Hallo zusammen,
gerne bin ich auf der Such nach einer Lösung mit OPNsense :) Ziel ist es über eine Proxy Funktion folgende Konstellation zu erreichen: SLD welche auf nur eine WAN IP zeigen aber immer mit dem Port 443 der Dienst hinter dem NAT verfügbar zu machen.
- MyDomain.com -> xxx.xxx.xxx.xxx (Nur eine statische WAN IP)
- AAA.MyDomain.com -> xxx.xxx.xxx.xxx:443
- BBB.MyDomain.com -> xxx.xxx.xxx.xxx:443
Der OpenVPN Server läuft gleichzeitig auf dem WAN Port und hört auf Port 443
Mit der SOPHOS WAF funktionalität konnte dieses zenario gut realsiert werden.
Lässt sich dies auch mit OPNsense abbilden?
Danke für Tipps :D
Schau dir mal den haproxy an.
Ichvgehe davon aus das dein openvpn auf 443 udp lauscht oder? Dann solltest du es umsetzen können
ps: als such begriff kannst du auch reverse proxy nutzen
Gesendet von iPhone mit Tapatalk Pro
Danke für den Tipp.
Wenn der VPN Server auf TCP hört, kann es einen Konflikt mit dem ha Proxy kommen?
Danke :)
ja, logisch
- TCP 443 (HTTPS)
- UDP 443 kein HTTPS
mein OpenVPN habe ich auf 443 UDP laufen (wie ich ja schon geschrieben hatte)
sslh kann OpenVPN auf TCP und HTTPS multiplexen.
https://github.com/yrutschle/sslh
Danke,
wie lässt sich das sslh auf der OPNsense installieren?
???
> wie lässt sich das sslh auf der OPNsense installieren?
Nur händisch via Konsole/SSH, es gibt da kein GUI Paket dafür. Man kann (umständlich) mit HAproxy versuchen, den VPN Traffic via 443/tcp rauszufiltern/suchen aber ist nicht wirklich schön. Und die integrierte Funktion von OpenVPN, Traffic an HTTPS weiterzureichen ist nicht wirklich performant für den HTTPS Teil, ergo wäre SSLH tatsächlich wenn es unbedingt sein muss mit tcp/443 die bessere Methode.
> - UDP 443 kein HTTPS
Doch, seit HTTP2.x bzw. HTTP/3 ist UDP/443 AUCH HTTPS via QUIC Protokoll. Siehe RFC 8999-9002 :)
-> https://en.wikipedia.org/wiki/QUIC
Da das in Zukunft langsam Traktion gewinnen sollte, wäre es auch nicht verwerflich OpenVPN einfach mit udp/443 zu bauen und als Fallback mit tcp/443 oder einem anderen Port (636, 53, 25...) zu bauen der funktioniert.
--
Ansonsten könnte man statt SSLH noch das Port-Share Feature von OpenVPN vorschalten. Wie performant das ist, müsste man dann ausprobieren, aber man könnte bei OpenVPN in den adv. Options eine Zeile wie
port-share 127.0.1.1 443;
mit einfügen und den HAproxy dann auf 127.0.1.1/443 konfigurieren. TLS Traffic von extern kommt dann auf dem WAN an, wird von OpenVPN angenommen was prüft, ob es eine VPN Verbindung ist oder HTTPS Traffic und bei HTTPS dann an eine modified localhost IP weitergibt, wo HAproxy dann ganz normal weiterspielen kann und entweder SSL terminieren oder weiterreichen kann - je nachdem ob man TCP mode oder HTTP/Termination Mode fährt.
Cheers
Danke für den Input, echt super welche Möglichkeiten es bei opnsense gibt.
:D