DevOps Wissensdatenbank
DevOps Wissensdatenbank

Nginx 'Connection Refused'-Fehler beheben: Ein praktischer Leitfaden zur Fehlerbehebung

Lassen Sie nicht zu, dass 'Connection Refused'-Fehler Ihren Dienst stoppen. Dieser umfassende Leitfaden liefert fachkundige, umsetzbare Schritte zur Behebung von Nginx-Verbindungsfehlern. Erfahren Sie, wie Sie systematisch häufige Ursachen diagnostizieren, darunter inaktive Nginx-Dienste, restriktive lokale und Cloud-Firewalls sowie falsch konfigurierte Reverse-Proxy-Einstellungen. Wir erläutern essenzielle Befehle – von der Überprüfung des Dienststatus und aktiver Ports (`ss`, `systemctl`) bis zur Validierung der Proxy-Konnektivität (`curl`) –, um sicherzustellen, dass Sie die Grundursache schnell erkennen und die vollständige Serverfunktionalität wiederherstellen können.

55 Aufrufe

Behebung von Nginx-Fehlern 'Connection Refused': Ein praktischer Leitfaden zur Fehlerbehebung

Auf den Fehler 'Connection Refused' (Verbindung verweigert) zu stoßen, wenn man versucht, auf einen Dienst zuzugreifen, der hinter Nginx läuft, ist eine häufige, aber frustrierende Erfahrung. Im Gegensatz zu einem 'Timeout'-Fehler, der auf eine Netzwerkverzögerung oder Paketverluste hindeutet, ist ein 'Connection Refused'-Fehler eindeutig: Das Betriebssystem hat den Verbindungsversuch sofort abgelehnt, weil keine Anwendung aktiv auf dem angegebenen Port und der IP-Adresse gelauscht hat.

Diese sofortige Ablehnung grenzt das Problem auf einige kritische Bereiche ein: Der Dienst ist ausgefallen, die Firewall blockiert den Traffic lokal, oder die Konfiguration leitet den Traffic auf einen nicht existierenden Port. Dieser Leitfaden bietet einen systematischen Ansatz in vier Phasen, um 'Connection Refused'-Fehler zu diagnostizieren und zu beheben, damit Sie die Dienstkonnektivität schnell wiederherstellen können.

Phase 1: Überprüfung des Nginx-Serverstatus (Der primäre Listener)

Die grundlegendste Ursache für eine Verbindungsverweigerung ist, dass der Nginx-Dienst selbst nicht läuft oder falsch konfiguriert ist.

1. Überprüfung des Nginx-Dienststatus

Verwenden Sie den Dienstmanager Ihres Systems (normalerweise systemd), um zu bestätigen, dass Nginx aktiv und ausgeführt wird. Ein Fehler an dieser Stelle ist die direkte Ursache für die Ablehnung am primären Listening Port (normalerweise 80 oder 443).

sudo systemctl status nginx

Erwartete Ausgabe (Erfolg): Suchen Sie nach Active: active (running).

Umsetzbare Lösung: Wenn der Status inactive oder failed anzeigt, versuchen Sie, den Dienst zu starten, und überprüfen Sie die Protokolle auf Details zum Fehler.

sudo systemctl start nginx
sudo journalctl -xe | grep nginx

2. Bestätigung aktiver Listening Ports

Verwenden Sie das Tool ss (socket statistics) oder netstat, um zu überprüfen, ob Nginx tatsächlich an die erwartete IP-Adresse und den Port gebunden ist (z. B. 0.0.0.0:80 oder 127.0.0.1:8080).

# Verwendung von ss (bevorzugt bei modernen Linux-Distributionen)
sudo ss -tuln | grep 80

# Verwendung von netstat
sudo netstat -tuln | grep 80

Wenn Sie den erwarteten Port (z. B. :80 oder :443) nicht unter einem mit Nginx verbundenen Prozess (PID) sehen, bedeutet dies, dass Nginx die Bindung fehlgeschlagen ist, wahrscheinlich aufgrund eines Konfigurationsfehlers oder weil ein anderer Dienst diesen Port bereits belegt.

