问题标签 [big-ip]

嗨，我是 F5 iRule 的新手。

我正在尝试将 https://website1.com/userid=1234重定向 到 https://website2.com/userid=1234

这样用户标识可能具有的任何值都将在重定向后被保留。

我在想 userid 值应该设置为一个变量。有人可以分享使用什么代码吗？谢谢！

所以https://website1.com/userid=8888应该去https://website2.com/userid=8888等等。

我的目标：上传我的 ssl 证书，为我的虚拟服务器创建一个 ssl-client 配置文件以供使用……</p>

因此，通过大量挖掘旧帖子并猜测 icontrol 其余文档的含义：我能够从本地安装的计算机中获取我的 .pfx 文件 - 将 .crt 和 .key 上传到 f5 ltm（BIG-IP 13.1.1 Build 0.0.4 Final）它们在 gui 中显示如下：（对不起，我无法上传图片）

旁注/问题：过去我设置 ssl-client 配置文件的手动过程是使用 gui 直接安装 pfx - 这使得 ssl 证书具有相互关联的证书和密钥：

这将返回以下错误：

同样，我不是在寻找 powershell 帮助（如果可以的话，那就太好了），但是如果您可以帮助我了解此过程所需的 icontrol rest：

我找到了这个页面：https ://devcentral.f5.com/wiki/iControlREST.APIRef_tm_ltm_profile_client-ssl.ashx 上面的方法已被弃用：已
弃用 - 改用 cert-key-chain 选项。

但我没有找到使用这个 /cert-key-chain 数组的人

也许这就是秘密？

我正在使用 SSE 向客户端推送通知。我的数据服务的结构如下：

当负载均衡器不在图片中时，我的通知工作正常，但是当我引入 f5 负载均衡器时，它不起作用并且连接中断。

f5 负载均衡器是否支持长寿命的 http 连接？我应该做什么样的配置才能让它工作。

我在 BIG-IP APM 上有多个用于不同 VPN 配置文件（不同子网）的 DHCP 池，我想通过 VPN 为用户路由互联网流量（强制所有流量通过 VPN），我有多个自有 IP，通过这些 IP 可以连接到外围防火墙和核心防火墙上的不同子接口。

我当前的路由表如下

内部子网 > 核心防火墙

默认路由>外围防火墙（DMZ接口）

我在 BIG-IP F5 上的默认路由是外围防火墙的子接口，它位于 DMZ 中，用于处理来自 Internet 的请求到 DMZ。

默认情况下，来自 VPN 用户的所有互联网流量都采用默认路由并命中外围的 DMZ 接口，但我想将所有 VPN 用户流量转发到外围防火墙的另一个子接口（使用另一个自有 IP），我怎么能实现这个？

我想做如下路由

源 = VPN_SUBNET > NEXT_HOP（默认路由）= PERIMETER LAN_INTERFACE

我正在开发一个 Java 应用程序。客户端在 F5 负载均衡器之后向服务器发送套接字请求。服务器应记录套接字请求的 IP 地址。如何获取客户端的真实IP地址而不是F5的IP地址。

我不熟悉网络，但我有一个要求，我必须读取一个 big-ip conf 文件并将虚拟 ltm 数据存储在一个文件中。

conf文件示例：

从这个文件中，我需要

虚拟服务器名称 - vs_test

IP:10.01.01.111

端口：80

安全策略：DSS_A_G

有人可以帮我解决这个问题吗？

我正在使用运行 11.8 的 f5 bigip 设备运行 okd 3.6（升级正在进行中）。我们目前有 2 个用于 http(s) 的虚拟服务器，它们执行 nat/pat 并与集群 haproxy 对话。集群配置为使用 redhat/openshift-ovs-subnet。

我现在有用户要求进行 tls 直通。我可以将新的虚拟服务器和 f5 路由器 pod 添加到集群并与我现有的虚拟服务器和 haproxy 一起运行吗？

谢谢你。

我对 SSO 如何在幕后工作的知识非常有限，更不用说它的配置了。我正在使用受 SSO（单点登录）保护的服务器。在这台服务器上，我有多个具有独立应用程序和服务的子域。其中一些具有可用的 API。我正在尝试构建一个访问这些 API 的网站/mashup。那可能吗？

提前致谢

我不知道这是否是服务器策略，但现在，如果我：访问 mywebsite.domain.com -> 重定向到身份提供商 -> 重定向回 mywebsite.domain.com。在这个网站上，我无法访问 API，因为调用被 iP 拦截了。

诸如此Okta 赞助网站之类的来源（请参阅“按请求自定义”部分）提到，自动化请求的 redirect_uri 参数不应具有动态查询部分（例如：用于会话匹配用途）。

引用：

服务器应拒绝任何带有与已注册 URL 不完全匹配的重定向 URL 的授权请求。

我们的 OAuth AZ 提供商是 BIG-IP F5。我们正在设置它，它们似乎符合上述观点。

我们的客户端是在别处构建的 Web 应用程序，它们似乎没有遵循上述规则。这是授权端点的完整表示（已编辑）： https ://ourownF5host.ca/f5-oauth2/v1/authorize?client_id=theIDofOurClient&redirect_uri=https%3A%2F%2FourClientAppHostname%2FClientRessource%2FRessource%3FSessionId%3D76eab448-52d1 -4adb-8eba-e9ec1b9432a3&state=2HY-MLB0ST34wQUPCyHM-A&scope=RessourceData&response_type=code

他们使用的 redirect_uri 格式类似于（为简单起见，我在这里不进行 urlencode）：redirect_uri= https://ourClientAppHostname/ClientRessource/Ressource?SessionId=SOMELONGSESSIONID，每次调用的 SOMELONGSESSIONID 值都不同。

我们深入研究了RFC6749 (OAuth2)，并在第 3.1.2.2 节中找到了这一点：

授权服务器应该要求客户端提供
完整的重定向 URI（客户端可以使用“state”请求
参数来实现每个请求的定制）。如果要求
注册完整的重定向 URI 是不可能的，
授权服务器应该要求注册 URI
方案、权限和路径（允许客户端
在请求
授权时仅动态更改重定向 URI 的查询组件）。

我理解并想在此验证的是，第一个来源 Okta 和 F5 仅接受上述规则的第一部分，并要求重定向 uri 完全注册而没有任何动态部分。

我是否可以肯定他们（Okta 和 F5）不遵守摘录的第二部分，理由是他们应该“允许（ing）客户端在请求授权时仅动态更改重定向 URI 的查询组件”？

或者，RFC6749 是否有任何形式的官方更正/演变，以保证两家公司的设计立场？

我一直在寻找一个 curl 命令，它实际上可以为我提供虚拟服务器的详细信息，例如池名称、IP、HTTP 代码等。我查看了 f5devcentral 页面但没有成功。