Nginx Proxy

[GooG1e]

Всем привет! Решил настроить nginx как reverse прокси для сайтов, которые находятся в моей сети (сайтов несколько и на разных виртуалках, а хочется иметь к ним доступ из интернета).
ну так вот установил на виртуалку nginx, сел настраивать reverse прокси. Конфиг получился примерно такой для https:

Код: [Выделить]

upstream backend-ssl{

server 192.168.1.180:443;
}
server {
listen       192.168.1.190:443;
server_name ***;

ssl                     on;
    ssl_protocols           SSLv3 TLSv1;
ssl_certificate /etc/letsencrypt/live/***/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/***/privkey.pem;

error_log /var/log/nginx/error.log;
access_log /var/log/nginx/access.log;



location / {
proxy_pass https://backend-ssl;
proxy_redirect        off;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;

proxy_set_header X-Forwarded-Server $host;

        proxy_pass_header Set-Cookie;
}
location /.well-known {
                allow all;
root /home/https;
        }

}

Но прикол в том, что из интернета по доменному имени я зайти могу, а когда пытаюсь сделать это из внутренней сети по внешнему имени, то фигня полная получается.
В логах пишет вот это

(Нажмите, чтобы показать/скрыть)

192.168.1.50 - - [28/Sep/2016:12:13:16 +0300] "GET / HTTP/1.1" 502 583 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
192.168.1.50 - - [28/Sep/2016:12:13:16 +0300] "GET /favicon.ico HTTP/1.1" 502 583 "http://***/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
192.168.1.50 - - [28/Sep/2016:12:13:29 +0300] "GET / HTTP/1.1" 502 583 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
192.168.1.50 - - [28/Sep/2016:12:13:29 +0300] "GET /favicon.ico HTTP/1.1" 502 583 "http://***/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
192.168.1.50 - - [28/Sep/2016:12:14:01 +0300] "GET / HTTP/1.1" 403 735 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
192.168.1.50 - - [28/Sep/2016:12:14:01 +0300] "GET /favicon.ico HTTP/1.1" 403 735 "http://***/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"

Пожалуйста подскажите в чём может быть проблема и как её починить?
Заранее спасибо!

[AnrDaemon]

Тебе не нужен upstream если у тебя всего один апстрим.
Для ssl - listen 443 ssl;
"ssl on" устарела и может быть удалена в следующем релизе.
ssl_protocols нужно использовать ТОЛЬКО ЕСЛИ ЭТО ПРЯМО УКАЗАНО, например, в CVE mitigation guide.
Либо если ты точно знаешь, что делаешь.
Изнутри по внешнему имени можно зайти только в двух случаях - кривая настройка файервола либо внешнее имя внутри сети ресолвится во внутренний IP адрес.
Ну и вообще, почему не просто пробросить порты? Судя по всему, nginx в вашей ситуации не нужен совершенно.

[GooG1e]

Я настроил так файрволл на роутере, чтобы изнутри можно было зайти по внешнему адресу через маскардинг.
Пробрасывать порты не получится т.к. я показал только ту часть сайта, которая не работает. там есть ещё парочка, к которым тоже нужен доступ и простым пробрасыванием портов я не отделаюсь.

[AnrDaemon]

curl'ом попробуйте проверить, и внешний и внутренний адрес.

[GooG1e]

если я изнутри цепляюсь к внутреннему всё работает
если я изнутри цепляюсь к внешнему адресу, который перенаправляется на внутренний, то пишет Connection refused
если я снаружи цепляюсь к внешнему адресу, то всё работает

Без https это нормально работает т.е. с обычным http всё нормально в любой из 3х ситуаций.

[AnrDaemon]

К внутреннему адресу проксирующего сервера? В логах всё видно? Как приходит прокси запрос, как он уходит на апстрим?
Тогда смотрите tcpdump, что куда у вас бегает при запросе через роутер.

[GooG1e]

На проксирующий сервер запрос приходит при запросе через внешний адрес, но вот дальше что с ним происходит непонятно
P.S. Судя по логам на внутренний сервер, на который я хочу получить доступ через прокси, вообще запросы не приходят

[AnrDaemon]

Смотрите tcpdump, куда и откуда ходят пакеты.
Возможно, роутер не маскарадит ваш IP и ответ от сервера идёт вам напрямую и отбивается системой как спуф.

[GooG1e]

Спасибо за помощь!
Косяк был на стороне роутера)