Tipp: Wenn ein anderer Dienst den Port belegt, müssen Sie entweder diesen Dienst stoppen oder die Nginx-Konfiguration so ändern, dass Nginx auf einem anderen, verfügbaren Port lauscht.

Phase 2: Firewall- und Netzwerkkonfiguration

Wenn Nginx läuft und lokal lauscht, kann die Verbindungsverweigerung außerhalb des Dienstes erfolgen, typischerweise aufgrund von Firewall-Regeln, die den eingehenden Datenverkehr blockieren.

1. Überprüfung lokaler Server-Firewalls

Stellen Sie sicher, dass die Ports, auf denen Nginx lauscht (z. B. 80, 443), explizit durch die Host-Firewall (UFW, firewalld oder iptables) zugelassen sind.

UFW-Beispiel (Ubuntu/Debian)

sudo ufw status verbose
# Falls geschlossen, Ports erlauben:
sudo ufw allow 'Nginx Full'
# Oder spezifisch:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Firewalld-Beispiel (CentOS/RHEL)

sudo firewall-cmd --list-all
# Falls geschlossen, Dienste hinzufügen:
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

2. Überprüfung der Security Groups von Cloud-Anbietern

Wenn Ihr Server in einer Cloud-Umgebung gehostet wird (AWS EC2, Azure VM, GCP Compute Engine), kann die Verbindungsverweigerung von der Sicherheitsschicht des virtuellen Netzwerks ausgehen.

  • AWS Security Groups (SG): Überprüfen Sie die zugehörige SG und stellen Sie sicher, dass die Inbound Rules (eingehenden Regeln) den Datenverkehr auf den Ports 80 und 443 von den Quell-IP-Adressen (normalerweise 0.0.0.0/0 für öffentlichen Zugriff) zulassen.
  • Azure Network Security Groups (NSG): Überprüfen Sie die Regeln für eingehende Ports.

Phase 3: Validierung der Nginx-Konfiguration

Falsche Konfigurationsanweisungen können dazu führen, dass Nginx versucht, auf einem nicht verfügbaren Port oder einer IP zu lauschen, was zu einem Startfehler und einer anschließenden Verbindungsverweigerung führt.

1. Überprüfung der listen-Anweisungen

Überprüfen Sie Ihre primäre Konfigurationsdatei (oft /etc/nginx/nginx.conf) und alle relevanten Server-Blöcke (normalerweise in /etc/nginx/conf.d/ oder /etc/nginx/sites-enabled/). Stellen Sie sicher, dass die listen-Anweisungen korrekt sind.

Beispiel für einen korrekt konfigurierten Listen-Block:

server {
    listen 80;
    listen [::]:80;
    server_name example.com;
    # ... weitere Anweisungen
}

Wenn Nginx nur so konfiguriert ist, dass es auf 127.0.0.1 (localhost) lauscht, Sie aber versuchen, über die öffentliche IP darauf zuzugreifen, wird die Verbindung verweigert.

2. Durchführung der Syntaxprüfung der Konfiguration

Überprüfen Sie vor dem Neustart von Nginx immer die Konfigurationssyntax. Ein Parsing-Fehler verhindert den Start des Dienstes und verursacht die Ablehnung.

sudo nginx -t

Wenn der Test fehlschlägt, beheben Sie den identifizierten Fehler, führen Sie den Test erneut durch und laden Sie Nginx anschließend neu oder starten Sie es neu.

sudo systemctl reload nginx

Phase 4: Fehlerbehebung bei Reverse Proxy (Upstream)-Problemen

Wenn Nginx erfolgreich auf den Ports 80/443 läuft, der Zugriff auf einen bestimmten Pfad (/api/) jedoch zu 'Connection Refused' führt, liegt das Problem zwischen Nginx und dem Backend-Dienst (dem Upstream).

