Hallo Gemeinde, das ist mein erster Post in diesem Forum (Status Kücken ;-)
Ich bin pfsense Admin seit einigen Jahren und wollte mal testen, ob sich ein haproxy Setup auch mit opnsense realisieren lässt.
Ich habe 2 Webserver in einer DMZ, die webservices exponiere ich via haproxy. Ich habe zwei Internetanbindungen von unterschiedlichen Providern (dual WAN setup) ohne fixe IPs und nutze daher dynDNS von Cloudflare.
Nun habe ich festgestellt, das haproxy setup unterscheidet sich doch signifikant von dem was ich aus pfsense kenne. Seit Stunden versuche ich den haproxy zum laufen zu kriegen, aber er startet nicht und das ohne irgend einen aussagekräftigen Log-Eintrag. Sobald ich im fronten service eine public ip (oder DNS fqdn) definiere, startet der service nicht mehr. Haproxy startet nur wenn ich beim public service localhost definiere, zb 127.0.0.1:80
PS: Den Port für das AdminGUI habe ich geändert, und die WebGUI Redirect Rule deaktiviert.
Liebe Grüsse und vielen Dank für eure Hilfe!
Moin,
Ich schreibe mal dazu, da ich in den letzten Monaten das ähnlich hatte...
Dass das Frontend nun public service heißt verwirrt noch mehr finde ich...
mein Tipp: eine virtuelle Adresse im dmz erstellen, auf dem dmz interface. Den entsprechenden portforward einrichten. Haproxy bekommt dann nichts von ddns bzw pppoe mit und braucht es ja auch nicht. (Nebenbei, es gab ja auch bei pfsense diese Zeiten, als das bind an die wan-ip bei pppoe nicht so gut funktionierte...)
Vorsicht: auch diese virt ip-Adresse ist nach einem reboot nicht mehr blank und evtl. sind Ports dann von der Sense belegt. Je nachdem welche Services noch laufen.
Grüße, Bernd
Hallo Bernd, danke für die Info. Ich habe zwei WAN Links. Der eine ist über ein DSL Router, da ist intern eine statische IP am opnsense interface konfiguriert. Konfiguriere ich diese IP beim public service ein z.B. 192.168.1.2:80 started der daemon.
Der zweite WAN uplink ist aber DHCP (Cable Modem Bridge Mode), was mache ich damit?
Ich vermisse die Funktion einfach bei der haproxy frontend-config ein interface zu wählen, das geht bei pfsense, z.B. "WANInterface1 Address".. Dann kann die IP an diesen Interface ändern und es funktioniert trotzdem noch.
ich bin mir nicht sicher ob du schon gegooglet hast, hier der link ist ganz einfach zu finden, mit diesem habe ich meine sense eingerichtet: https://blog.we-cme.de/haproxy-auf-opnsense-als-https-frontend-mit-lets-encrypt/
Quote from: micneu on September 16, 2020, 07:33:36 PM
ich bin mir nicht sicher ob du schon gegooglet hast, hier der link ist ganz einfach zu finden, mit diesem habe ich meine sense eingerichtet: https://blog.we-cme.de/haproxy-auf-opnsense-als-https-frontend-mit-lets-encrypt/
Super, vielen Dank! Ja, habe natürlich gegoogelt, aber diesen Beitrag nicht gefunden (nur englisch gesucht, vielleicht deshalb...)
In diesem Beispiel ist die "Listen Addresses" auf 0.0.0.0:<port> gesetzt, macht ihr das so? Das müsste dann wohl auch mit 127.0.0.1:<port> funktionieren...
Ich habe mal im englischen Forum die Frage nach den - je nach Anleitung auftauchenden - IP Adressen, virtuelle ip, localhost und 0.0.0.0 gestellt, die Resonanz war da aber nicht so riesig :-)
Ich würde es nun so sehen:
- 0.0.0.0 ist ein bisschen der workaround, da es die Wahl des wan interfaces mit wechselnder IP in opnsense nicht gibt. Es müsste auf wan dann auch ein offener port reichen.
- die anderen beiden ip-Adressen brauchen jeweils nat/portforwarding + offener Port.
Wie gesagt, ich würde mittlerweile eher eine virtuelle ip im dmz konfigurieren und das frontend darauf binden. Man hat dann die Firewall und den Service etwas stärker getrennt. (Ein bisschen wie wenn man im dmz noch einen Rechner startet der sich nur um den Reverse Proxy kümmert und die Sense http/s o.ä. dahin durchreicht.) Eigentlich sollte es dann gehen, dass du von beiden wan Schnittstellen dahin weiterleitest, falls gewünscht. Sollte das gerade nicht gewünscht sein, brauchst du pro wan eine virtuelle IP.
Localhost geht aber auch, das LE-Plugin macht es ja so und für ein Plugin macht es wohl auch Sinn.
Es gibt eine zweite recht ausführliche, deutsche Anleitung zu Haproxy auf der Sense von http://schulnetzkonzept.de/ (http://schulnetzkonzept.de/)
Beste Grüße, Bernd
Danke Bernd, die Anleitung schaue ich mir gerne mal an. Momentan gefällt mir die pfsense Implementation von haproxy besser, werde wohl nicht wechseln.
Also wenn HAproxy dein hauptsächlicher Use-Case ist und du ansonsten mit der Software zufrieden bist, würde ich es auch lassen. Ich wechsle ja nicht mal eben so den kompletten Unterbau aus nur wegen einem Service darauf ;)
Und ja, es gibt natürlich einige pro/contra Sachen. Mir gefällt persönlich subjektiv sowohl HAproxy als auch bspw. die FreeRadius Implementation bei der pfSense besser. Aber dafür ist es doch fein, dass man beide zur Verfügung zum Evaluieren hat :)
Wobei ein Pro bei der opnsense ein neueres HAproxy ist.
