Nextcloud Reverse Proxy nicht funktional

🌐 Non-english support 🇩🇪 Deutsch (german)
, , , ,
1

Liebe Nutzer des deutschen Subforums.

Wir haben eine grosse Umstellung auf unserer Nextcloud gemacht und geraten nun in ein grosses Problem, welche einen grossen Rattenschwanz mit sich zieht.

Folgendes Szenario ist eingerichtet

  • AWS EC2 Nextcloud Appserver auf Ubuntu zusammen mit PHP-FPM8.1 und Apache (2 Cores; 2 GB RAM) → Geplant sind mehrere Appserver

  • AWS EC2 NFS Fileserver auf Ubuntu für die zentrale Ablage der statischen Nextcloud Dateien (2 Cores; 0.5 GB RAM)

  • AWS EC2 MariaDB Server auf Ubuntu für die zentrale Datenbank (2 Cores; 1 GB RAM)

  • AWS S3 Storage Backend (Primary) als Datastore für die Userfiles

  • AWS Elastic Application Load Balancer für die Skallierung

  • Nextcloud Version: 28.0.0

  • PHP Version: 8.1

  • Welche Datenbank? MariaDB

  • Netzwerk Aufgliederung: AWS Loadbalancer als Frontend leitet HTTPS Request der HTTP (Port 80) an die Appserver. Das gesamte private 172er Netz ist als Trusted Proxy eingetragen, da die Loadbalancer viele nicht zu definierende IP’s besitzen und diese alle im privaten 172er Netz sind. Appserver greifen via Elastic PubIP auf den DB und NFS Server zu. Die Dateien im Data Directory werden direct nach S3 geschrieben.

  • Wurden vor kurzen Server Updates gemacht? Nein, es ist jedoch eine komplette Neuinstallation

  • Habt ihr die Logs angesehen von Nextcloud und von System? Ja, zum Troubleshooten ist dies wichtig gewesen.

  • Bei was für einer Aktion ist der Fehler aufgetreten? Bei jedem Request.

Nun zu meinem Problem:
Es ist relativ simpel auf mit gravierenden Folgen. Das Problem ist, dass Nextcloud den X_FORWARDED_FOR Header komplett ignoriert und die Request als interne IP der Load Balancer eingeht. Wir schaffen es nicht, den Header von Nextcloud erkennen zu lassen. Die AWS Loadbalancer fügen jedoch den Header an.
Das zieht einen grossen Rattenschwanz mit sich. Aus dem Grund, werden Login Request gedrosselt, da die IP’s oftmals durch Bruteforce Attacken auf einer Greylist liegen und dadurch haben die Syncclient Probleme Dateien hoch und runterziladen und bekommen dauernd 401 Errors.

Daher bitte ich euch, uns zu helfen, dass dieses Konstrukt funktioniert.

Vielen Dank!

Freundliche Grüsse
Anton Kikels