In diesem Szenario hat Nginx die anfängliche Verbindung akzeptiert, aber als es versuchte, die Anfrage weiterzuleiten, wurde die Verbindung zum Backend verweigert. Die Fehlerprotokolle werden dies bestätigen.

1. Überprüfung der Nginx-Fehlerprotokolle

Untersuchen Sie die Nginx-Fehlerprotokolle (normalerweise /var/log/nginx/error.log) unmittelbar nachdem der fehlgeschlagene Verbindungsversuch aufgetreten ist. Suchen Sie nach Meldungen, die sich auf die proxy_pass-Anweisung beziehen und explizit Verbindungsfehler erwähnen.

tail -f /var/log/nginx/error.log

Möglicherweise sehen Sie einen Eintrag wie:

[error] connect() failed (111: Connection refused) while connecting to upstream

2. Überprüfung des Backend-Dienststatus

Dies ist die häufigste Lösung in Proxy-Szenarien: Die Backend-Anwendung (z. B. Node.js, Python Gunicorn, Apache) ist ausgefallen oder lauscht nicht dort, wo Nginx es erwartet.

Umsetzbare Schritte:

a. Überprüfung des Backend-Dienststatus: Bestätigen Sie, dass die Backend-Anwendung ausgeführt wird.

b. Überprüfung des Backend Listening Port: Verwenden Sie ss -tuln auf dem Server, der das Backend hostet, um zu bestätigen, dass die Anwendung auf der IP/dem Port lauscht, die/der in der proxy_pass-Anweisung von Nginx angegeben ist.

3. Direkte Überprüfung der Backend-Konnektivität

Testen Sie die Verbindung vom Nginx-Server zum Backend mithilfe von curl oder telnet, um das Problem von Nginx zu isolieren.

Angenommen, Ihr proxy_pass ist auf http://127.0.0.1:8080 eingestellt:

# Testen der Verbindung vom Nginx-Server zum Backend-Port
curl -v http://127.0.0.1:8080

# Oder mit telnet
telnet 127.0.0.1 8080
  • Wenn curl oder telnet fehlschlägt: Der Backend-Dienst ist definitiv das Problem (er lauscht nicht oder seine interne Firewall blockiert den Zugriff von 127.0.0.1).
  • Wenn curl oder telnet erfolgreich ist: Das Problem könnte ein subtiler Fehler in Ihrer proxy_pass-Anweisung sein (z. B. fehlendes Semikolon, falsche Hostnamenauflösung oder eine Protokolldifferenz – HTTP vs. HTTPS).

Häufiger proxy_pass-Fehler

Stellen Sie sicher, dass die IP-Adresse in Ihrem proxy_pass mit der Adresse übereinstimmt, an die das Backend tatsächlich gebunden ist. Wenn das Backend an eine bestimmte IP (z. B. 192.168.1.10:8080) gebunden ist, Nginx aber localhost:8080 verwendet, schlägt die Verbindung fehl, wenn die Bindung restriktiv ist.

Zusammenfassung der wichtigsten Schritte zur Fehlerbehebung

  1. Systemprüfung: Läuft Nginx (systemctl status nginx)?
  2. Port-Prüfung: Lauscht Nginx auf der richtigen IP/dem richtigen Port (ss -tuln)?
  3. Firewall-Prüfung: Ist der eingehende Port in der Host-Firewall (UFW, iptables) geöffnet?
  4. Konfigurationsprüfung: Ist nginx -t erfolgreich, und sind die listen-Anweisungen korrekt?
  5. Proxy-Prüfung (falls zutreffend): Läuft der Upstream-Dienst und lauscht er auf der exakten IP/dem exakten Port, die/der in proxy_pass definiert ist? Testen Sie die Konnektivität direkt mit curl.

Indem Sie diesem methodischen Prozess folgen, können Sie schnell feststellen, ob der Fehler 'Connection Refused' auf einen ausgefallenen Dienst, eine restriktive Firewall oder eine falsch konfigurierte Proxy-Einrichtung zurückzuführen ist, wodurch Ausfallzeiten minimiert und der Zugriff effizient wiederhergestellt wird.