OPNsense Forum
International Forums => German - Deutsch => Topic started by: dslthomas on November 16, 2020, 08:58:51 am
-
Moin, Moin,
Corona zwingt mich nun zu einem Umbau meines Heimnetzwerks um Home Office besser nutzen zu können. Ich habe zu Hause eine Entwicklungsumgebung mit einem Windows Server mit Exchange. Weiterhin habe ich mehrere Webserver (Haussteuerung, Website etc.) und eine Synology. Nun möchte ich alle Geräte von außen erreichen. Dabei benötige ich aber beispielsweise folgende Ports:
master.test.de = Port 80 und 443
haussteuerung.test.de = Port 443
Synology.test.de = Port 80 und 443
Frage: welches ist der sinnvollste Weg, diese Weiterleitungen zu den jeweiligen Subdomains einzurichten?
Ich habe natürlich auch schon gesucht, etwas wirklich schlüssiges habe ich für mich aber nicht gefunden.
Danke und Gruß aus Hamburg
-
Haproxy, Google und die Forum suche ist dein Freund hatte vor ein paar Wochen eine guten link gepostet
Warum nicht über VPN?
Gesendet von iPhone mit Tapatalk Pro
-
VPN muss ebenfalls eingerichtet werden aber der Webserver etc. sollen ja offiziell nach außen gelegt werden. Deinen Link werde ich dann gleich mal suchen. Danke
-
Frage: welches ist der sinnvollste Weg, diese Weiterleitungen zu den jeweiligen Subdomains einzurichten?
Um mehrere Webserver hinter der Firewall über Port 80 und 443 verfügbar zu machen würde ich so vorgehen:
- öffentlich erreichbar --> reverse proxy: z. B. plugin HAProxy oder nginx
- nur über eigene Geräte und sensible Daten --> VPN: z. B. openVPN, IPSEc, WireGuard
Ich selbst verwende nginx und WireGuard für diesen Zweck.
-
HaProxy ist dein Freund.
Die Standard Anleitung aus den Docs hat alles was du dafür brsuchst.
Ich hoffe aber Mal du hängt deine Haussteuerung nicht ins Netz?!
-
Hatte ich doch schon vorgeschlagen
Gesendet von iPhone mit Tapatalk Pro
-
Wenn es kein HAProxy werden soll, hat die Synology einen Reverse Proxy auf Basis von NGINX von Haus aus onboard. Dann wäre nur eine Weiterleitung von der Sense auf die Synology einzurichten. Nur als zusätzlicher Gedanke...
-
HaProxy ist dein Freund.
HAProxy wird als reverse proxy unter OPNsense meist empfohlen, nginx seltener.
Mal die Funktion load balancing ausgeschlossen, welche Argumente sprechen für HAProxy statt nginx?
-
HAProxy wird als reverse proxy unter OPNsense meist empfohlen, nginx seltener.
Mal die Funktion load balancing ausgeschlossen, welche Argumente sprechen für HAProxy statt nginx?
Die Config kann weniger und wird daher vielfach als einfacher angesehen.
HAProxy ist in OPNsense mehr oder weniger ein Load Balancer und der nginx kommt mit zusätzlichen Funktionen wie WAF, UDP Lastverteilung, Web Server, ...
Als Entwickler weiß ich auch aus Erfahrung weiß ich auch, dass oft Frust entsteht, wenn die Location Blöcke falsch konfiguriert werden (oft volle URL statt Pfad bzw. Regex).
-
So,- nun habe ich schon einige Tage gebastelt und komme einfach nicht weiter. Ich habe verschiedene Anleitungen gefunden aber entweder sind sie auf englisch oder sie sind mit Let’s Encrypt beschrieben und konfiguriert was so nicht funktioniert denn Let’s Encrypt muss beispielsweise der Server selbst liefern damit der Exchange sauber arbeitet .
Gibt's irgend wo ne deutsche Anleitung welche einfach nur das weiterleiten beschreibt? Ich blicke da nicht durch....
-
So,- nun habe ich schon einige Tage gebastelt und komme einfach nicht weiter. Ich habe verschiedene Anleitungen gefunden aber entweder sind sie auf englisch oder sie sind mit Let’s Encrypt beschrieben und konfiguriert was so nicht funktioniert denn Let’s Encrypt muss beispielsweise der Server selbst liefern damit der Exchange sauber arbeitet .
Gibt's irgend wo ne deutsche Anleitung welche einfach nur das weiterleiten beschreibt? Ich blicke da nicht durch....
Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy
-
Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy
Ja, aber das muss ja auf dem Server gemacht werden und nicht auf der Firewall??? Ich kann ja nicht ein Zertifikat auf 2 Geräten erstellen. Das Problem ist auch, dass ich immer nur ein begrenztes Zeitfenster habe bis ich alles wieder zurück bauen muss damit eben der Exchange läuft und alles wie bisher von außen erreichbar ist.