Und die Integration: da finde ich mittlerweile eher die Aufteilung des Backends auf zwei Reiter und das fehlende Dashboard-Widget nicht so schön. Dass das Frontend nicht direkt auf WAN läuft, finde ich mittlerweile nicht mehr schlimm und letztlich hat auch die Aufteilung des Backends in einigen Fällen Vorteile.
Aber ja - was soll ich sagen - ich habe auch gerade wg. haproxy recht lange mit dem Umzug gewartet.
Naja, primärer use case ist eigentlich immer noch die klassische Firewall. Aber ich betreibe noch ein paar Wordpress Seiten, das muss einfach laufen. Bin mir am überlegen, ob ich nicht besser einen separaten haproxy hochziehe, ich brauche für die Konfiguration ja eigentlich kein GUI. Aber danke für die Tipps; dieses Forum spricht definitiv für opnsense!
Da fühle ich mich jetzt aber etwas angegriffen. Im pfSense Forum (zumindest im deutschen Teil) ist der Ton genauso freundlich, also da lasse ich jetzt mal nichts drankommen - da mach ich schließlich den gleiche Job :P
Darf gern nachgeschaut (https://forum.netgate.com/category/7/deutsch) werden. Zudem wir auch immer mal wieder quer weiterhelfen - also zu pf bei OPN und zu OPN bei pf - wie man das bei Kollegen eben tut :)
Quote from: liceo on September 20, 2020, 08:49:23 AM
Naja, primärer use case ist eigentlich immer noch die klassische Firewall. Aber ich betreibe noch ein paar Wordpress Seiten, das muss einfach laufen. Bin mir am überlegen, ob ich nicht besser einen separaten haproxy hochziehe, ich brauche für die Konfiguration ja eigentlich kein GUI. Aber danke für die Tipps; dieses Forum spricht definitiv für opnsense!
Du kannst auch das Plugin von HAProxy löschen und nur das Paket installieren (also wäre eine ein reines Consolen-Linux). Allerdings wirst du dann mit LE Probleme bekommen weil das natürlich für GUI-only konzipiert ist.
> Allerdings wirst du dann mit LE Probleme bekommen weil das natürlich für GUI-only konzipiert ist.
Genau das. Ich würde da wirklich - mal unabhängig vom Projekt - den Proxy als Modul/Package ausprobieren und ggf. schauen, wo es hakt (wenn überhaupt, Wordpress als Backend sollte jetzt nicht schwer sein). Denn sowas als Feedback hilft jedem weiter sich zu verbessern :)
Vor allem ist HAProxy eins der weniger Plugins die custom configs erlauben .. eigentlich ist das nicht so die Herausforderung.
Quote from: mimugmail on September 21, 2020, 11:48:19 AM
Vor allem ist HAProxy eins der weniger Plugins die custom configs erlauben .. eigentlich ist das nicht so die Herausforderung.
Was hoffentlich so bleibt. Weil sonst wird es schwierig es noch zu nutzen. Wenn das wegfällt werde ich wohl auch den haproxy umziehen müssen.
Quote from: lewald on September 21, 2020, 12:08:54 PM
Quote from: mimugmail on September 21, 2020, 11:48:19 AM
Vor allem ist HAProxy eins der weniger Plugins die custom configs erlauben .. eigentlich ist das nicht so die Herausforderung.
Was hoffentlich so bleibt. Weil sonst wird es schwierig es noch zu nutzen. Wenn das wegfällt werde ich wohl auch den haproxy umziehen müssen.
Schon mal einen Feature Request in Github für deine benötigten Features gestellt?
Oh nein, das Open Source der anderen ist zu anwenderunfreundlich für mich?
Grüsse
Franco
Quote from: franco on September 21, 2020, 12:43:11 PM
Oh nein, das Open Source der anderen ist zu anwenderunfreundlich für mich?
Grüsse
Franco
Ömm hat niemand gesagt? Aber der eine mags eben so, der andere so. Darum ja die Aussage: hey sammelt doch euer Feedback und gebt es auch zurück! Dann hat jeder was von ;) Verstehe nicht, warum man da schon wieder so empfindlich/ironisch reagieren müsste?
> Wenn das wegfällt werde ich wohl auch den haproxy umziehen müssen.
Bringt weder der Community was noch macht es Sinn das hier zum Besten zu geben. Ergo: einfach denken vor dem Posten und gleich wieder löschen.
Das Statement "Man nutzt das Plugin für den Komfort, aber findet die Entwicklung nur noch gerade so gut dass es noch reicht es zu verwenden, weil es immer noch besser ist als HAProxy per Hand zu konfigurieren, weil dafür vermutlich nicht die Zeit da ist obwohl es gegen die Entwicklerrichtlinien für die Sicherheit und Nutzerfreundlichkeit ist Advanced Options bereitzustellen." ist mir im Gesamtkontext suspekt.
Sprecht mit den Plugin Entwicklern. Helft ihnen. Macht selber PRs. So schwer isses nicht und die Zeit ist besser verwendet als hier Thesen zur Machbarkeit aufzustellen.
Grüsse
Franco
Noch kurz zum Thema:
Wenn man will, dass das Frontend / Public des HA Proxy auf jeder Adresse hört, funktioniert folgendes z.B. *:443 oder 0.0.0.0:443. Nicht funktioniert das Eintragen der Loopback 127.0.0.1:443.
Vielleicht hilft das ja jemandem.