Вот моя установка. У меня Cisco ASA 5505 (последняя версия IOS). За ним у меня есть сервер (Ubuntu 12.04), на котором запущены nginx, php-fpm, OwnCloud (все последние версии). Мой рабочий стол также находится за ASA и может без проблем получить доступ к OwnCloud. Если я подключу свой планшет Android к нашей точке беспроводного доступа, а затем получу доступ к веб-интерфейсу OwnCloud, все будет работать нормально.
Я установил L2TP / IPSEC VPN на ASA. Я могу отключить свой Ethernet на своем рабочем столе, подключиться к моему телефону и подключиться к VPN. Оттуда я могу подключиться по SSH к серверу nginx, VNC к другим настольным машинам и получить доступ к веб-интерфейсу OwnCloud. Все работает идеально.
Я могу подключить Android-планшет к VPN (через точку доступа). Оттуда я могу подключиться по SSH к серверу nginx, VNC - к настольным машинам. Проблема возникает, когда я пытаюсь получить доступ к веб-интерфейсу OwnCloud. Не работает. Он просто сидит и крутится. Странно то, что я создаю файл test.php в каталоге OwnCloud (с помощью простого echo('hello world');), и эта страница загружается нормально.
Я захватил трафик на сервере с помощью tcpdump и вижу, что поступает запрос GET. Сервер отвечает. Затем я вижу пару дублированных ACKS, исходящих от планшета, и несколько повторных передач, исходящих с сервера.
Следует отметить, что клиентам VPN даются IP-адреса в другой подсети.
Вот моя конфигурация nginx:
upstream php-handler {
server 127.0.0.1:9000;
}
# redirect http to https
server {
listen 80;
server_name 10.3.3.3;
#return 301 https://$server_name$request_uri; # enforce https
root /var/www/owncloud/;
client_max_body_size 10G;
client_body_timeout 600s;
client_header_timeout 600s;
rewrite ^/caldav(.*)$ /remote.php/caldav$1 redirect;
rewrite ^/carddav(.*)$ /remote.php/carddav$1 redirect;
rewrite ^/webdav(.*)$ /remote.php/webdav$1 redirect;
index index.php;
error_page 403 /core/templates/403.php;
error_page 404 /core/templates/404.php;
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location ~ ^/(data|config|\.ht|db_structure\.xml|README) {
deny all;
}
location / {
# The following 2 rules are only needed with webfinger
rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json last;
rewrite ^/.well-known/carddav /remote.php/carddav/ redirect;
rewrite ^/.well-known/caldav /remote.php/caldav/ redirect;
rewrite ^(/core/doc/[^\/]+/)$ $1/index.html;
try_files $uri $uri/ index.php;
}
location ~ ^(.+?\.php)(/.*)?$ {
try_files $1 = 404;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$1;
fastcgi_param PATH_INFO $2;
fastcgi_param HTTPS off;
fastcgi_pass php-handler;
}
# Optional: set long EXPIRES header on static assets
location ~* ^.+\.(jpg|jpeg|gif|bmp|ico|png|css|js|swf)$ {
expires 30d;
# Optional: Don't log access to assets
access_log off;
}
}
Таким образом, все устройства работают нормально в локальной сети. Клиенты для настольных ПК (OS X) нормально работают при подключении через VPN. Мобильные клиенты VPN (планшеты Android) могут подключаться к локальным машинам по SSH и VNC. HTTP-запросы также отлично работают для VPN на моей простой тестовой странице, но не могут получить доступ к OwnCloud. Что я могу сделать для дальнейшей диагностики проблемы? В чем проблема?
Вам нужен NAT-бокс с записями DNS для вашей локальной сети. Это серьезно упростит работу с вашими виртуальными хостами, сделает их более подробными и согласованными между локальными и удаленными сетями ...
Действительно приятно иметь доменное имя, посвященное Owncloud. Действительно приятно иметь такое же доменное имя для вашего скрытого Owncloud. И когда вы заходите в VPN, он должен работать, пока ваши маршруты разрешают доступ к вашей локальной подсети.
Все мои машины или сайты виртуальных машин имеют собственную уникальную запись DNS и статический IP-адрес. Это дополнительный шаг, но его организация более профессиональна.