Auf meinem Opnsense(20.1.2) möchte ich HAProxy so nutzen, dass ich mit dem gleichen URL von intern sowie extern zugreifen kann. Falls die URL mit Port 80 aufgerufen wird, soll automatisch auf Port 443 umgehängt werden.
Leider meine Google-Suche hat mich nicht weiter gebracht, deshlab suche ich eine Anleitung wie ich es die Konfiguration anpacken soll.
Besten Dank für dein Hilfe/Tipps
Hi
Das ist von deinem Netzwerkaufbau abhängig...
Je nachdem ob z. B. eine Fritzbox oder ähnliches vor der FW ist, brauchst du ein entsprechendes NATting.
Das mit Port 80 auf 443 ist kein Problem. Hier sollte jedoch die Anleitung ausreichen wie man dem Verkehr passend ein "redirect" verpasst
Gesendet von meinem LG-H815 mit Tapatalk
Besten Dank für deine Antwort
Aus meinem Router/Modem (kein Fritzbox) leite ich den gesamten Netzverkehr bis zur FW.
Von welche Anleitung sprichst du, bez. den redirect?
Okay...
Das Fritzbox Beispiel habe ich nur genommen, da es jeder kennt...
Somit gehe ich davon aus, dass deine FW nicht direkt am Internet hängt.
Daher brauchst du meines Wissens nach kein spezielles ausgehendes NATting.
Ich würde mich daher zuerst um den HAProxy kümmern.
Hier eine direkte Anleitung von HAProxy
https://www.haproxy.com/de/documentation/aloha/9-5/traffic-management/lb-layer7/http-redirection/
Im Endeffekt musst du:
Frontend mit http anlegen und hier eine Regel definieren welche jeglichen "nicht SSL/TLS" Verkehr auf https redirected.
Dürftest auch locker ein paar Anleitungen hier im forum dazu finden ;) vieles davon auch in meinen Posts ;)
Gesendet von meinem LG-H815 mit Tapatalk
Hallo,
würde noch ein paar Stichworte dazuwerfen für deine Recherche:
- NAT-Reflection
- Wenn du HTTPS und HTTP machen willst, solltest du auch deine Konfigurationsports der Firewall verändern.
- Evtl. tut es für deinen Anwendungsfall auch ein NGINX als Reverse-Proxy
VG
Hey,
Vielleicht hilft dir auch das hier weiter:
https://schulnetzkonzept.de/opnsense
Da wird u.a. die Einrichtung des HA erklärt. Damit hab ichs bei mir hingekriegt. Sogar mit Let's Encrypt.
Gesendet von iPhone mit Tapatalk Pro
Versteh ich immer noch nicht.
Ich möchte mit meiner DynDns-URL z.B. mail.meineDomain.me (default port 80 oder 443) sowohl aus dem Internet wie auch aus dem localen Netz auf den Service zugreifen. Natürlich wird die Firewall den Request auf den richtigen Port umleiten können.
Kann ich dieser Zustand ohne den HAProxy erreichen? bzw. kann ich es mit dem webproxy oder den Unbound DNS mein Ziel erreichen? Oder benötige ich effektive ein Revers-Proxy wie der HAProxy?
Ich habe es nach dieser Anleitung https://schulnetzkonzept.de/opnsense probiert, erhalte ich den Fehler 400 Bad Request The plain HTTP request was sent to HHTPS port nginx.
Danke
Quote from: lampo on March 21, 2020, 02:55:19 PM
Ich möchte mit meiner DynDns-URL z.B. mail.meineDomain.me (default port 80 oder 443) sowohl aus dem Internet wie auch aus dem localen Netz auf den Service zugreifen. Natürlich wird die Firewall den Request auf den richtigen Port umleiten können.
Natürlich kann dies die FW. Dies ist eine normale Portweiterleitung.
Quote from: lampo on March 21, 2020, 02:55:19 PM
Kann ich dieser Zustand ohne den HAProxy erreichen? bzw. kann ich es mit dem webproxy oder den Unbound DNS mein Ziel erreichen? Oder benötige ich effektive ein Revers-Proxy wie der HAProxy?
Wie oben bereits steht: ja kannst du
Am deiner Stelle, würde ich mich nochmals intensiv damit beschäftigen was du genau vor hast und was wie funktioniert.
Es führen viele Wege nach Rom.
Wegen deinem "ich möchte intern sowie extern gleich darauf zugreifen", gibt es ebenfalls viele Möglichkeiten. Je nachdem wie genau dein Netzwerk ausgebaut ist, kann es auch sein, dass nur eine von vielen Möglichkeiten möglich ist.
Ich würde mal schriftlich ein Konzept überlegen was wie funktionieren soll und dann hierfür die passende Lösung suchen.
Einfach zu denken "HAProxy macht das schon irgendwie", halte ich für sehr grob fahrlässig.
Gesendet von meinem LG-H815 mit Tapatalk
ja, aber ich habe nicht nur eine sub-domain. Ich habe mehrere wie z.B. nextcloud.domain.me, mail.domain.me, etc. etc. und die NAT soll verstehen, dass nextcoud.domain.me:443 -> 10.0.0.10:3000 und mail.domain.me auf 1.0.0.11:4000 umleiten soll.
Okay. Dann wäre ein reverse proxy was.
Nun kannst du entweder nginx oder HAProxy nehmen.
Gesendet von meinem LG-H815 mit Tapatalk
HAProxy habe ich bereits aufgesetz, erhalte aber folgender Fehler
400 Bad Request The plain HTTP request was sent to HHTPS port nginx.
und weiss nicht mehr weiter.
Quote from: lampo on March 21, 2020, 03:39:59 PM
HAProxy habe ich bereits aufgesetz, erhalte aber folgender Fehler
400 Bad Request The plain HTTP request was sent to HHTPS port nginx.
und weiss nicht mehr weiter.
Okay
Der Fehler steht zum Glück bereits in der Meldung.
Du sendest ein unverschlüsseltes HTTP an einen HTTPS Port. Daher kommt die Fehlermeldung. Ich vermute, dass an deiner HAProxy Konfiguration was falsch läuft
Gesendet von meinem LG-H815 mit Tapatalk