OPNsense Forum
International Forums => German - Deutsch => Topic started by: Rocker on June 12, 2020, 12:14:54 pm
-
Hallo,
ich kämpfe seit ein paar Wochen jetzt mit dem haproxy :D ich habe verschiedene Tutorials durchprobiert, aber ich bekomme keine Verbindung zu meinen Diensten dahinter.
Ich betreibe in einer DMZ aktuell eine Searx und eine Nextcloud beides mit Subdomains.
Das weiterleiten zum richtigen Server macht aktuell der Nginx auf der Nextcloud zudem übernimmt er auch die Zertifikatsverwaltung für alle Server dahinter.
Zugriff von draußen erfolgt über ein NAT Portforwarding. (Port 80 und 443)
Das alles funktioniert auch erst mal alles soweit.
Jetzt würde ich die Dienste aber gerne etwas entflechten. Denn wenn ich z.B. ein Backup der Nextcloud mache ist die Searx nicht mehr erreichbar, da der Nginx hierzu abgeschaltet werden muss.
Ich würde gerne das jeder Server seine Zertifikate selbst regelt und somit auch "autark" ist.
Die Zuweisung der Anfragen soll aber dann der haproxy übernehmen.
jetzt habe ich die Anleitung aus dem wiki versucht und ich habe folgende Anleitung leicht abgeändert versucht:
https://schulnetzkonzept.de/opnsense
auch habe ich versucht den haproxy im tcp modus zu betreiben, da ich die Zertifikate dahinter nutzen möchte.
Aber ich komme einfach nicht auf die Dienste :(
Entweder erhalte ich einen Timeout, oder einen SSL Fehler.
hat so etwas schon mal jemand von euch versucht? oder hat eine Anleitung für so ein Vorhaben.
Bzw. steht am Ende des Wikis, dass entsprechende Regeln in der FW angelegt werden müssen - evtl. hängt es einfach nur daran.
Vielen lieben Dank
Gruß Rocker
-
kannst du bitte mal für dein netzwerk einen plan zeichnen, so können wir schon mal sehen wie die strucktur ist und wer mit wem am sprechen ist in deinem netzwerk.
dann auch bitte mal deine konfig wo du meinst das was falsch ist posten, so können wir nur in die glaskugel schauen und raten.
-
Da hast du natürlich vollkommen recht :D
anbei eine grobe Skizze meines Netzes von Zuhause im Anhang.
Als Konfig habe ich aktuell nichts mehr eingetragen, da ich nach den zig Versuchen ein Backup eingespielt habe.
Ich könnte Quasi von vorne neu Aufsetzen.
bzw. ich lege mal eine Konfig an und poste diese dann hier.
Danke Gruß Rocker
-
Im Anhang sind nun Bilder was ich Konfiguriert habe, aber ich bekomme so keine Verbindung hin.
es ist egal ob ich als hörende Ports 0.0.0.0 oder 127.0.0.1 eingebe.
FW Regeln habe ich zu diesem Zeitpunkt noch keine erstellt.
-
Hier noch die anderen 3 Bilder der Konfiguration
Danke
Gruß Rocker
-
Hallo,
so ich habe jetzt mal weiter experimentiert.
Ich habe jetzt eine Condition und eine Regel mit SNI erstellt, damit er den Domain mitbekommt und zuordnen kann.
Zudem habe ich eine virtuelle IP innerhalb der DMZ angelegt, auf diese zeigt ein NAT-Portforwarding mit den Ports 80 und 443.
Diese Adresse hab ich dann im Öffentlichen Dienst als hörend eingetragen.
Leider funktioniert auch diese Konfiguration im Browser nicht - "Session timed out"
Ist es eigentlich nötig FW Regeln zu definieren, oder würde es auch reichen wenn der Öffentliche Dienst auf der WAN Schnittstelle horcht?
Danke
Gruß Rocker
-
Der interne Verzicht auf SSL ist keine Option? Ich hab bei mir die Zertifikatsverwaltung auf den HAProxy gelegt (LetsEncrypt). Der terminiert dann die von außen kommenden Verbindungen (SSL offloading) + Weiterleitung auf die internen Server entsprechend Subdomain oder Pfade in den Anfragen.
-
darüber habe ich auch schon nachgedacht, aber dann müsste ich die ganzen Server umbauen, und überall den nginx neu konfigurieren - ich dachte zudem dass es deutlich einfacher ist das Ganze nur durchzureichen und die Server dahinter machen den Rest selbst...
Gruß Rocker