Ich will folgendes erreichen:
FQDN IP Funktion Port
www.test.com 192.168.0.2 Webserver 443
outlook.test.com 192.168.0.2 Outlook Web 443
master.test.com 192.168.0.2 RDP etc. 443,80,3389
nas.test.com 192.168.0.30 Synology 5001,6690,7001,8080,5000,80,443
ipsymcon.test.com 192.168.0.34 Haussteuerung 82,80,443
-
Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy
Ja, aber das muss ja auf dem Server gemacht werden und nicht auf der Firewall??? Ich kann ja nicht ein Zertifikat auf 2 Geräten erstellen. Das Problem ist auch, dass ich immer nur ein begrenztes Zeitfenster habe bis ich alles wieder zurück bauen muss damit eben der Exchange läuft und alles wie bisher von außen erreichbar ist
Was muss auf dem Server gemacht werden? Letsencrypt? Wozu?
Aus dem Internet erreichbar ist nur der HA-Proxy. Der kriegt sein Zertifikat per Letsencrypt. Der HA-Proxy spricht mit dem Server entweder unverschlüsselt oder über ein selbst signiertes Cert.
Ich habe zwar einen Apache 2.4 für den Job und nicht den HA-Proxy der OPNsense, aber das Prinzip ist dasselbe. Der Apache spricht mit allen Anwendungen HTTP.
-
Was muss auf dem Server gemacht werden? Letsencrypt? Wozu?
Das muss unter anderem im IIS hinterlegt werden. Ist es nicht möglich einfach nur wie oben angegeben die URL´s und Ports weiter zu leiten?
-
Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy
Ja, aber das muss ja auf dem Server gemacht werden und nicht auf der Firewall??? Ich kann ja nicht ein Zertifikat auf 2 Geräten erstellen. Das Problem ist auch, dass ich immer nur ein begrenztes Zeitfenster habe bis ich alles wieder zurück bauen muss damit eben der Exchange läuft und alles wie bisher von außen erreichbar ist.
Ich will folgendes erreichen:
FQDN IP Funktion Port
www.test.com 192.168.0.2 Webserver 443
outlook.test.com 192.168.0.2 Outlook Web 443
master.test.com 192.168.0.2 RDP etc. 443,80,3389
nas.test.com 192.168.0.30 Synology 5001,6690,7001,8080,5000,80,443
ipsymcon.test.com 192.168.0.34 Haussteuerung 82,80,443
Nein der HA Proxy regelt alles was die Zertifikate angeht.
Kannst auf deinem exchange ein self signed nutzen, falls der das braucht.
Ich hoffe aber Mal, dass du deine Haussteuerung und RDP nicht aus dem Internet erreichbar machen willst oder ?
-
Nein der HA Proxy regelt alles was die Zertifikate angeht.
Kannst auf deinem exchange ein self signed nutzen, falls der das braucht.
Ich hoffe aber Mal, dass du deine Haussteuerung und RDP nicht aus dem Internet erreichbar machen willst oder ?
Gibt es jemanden der das gewerblich einrichten kann?
und ja,- sowohl die Haussteuerung als auch RDP ist und soll aus dem Internet erreichbar sein.
-
Nein der HA Proxy regelt alles was die Zertifikate angeht.
Kannst auf deinem exchange ein self signed nutzen, falls der das braucht.
Ich hoffe aber Mal, dass du deine Haussteuerung und RDP nicht aus dem Internet erreichbar machen willst oder ?
Gibt es jemanden der das gewerblich einrichten kann?
und ja,- sowohl die Haussteuerung als auch RDP ist und soll aus dem Internet erreichbar sein.
Schick mir Mal ne PN Nachricht, ich lasse dir dann morgen meine Kontaktdaten von der Firma zukommen, bzgl. Gewerblicher Einrichtung. Bin hier sonst privat unterwegs.
Denke aber dein Thema bekommt man hier recht einfach hin
Würde es gerade bei RDP aus Sicherheitsgründen vermeiden.
-
Ich hoffe aber Mal, dass du deine Haussteuerung und RDP nicht aus dem Internet erreichbar machen willst oder ?
Apache Guacamole rulez ...
http://guacamole.apache.org/
-
Schick mir Mal ne PN Nachricht, ich lasse dir dann morgen meine Kontaktdaten von der Firma zukommen, bzgl. Gewerblicher Einrichtung. Bin hier sonst privat unterwegs.
Denke aber dein Thema bekommt man hier recht einfach hin
Würde es gerade bei RDP aus Sicherheitsgründen vermeiden.
Na ja,- hin bekommen würde man das hier,- klar, aber bisher bin ich keinen Schritt weiter und eine für mich wirklich nachvollziehbare Anleitung habe ich auch noch nicht gefunden. Für mich ist es ja schon unlogisch wieso ich ein Zertifikat für einen Client auf der Firewall ausstellen sollte. Das würde ja im Notfall bedeuten, dass gar nichts mehr vertrauenswürdig ist wenn sich die Firewall für´s sterben entscheidet. So könnte ich schnell die alte Config der FritzBox wieder einspielen und es würde zumindest erst einmal so laufen wie bisher und vor allem wäre alles immer noch vertrauenswürdig.
