Вот моя настройка. У меня Cisco ASA 5505 (последняя версия IOS). За ним у меня есть сервер (Ubuntu 12.04) с nginx, php-fpm, OwnCloud (все последние версии). Мой рабочий стол также находится за ASA и может нормально получить доступ к OwnCloud. Если я подключу свой планшет Android к нашей беспроводной точке доступа, а затем зайду в веб-интерфейс OwnCloud, все будет работать нормально.
Я настроил L2TP/IPSEC VPN на ASA. Я могу отключить свой ethernet на моем рабочем столе, подключиться к телефону и подключиться к VPN. Оттуда я могу подключиться по SSH к серверу nginx, по VNC к другим рабочим столам и получить доступ к веб-интерфейсу OwnCloud. Все работает идеально.
Я могу подключить планшет Android к VPN (через привязку к точке доступа). Оттуда я могу подключиться по SSH к серверу nginx, по VNC к настольным компьютерам. Проблема возникает, когда я пытаюсь получить доступ к веб-интерфейсу OwnCloud. Он не работает. Он просто крутится там. Странно то, что я создаю файл test.php в каталоге OwnCloud (с помощью простого echo('hello world');), и эта страница загружается просто отлично.
Я захватил трафик на сервере с помощью tcpdump и вижу, что приходит запрос GET. Сервер отвечает. Затем я вижу пару дубликатов ACKS, исходящих от планшета, и несколько повторных передач, исходящих от сервера.
Следует отметить, что VPN-клиентам предоставляются IP-адреса в другой подсети.
Вот мой конфиг nginx:
upstream php-handler {
server 127.0.0.1:9000;
}
# redirect http to https
server {
listen 80;
server_name 10.3.3.3;
#return 301 https://$server_name$request_uri; # enforce https
root /var/www/owncloud/;
client_max_body_size 10G;
client_body_timeout 600s;
client_header_timeout 600s;
rewrite ^/caldav(.*)$ /remote.php/caldav$1 redirect;
rewrite ^/carddav(.*)$ /remote.php/carddav$1 redirect;
rewrite ^/webdav(.*)$ /remote.php/webdav$1 redirect;
index index.php;
error_page 403 /core/templates/403.php;
error_page 404 /core/templates/404.php;
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location ~ ^/(data|config|\.ht|db_structure\.xml|README) {
deny all;
}
location / {
# The following 2 rules are only needed with webfinger
rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json last;
rewrite ^/.well-known/carddav /remote.php/carddav/ redirect;
rewrite ^/.well-known/caldav /remote.php/caldav/ redirect;
rewrite ^(/core/doc/[^\/]+/)$ $1/index.html;
try_files $uri $uri/ index.php;
}
location ~ ^(.+?\.php)(/.*)?$ {
try_files $1 = 404;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$1;
fastcgi_param PATH_INFO $2;
fastcgi_param HTTPS off;
fastcgi_pass php-handler;
}
# Optional: set long EXPIRES header on static assets
location ~* ^.+\.(jpg|jpeg|gif|bmp|ico|png|css|js|swf)$ {
expires 30d;
# Optional: Don't log access to assets
access_log off;
}
}
Подводя итог, можно сказать, что все устройства работают нормально, когда находятся в локальной сети. Клиенты для настольных ПК (OS X) работают нормально, когда подключены через VPN. Клиенты для мобильных устройств VPN (планшеты Android) могут подключаться к локальным машинам по SSH и VNC. HTTP-запросы также работают нормально для VPN на моей простой тестовой странице, но не могут получить доступ к OwnCloud. Что я могу сделать для дальнейшей диагностики проблемы? В чем проблема?
решение1
Вам нужен блок NAT с записями DNS для вашей локальной сети. Это серьезно упростит работу с вашими виртуальными хостами, сделает их более подробными и более согласованными между локальными и удаленными сетями...
Очень приятно иметь доменное имя, выделенное для Owncloud. Очень приятно иметь то же самое доменное имя для вашего скрытого Owncloud. И когда вы заходите в VPN, это должно просто работать, пока ваши маршруты разрешают доступ к вашей локальной подсети.
Все мои машины или сайты VM имеют свою собственную уникальную запись DNS и статический IP. Это дополнительный шаг, но гораздо более профессиональный в плане организации.