstation.org/
[Tue May 26 14:00:52.699151 2020] [rewrite:trace1] [pid 25512] mod_rewrite.c(475): [client 80.243.32.216:59092] 80.243.32.216 - - [mydomain.diskstation.org/sid#760080d0][rid#6c9e9058/initial] pass through /favicon.ico, referer: https://mydomain.diskstation.org/
[Tue May 26 14:00:52.732097 2020] [rewrite:trace2] [pid 26275] mod_rewrite.c(475): [client 80.243.32.216:59098] 80.243.32.216 - - [mydomain.diskstation.org/sid#760080d0][rid#6c9f0058/initial] init rewrite engine with requested uri /favicon.ico, referer: https://mydomain.diskstation.org/
[Tue May 26 14:00:52.732194 2020] [rewrite:trace1] [pid 26275] mod_rewrite.c(475): [client 80.243.32.216:59098] 80.243.32.216 - - [mydomain.diskstation.org/sid#760080d0][rid#6c9f0058/initial] pass through /favicon.ico, referer: https://mydomain.diskstation.org/

Wenn ich im Browser die Adresse des inneren Routers aufrufe

https://192.168.57.26

wird zwar das nicht passende Zertifikat bemängelt, aber jitsi meldet sich ordnungsgemäß mit dem Anmeldungs-Bildschirm. Die Verbindung vom inneren Router zum jitsi funktioniert also.

Ich kann auch den Proxy-Eintrag so verändern

        ProxyPass / https://meet.b-tu.de/
        ProxyPassReverse / https://meet.b-tu.de/

damit erreiche ich beim Aufruf meiner jitsi-Domaine den fremden jitsi-Server, der dann ordnungsgemäß funktioniert. Die Weiterleitung per https scheint also auch zu funktionieren.

Hat Jemand noch eine Idee, wie ich weiter vorgehen könnte?