Bei RDP sehe ich weniger ein Problem da es überwacht wird und bei Bedarf aktiviert wird.
-
Schick mir Mal ne PN Nachricht, ich lasse dir dann morgen meine Kontaktdaten von der Firma zukommen, bzgl. Gewerblicher Einrichtung. Bin hier sonst privat unterwegs.
Denke aber dein Thema bekommt man hier recht einfach hin
Würde es gerade bei RDP aus Sicherheitsgründen vermeiden.
Na ja,- hin bekommen würde man das hier,- klar, aber bisher bin ich keinen Schritt weiter und eine für mich wirklich nachvollziehbare Anleitung habe ich auch noch nicht gefunden. Für mich ist es ja schon unlogisch wieso ich ein Zertifikat für einen Client auf der Firewall ausstellen sollte. Das würde ja im Notfall bedeuten, dass gar nichts mehr vertrauenswürdig ist wenn sich die Firewall für´s sterben entscheidet. So könnte ich schnell die alte Config der FritzBox wieder einspielen und es würde zumindest erst einmal so laufen wie bisher und vor allem wäre alles immer noch vertrauenswürdig.
Bei RDP sehe ich weniger ein Problem da es überwacht wird und bei Bedarf aktiviert wird.
Okay alles klar.
Falls die OPNsense Mal komplett den Geist aufgibt, entweder Backup einspielen oder die Fritzbox aktivieren und ein Letsencrypt auf dem Exchange ausstellen. Ist schnell gemacht.
Wie gesagt, bei Interesse eben ne PN schreiben.
-
Falls die OPNsense Mal komplett den Geist aufgibt, entweder Backup einspielen oder die Fritzbox aktivieren und ein Letsencrypt auf dem Exchange ausstellen. Ist schnell gemacht.
Wie gesagt, bei Interesse eben ne PN schreiben.
schnell gemacht sowas immer, wenn man sich regelmäßig damit beschäftigt. Mein Hirn verwirft aber alle Informationen welche länger als 2 Monte nicht genutzt wurden. Mal eben den Exchange wieder mit nem Zertifikat zu versehen kostet dann wieder Zeit.... wie war das noch mal... :-)
Ich persönlich bin halt kein Freund von vielen Abhängigkeiten. Ich versuche Abhängigkeiten auf ein absolutes Minimum zu reduzieren.
Apache Guacamole rulez ...
http://guacamole.apache.org/
Das muss ich mir mal genauer anschauen. Das klingt interessant. Ich hatte damals lange gesucht und gebastelt um etwas für mich passendes für den Zugriff aus der Ferne zu finden. Teamviewer, vnc etc.. Hängen geblieben bin ich letztlich bei RDP (Remote Apps) weil Citrix zu teuer und zu aufwendig für so nen Privathansel wie mich gewesen wäre.
-
Guacamole ist im Prinzip dasselbe wie diese unsäglichen "SSL-VPN" Portale von Cisco und Konsorten - nur in Open Source und in gut :)
-
Die Config kann weniger und wird daher vielfach als einfacher angesehen.
HAProxy ist in OPNsense mehr oder weniger ein Load Balancer und der nginx kommt mit zusätzlichen Funktionen wie WAF, UDP Lastverteilung, Web Server, ...
Danke.
Bei Regentagen werden ich mal wieder HAProxy für den reinen Zweck des Reverse Proxy (Thema dieses Threads) testen. Ich hatte damit gestartet und bin verzweifelt.
Nginx läuft bei mir. Mich ärgert nur, dass ich OPNsense jedes Mal neu starten muss, wenn ich etwas an der nignx-Konfiguration ändere. Ohne Neustart der gesamten Firewall werden die Änderungen nicht aktiv, auch ein Neustart von nginx hilft nicht.
-
Muss man nicht. Reload button klicken reicht.
Muss halt reload und nicht restart sein.
-
Muss man nicht. Reload button klicken reicht.
" Reload button"?
Thank you. I found the "reload" function in the console menu and will try out the next time.
But button? Somewhere hidden in the GUI?
-
Not hidden - it is on almost every page on the bottom.
-
jetzt bin ich mal neugierig, hat es "dein" dienstleister hinbekommen?
-
jetzt bin ich mal neugierig, hat es "dein" dienstleister hinbekommen?
Der HAProxy läuft!
Allerdings machte einer der Webserver aufgrund einer komischen config ein paar faxen, da bin ich aber nicht mehr im Bilde ob diese bereiets behoben sind.
-
Not hidden - it is on almost every page on the bottom.
Vielen Dank!
Ich habe den Knopf gefunden, hatte aber niemals diese Funktion damit verbunden.