Ошибка CSRF при входе через HA Proxy

Поддержка Самостоятельное хостинг
1

Привет, ребята, надеюсь, это правильное место, чтобы попросить помощи по этому вопросу.
Недавно я изменил обратный прокси-сервер, который стоит перед сервером Discourse.
У меня есть сервер с несколькими установленными экземплярами Discourse и обратный прокси-сервер перед ними, который направляет домены на нужный веб-сервер.

В обоих случаях я использовал HA Proxy, но разница в платформе: раньше он был установлен на PFSense, а теперь на OPNsense.

Обратный прокси работает отлично, но при попытке войти в систему я получаю ошибку CSFR и не могу ничего сделать.

В настройках Discourse ничего не менялось, а конфигурация HA Proxy скопирована, так что всё должно быть в порядке.
Я включил XForwardedFor и SSL, но Discourse всё ещё, похоже, не видит IP-адрес клиента, а видит только адрес прокси.

Вот пост на Reddit, где я также запросил поддержку: https://www.reddit.com/r/OPNsenseFirewall/comments/l4ltxb/migration_from_pfsense_to_opnsense_ha_proxy/?utm_source=share&utm_medium=web2x&context=3

2

Не знаю, исправит ли это проблему с CSRF (я полагаю, что она связана с проблемами сертификата HTTPS, но точно не уверен), но вы настроили пересылку заголовка, указав nginx внутри контейнера, каким адресам доверять. Вы можете поискать здесь информацию о X-forwarded-for и найти примеры того, как это исправить.

3

Спасибо за ваш ответ.
Я посмотрел на форуме, но не смог найти актуальной информации.

Есть много старых тем с упоминанием Real_ip для настройки в nginx внутри контейнера, но я не знаю, как это сделать.

Можете посоветовать какой-то конкретный гайд?

4

Я не вижу конкретного руководства, но постараюсь создать его в ближайшее время. Вот ссылка: Inconsistent / missing registration & last IP - #13 by pfaffman, которая, по моему мнению, должна предоставить вам всё необходимое для настройки real-ip.

5

Вам также необходимо отправлять заголовок X-Forwarded-Proto.

6

СПАСИБО! Честно говоря, я три дня ходил кругами, и это решило проблему!

Я также добавил Proto Header, и это сработало!

Screenshot 2021-01-26 at 09.41.24
Screenshot 2021-01-26 at 09.41.241834×482 33.5 KB

7

Кстати, существует множество примеров конфигураций для серверов обратного прокси перед приложением Discourse, включая этот. Почти во всех из них упоминается заголовок “X-Forwarded-Proto”: