Geen beveiligde verbinding met zelf-gehoste Discourse na laatste update

lubezniy · 28 juli 2025 om 11:39

Hallo. Ik heb Discourse Image en Discourse een paar uur geleden bijgewerkt met ./launcher rebuild app. Tijdens het proces kreeg ik enkele fouten die werden opgelost door verouderde plugin-installatielijnen uit app.yml te verwijderen. Er zijn geen andere configuratiewijzigingen aangebracht. Nu heb ik een draaiende Docker-container die luistert naar TCP-poorten 80 en 443, maar nginx in de container weigert SSL/TLS-verbindingen te accepteren. error.log binnen de container toont geen fouten, access.log toont geen verzoeken, telnet naar poort 443 toont verbindingsweigering, HTTP-toegang op TCP-poort 80 werkt, maar we hebben problemen met SSO-authenticatie (waarschijnlijk is het een probleem met alleen-veilige cookies). Launcher restart en discourse-doctor helpen niet. Het opnieuw starten van nginx binnen de container helpt ook niet. Waar moet ik nu kijken en wat moet ik doen?

Ethsim2 · 28 juli 2025 om 11:59

it will do if ufw is enabled and not set-up to allow connections on https port 443

Edit: you’ll need this port to be open for mail-receiver to work properly

lubezniy · 28 juli 2025 om 12:13

Ik heb niets gedaan met de configuratie van ufw, iptables, etc. De poort was precies geopend vóór de update. Kan de configuratie zijn gewijzigd met het Discourse-updateproces?

Ethsim2 · 28 juli 2025 om 12:22

it absolutely could, Discourse docker container should step in front of ufw. However, not have prt 443 open causes issues in cross-talk between different containers or issue with telnet

what deos .\launcher logs app return? (you can use MS word to redact your domain name, etc.)

do you access your server through PuTTy or another SSH client? opening port 22 ?

tanya_byrne · 28 juli 2025 om 17:13

Ik zie dit probleem ook op een zelf-gehoste instantie na een recente rebuild. Geen wijzigingen in de configuratie behalve de rebuild zelf. Ik kan de server benaderen via SSH en dit is de output van ./launcher logs app.


run-parts: executing /etc/runit/1.d/00-ensure-links
run-parts: executing /etc/runit/1.d/00-fix-var-logs
run-parts: executing /etc/runit/1.d/01-cleanup-web-pids
run-parts: executing /etc/runit/1.d/anacron
run-parts: executing /etc/runit/1.d/cleanup-pids
Cleaning stale PID files
run-parts: executing /etc/runit/1.d/copy-env
run-parts: executing /etc/runit/1.d/install-ssl
Started runsvdir, PID is 45
ok: run: redis: (pid 55) 0s
supervisor pid: 53 unicorn pid: 76

Docker container draait zoals blijkt uit mijn output van docker ps. (container id geredigeerd)

local_discourse/app “/sbin/boot” 16 minuten geleden Omhoog 16 minuten 0.0.0.0:80-\u003e80/tcp, [::]:80-\u003e80/tcp, 0.0.0.0:443-\u003e443/tcp, [::]:443-\u003e443/tcp, 0.0.0.0:5432-\u003e5432/tcp, [::]:5432-\u003e5432/tcp app

Een belangrijk punt om te benadrukken, we gebruiken LetsEncrypt niet voor onze certificaten, vanwege de vereiste specifieke issuer. Dit certificaat is echter niet gewijzigd en werkte prima voor de rebuild (en certificaten die op deze manier zijn uitgegeven, werken al jaren op onze instanties).

Er lijkt een discrepantie te zijn tussen het IP dat nginx verwacht (lokaal IP 127.0.0.1) en degene die aan de container is toegewezen. Het lijkt erop dat de container in bridge-modus draait? Hier zijn de netwerkinstellingen van de container. (Let op: dit logboek is van toen ik dit probleem vrijdag voor het eerst identificeerde en begon te onderzoeken)

"Labels": {
    "org.opencontainers.image.created": "2025-07-25T21:40:36+00:00"
},
"NetworkSettings": {
    "Bridge": "",
    "SandboxID": "[REDACTED]",
    "SandboxKey": "[REDACTED]",
    "Ports": {
        "443/tcp": [
            {
                "HostIp": "0.0.0.0",
                "HostPort": "443"
            },
            {
                "HostIp": "::",
                "HostPort": "443"
            }
        ],
        "5432/tcp": [
            {
                "HostIp": "0.0.0.0",
                "HostPort": "5432"
            },
            {
                "HostIp": "::",
                "HostPort": "5432"
            }
        ],
        "80/tcp": [
            {
                "HostIp": "0.0.0.0",
                "HostPort": "80"
            },
            {
                "HostIp": "::",
                "HostPort": "80"
            }
        ]
    },
    "HairpinMode": false,
    "LinkLocalIPv6Address": "",
    "LinkLocalIPv6PrefixLen": 0,
    "SecondaryIPAddresses": null,
    "SecondaryIPv6Addresses": null,
    "EndpointID": "[REDACTED]",
    "Gateway": "172.17.0.1",
    "GlobalIPv6Address": "",
    "GlobalIPv6PrefixLen": 0,
    "IPAddress": "172.17.0.2",
    "IPPrefixLen": 16,
    "IPv6Gateway": "",
    "MacAddress": "[REDACTED]",
    "Networks": {
        "bridge": {
            "IPAMConfig": null,
            "Links": null,
            "Aliases": null,
            "MacAddress": "[REDACTED]",
            "DriverOpts": null,
            "GwPriority": 0,
            "NetworkID": "[REDACTED]",
            "EndpointID": "[REDACTED]",
            "Gateway": "172.17.0.1",
            "IPAddress": "172.17.0.2",
            "IPPrefixLen": 16,
            "IPv6Gateway": "",
            "GlobalIPv6Address": "",
            "GlobalIPv6PrefixLen": 0,
            "DNSNames": null
        }
    }
}

tanya_byrne · 28 juli 2025 om 18:38

Er lijkt een recent samengevoegde PR te zijn die een nieuwe var-vereiste heeft geïntroduceerd voor app.yml. Dit lijkt nog niet gedocumenteerd te zijn, maar je moet ENABLE_SSL: true toevoegen aan je app.yml-bestand.

pfaffman · 28 juli 2025 om 22:41

That sounds like a bug. Ssl has been on by default for some years. Can you link to the commit?

I see it in the code in the ssl template. I may be missing something since I’m in my phone and github is having issues, but it looks like it’ll break every self hosted site.

featheredtoast · 28 juli 2025 om 23:18

It’s this one here, definitely an unintended bug with merging the ssl-on-boot configuration:

github.com/discourse/discourse_docker

FEATURE: Move letsencrypt scripts to work on boot

main ← runtime-letsencrypt

opened 07:57AM - 16 Jul 25 UTC

featheredtoast

+105 -77

Allows ssl and letsencrypt templates to run on boot via initscripts This chan…ge adds the decision to configure https or letsencrypt to be at runtime rather than at build time via env vars. Under the hood, these are the commands, just migrated to shellscripts that run when a container boots. Runs on existence of ENABLE_SSL (base ssl template) or LETSENCRYPT_ACCOUNT_EMAIL (ssl template+letsencrypt template) Both cases checks and errors on blank hostname.

I’ve updated the ENABLE_SSL to be 1 by default here:

Thanks for the catch @tanya_byrne

pfaffman · 28 juli 2025 om 23:44

Goed gered, Jeff! Bedankt!

tanya_byrne · 29 juli 2025 om 00:13

Bedankt voor de oplossing @featheredtoast

lubezniy · 29 juli 2025 om 11:06

Bedankt, jongens. We hebben het probleem ook opgelost.

system · 28 augustus 2025 om 11:06

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

Topic		Antwoorden	Weergaven
No connection accepted on http / https after fresh installation on Ubuntu 22.04 LTS Installation	5	2284	16 december 2022
Forum doesn't load after enabling SSL with Let's Encrypt Installation	9	1213	8 augustus 2018
Discourse has stopped opening Installation	39	5751	19 maart 2022
CONNECTION REFUSED on self-hosted instance after rebuild Bug	4	76	29 juli 2025
Installed Discourse in Docker, Cannot Connect Installation	6	1856	8 augustus 2021

Geen beveiligde verbinding met zelf-gehoste Discourse na laatste update

Gerelateerde topics