Hallo,
so, bin soweit dass ich zumindest nen Überblick habe wie HAProxy funktionieren soll und was die Tabs machen.
Bitte korrigiert mich, wenn ich was falsch verstehe:
Grundsätzlich horcht "Public Services" (=Frontend) auf einer bestimmten Adresse für einen Backend Pool und gleichzeitig nimmt das richtige Zertifikat für die Server.
Dazu habe ich Rule und Condition konfiguriert, sodass beim "Host matches" = FQDN der webseite (in meinem esxi webgui) getroffen wird.
Beim Rule steht nur welchen Backend Pool verwenden soll.
Backend Pool zeigt dann letztendlich auf den richtigen "server" - esxi.mydomain.at.
Dieser FQDN ist auflösbar. Sowohl am Rechner wie auf der Firewall.
Vielleicht ausschlaggebend: ich verwende Pi-hole als DNS mit Conditional Forwarding.
Lt. OPNsense DNS lookup, schaut die Firewall in der eigenen Tabelle (127.0.0.1), nicht die Pi-hole.
Hier mal die Einstellungen:
Real servers:
Name: esxi_server
FQDN: esxi.mydomain.at
Port 443
Mode active
SSL checked
Verify SSL unchecked
Backend:
Name: esxi_backed
Servers: esxi_server
Health checking unchecked
Rest ist default.
Public Service:
Name: esxi_frontend
Listen Addresses: 0.0.0.0:443 127.0.0.1:443
Type: SSL offloading
Default Backend Pool: esxi_backend
Enable SSL offloading: checked
Certificates: *.mydomain.at
Default cert: gleich wie der obige
Rest ist default.
Conditions:
Name: esxi_condition
Host matches: esxi.mydomain.at
Rule:
Name: esxi_rule
IF
esxi_condition
AND
Use specified Backend Pool
User backend Pool: "esxi_backend"
Beim aufrufen des esxi_mydomain.at kommt nicht LE zert.
Was mache ich falsch?
Als Listen Adress solltest du deine WAN IP Eintragen um es etwas einzugrenzen
Mach aber mal bitte Screenshots von deinen Einstellungen, dann kann man die besser vergleichen. Sowie ein Netzwerkplan.
Wenn du einen Default Pool hinterlegst brauchst du keine Regeln/Conditions etc.
Aber du willst nicht ernsthaft deine ESXi GUI ins Internet hängen oder?
Und welches Zertifikat bekommst du denn im Browser angezeigt.
Teste es mal von außen (mobiler Hotspot oder so)
Nöö, natürlich will ich den esxi GUI nicht im internet veröffentlichen. Es geht lediglich um die Vergabe der Zertifikate (Wildcard) im internen Netz. Grundsätzlich eh unnötig da ich , da ich könnte ja alles über HTTP/80 führen, aber das ist halt interessanter...
Ich möchte den Wildcard Cert für alle internen Webseiten ("GUIs") verwenden.
Listen-Intf sollte aber LAN-intern sein. Nur eben war mir nicht sicher welcher eben... hab sowohl LAN wie auch VLAN probiert. Zieht beides nicht. Deswegen hab auf 0.0.0.0 gesetzt. Denke aber nicht dass es daran liegt. Und auf WAN horchen macht auch keinen Sinn, denn es soll intern horchen.
Screenshots im Anhang.
Screenshots
Screenshots
Also soll der HA auf der LAN Schnitstelle hören.
Da musst du zuerst deiner OPNsense UI einen anderen Port zuweisen, da der HAProxy dort sonst nicht hört
Und dein DNS muss dann halt auf deine LAN Ip umgeschrieben werden
OPNsense wurde von 443 geändert, hat keinen default Port mehr.
QuoteUnd dein DNS muss dann halt auf deine LAN Ip umgeschrieben werden
Verstehe leider nicht was du damit meinst?
Wenn du die Sachen nur intern erreichbar machen möchtest (was auch zu empfehlen ist).
Musst du deinen DNS Server so anpassen, dass wenn du "esxi.deinedomain.de" eingibst muss die LAN IP der FW aufgelöst werden
Quote from: lfirewall1243 on February 25, 2021, 01:50:22 PM
Wenn du die Sachen nur intern erreichbar machen möchtest (was auch zu empfehlen ist).
Musst du deinen DNS Server so anpassen, dass wenn du "esxi.deinedomain.de" eingibst muss die LAN IP der FW aufgelöst werden
Das tut die Pi auch.
DNS am Recher ist Pi, wenn ich die esxi.domain.de auflöse, kommt die IP adresse des esxi servers.
PS. den Gedanken habe ich mir schon gemacht, dass es am DNS liegen könnte. Ich habe bei der Einrichtung des Pi-hole eben so gemacht dass default DNS Pi ist, für alle im Netz, und der die DNS Einträge der Clients im LAN hat. Am Pi ist Unbound drauf und hat ne conf Datei die genau das macht.
Quote from: kosta on February 25, 2021, 01:52:01 PM
DNS am Recher ist Pi, wenn ich die esxi.domain.de auflöse, kommt die IP adresse des esxi servers.
Das ist eben falsch, da du somit garnicht über den HAProxy gehst. Der Traffic bleibt also intern direkt zwischen PC und ESX
Dort musst du die IP durch die LAN Ip der FW ersetzen
So, die Basis für den HAProxy ist eigentlich der DNS (am OPNsense)...
OK, also ich muss das so machen wie ich es ursprünglich hatte - DNS für die Clients/Server ist OPNsense selbst und Port-Forwarding auf die PI.
Das einzige Problem war, dass was nicht funktioniert hat...
Ich stelle wieder um und schaue mir dann an.
Quote from: lfirewall1243 on February 25, 2021, 01:50:22 PM
Wenn du die Sachen nur intern erreichbar machen möchtest (was auch zu empfehlen ist).
Musst du deinen DNS Server so anpassen, dass wenn du "esxi.deinedomain.de" eingibst muss die LAN IP der FW aufgelöst werden
Also ich hab's mal wieder retourniert. DNS ist jetzt die OPNsense.
Aber was meinst du bitte damit oben? Die aufgelöste IP ist die vom esxi. nslookup sagt firewall (LAN IP des VLAN netzes)
Funktionieren tut's trotzdem nicht.
Was du als DNS Server hast ist im Endeffekt egal
Nur wenn du am Client eingibst
nslookup esxi.mydomain.de
Muss die Ausgabe die LAN IP der FW sein
Auf dieser IP muss auch der HAPROXY hören
Mir ist es eh lieber wenn die OPNsense die DNS für die Clients ist und Forwarding auf Pi. Ich weiß nur nicht mehr, warum ist es umgekehrt gemacht habe.
Tut's nicht. Ausgabe ist:
Server: cerberus.domain.at
Address: 192.168.11.254
Name: esxi.domain.at
Address: 192.168.140.121
Hast du denn im DNs die IP richtig hinterlegt?
Das muss hier manuell passieren. Denn Du möchstest ja eine abweichende IP haben.
Die Adresse des HAProxys muss da eingtragen werden. Was hier gleich mit der Lan der OPNsense sein sollte.
Yaay! Das war der richtige Tipp! Ich habe nicht daran gedacht, dass ich eig die Firewall ansprechen muss.... aber klar. Und noch was Register DHCP static mappings angehakt. Das kommt klar weg.
Danke!!