<div xmlns="http://www.w3.org/1999/xhtml">I use kubernetes cluster with haproxy-ingress in tcp mode to transfer traffic to more nginx servers that will be terminate ssl connections</div><div xmlns="http://www.w3.org/1999/xhtml"><a href="https://github.com/jcmoraisjr/haproxy-ingress">https://github.com/jcmoraisjr/haproxy-ingress</a></div><div xmlns="http://www.w3.org/1999/xhtml"> </div><div xmlns="http://www.w3.org/1999/xhtml">and there is some configs that are specified</div><div xmlns="http://www.w3.org/1999/xhtml">Config for daemonset with haproxy-ingress</div><div xmlns="http://www.w3.org/1999/xhtml"> </div><div xmlns="http://www.w3.org/1999/xhtml">data:<br />  proxy-body-size: "20m"<br />  log-format: https-log-format<br />  balance-algorithm: roundrobin<br />  nbproc: "4"<br />  nbthread: "4"</div><div xmlns="http://www.w3.org/1999/xhtml"> </div><div xmlns="http://www.w3.org/1999/xhtml">and there is config for ingress</div><div xmlns="http://www.w3.org/1999/xhtml"> </div><div xmlns="http://www.w3.org/1999/xhtml">apiVersion: extensions/v1beta1<br />kind: Ingress<br />metadata:<br />  annotations:<br />    ingress.kubernetes.io/ssl-passthrough: "true"<br />    kubernetes.io/ingress.class: "haproxy"</div><div xmlns="http://www.w3.org/1999/xhtml"> </div><div><br /></div><div><br /></div><div>22.01.2019, 16:59, "Maxim Dounin" <mdounin@mdounin.ru>:</div><blockquote type="cite"><p>Hello!<br /><br />On Mon, Jan 21, 2019 at 11:59:25PM +0300, Алексей wrote:<br /><br /></p><blockquote>    I use nginx 1.13.6 as server for mutual tls auth with clients certs<br /></blockquote><p><br />Note that 1.13.6 is a mainline version which is not supported <br />since release of 1.13.7 at 21 Nov 2017.  You may want to upgrade <br />to a more recent version, e.g., latest mainline is 1.15.8.<br /><br /></p><blockquote>    During ab test I get errors ssl read failed(5) closing connection<br /></blockquote><p><br />Error 5 is SSL_ERROR_SYSCALL suggests that futher information is <br />available in errno, and ab does not try to test/log errno.  You <br />may want to use strace / ktrace / truss to find out which error <br />actually happened.<br /><br /></p><blockquote>    In nginx log (debug mode) I get<br /><br />    2019/01/21 23:50:01 [debug] 26#26: *27497 http check ssl handshake<br />    2019/01/21 23:50:01 [debug] 26#26: *27497 http recv(): 1<br />    2019/01/21 23:50:01 [debug] 26#26: *27497 https ssl handshake: 0x16<br />    2019/01/21 23:50:01 [debug] 26#26: *27497 tcp_nodelay<br />    2019/01/21 23:50:01 [debug] 26#26: *27497 SSL server name: "meteotravel.ru"<br />    2019/01/21 23:50:01 [debug] 26#26: *27497 SSL_do_handshake: -1<br />    2019/01/21 23:50:01 [debug] 26#26: *27497 SSL_get_error: 2<br />    2019/01/21 23:50:01 [debug] 26#26: *27497 reusable connection: 0<br />    2019/01/21 23:50:02 [debug] 26#26: *27497 SSL handshake handler: 0<br />    2019/01/21 23:50:02 [debug] 26#26: *27497 SSL_do_handshake: -1<br />    2019/01/21 23:50:02 [debug] 26#26: *27497 SSL_get_error: 5<br />    2019/01/21 23:50:02 [info] 26#26: *27497 peer closed connection in SSL handshake while SSL handshaking, client: 10.244.5.0, server: 0.0.0.0:443<br /></blockquote><p><br />From nginx point of view, the connection was closed by the client.  <br />The error as returned by OpenSSL is SSL_ERROR_SYSCALL, and errno <br />is 0 so it is not logged.  This indicate a clean TCP-level <br />connection close by the other side.<br /><br /></p><span>-- <br />Maxim Dounin<br /><a href="http://mdounin.ru/">http://mdounin.ru/</a><br />_______________________________________________<br />nginx mailing list<br /><a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br /><a href="http://mailman.nginx.org/mailman/listinfo/nginx">http://mailman.nginx.org/mailman/listinfo/nginx</a><br /></span></blockquote><div><br /></div><div><br /></div><div>-- <br />С уважением, Алексей.</div><div><br /></div>