OPNsense Forum

International Forums => German - Deutsch => Topic started by: thron on September 22, 2021, 01:27:26 pm

Title: DNS-Weiterleitung umleiten im lokalen Netz
Post by: thron on September 22, 2021, 01:27:26 pm
Hallo,

mit der Gefahr hin, dass ich mich hier blamiere stelle ich doch mal eine Anfrage rein.

Wenn ich mehrere Domians im Netz registriert habe und darüber verschiedene Server hinter der Opnsense erreichen möchte, ist das möglich?

Beispiel:

https://www.domain01.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.20.2
https://www.domain02.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.30.3
https://www.domain03.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.40.4

Irgendwie stehe ich auf dem Schlauch und brauch einen Denkanstoß!

Viele Dank für Eure Hilfe

VG
thron
Title: Re: DNS-Weiterleitung umleiten im lokalen Netz
Post by: meschmesch on September 22, 2021, 01:30:14 pm
Hast Du einen DNS-Resolver? Services->Unbound z.B.? Da gibt es bei Overrides eine Möglichkeit für Einträge.
Title: Re: DNS-Weiterleitung umleiten im lokalen Netz
Post by: thron on September 22, 2021, 01:38:26 pm
Host oder Domain overrides?

Habe bei Domain Overrides mal die Domain

https://www.domain03.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.40.4

eingetragen, wird aber logischerweise noch an dem in den NAT-Rules eingetragene Maschine weitergeleitet.

Was müsste ich denn in den NAT-Rules ändern?
Title: Re: DNS-Weiterleitung umleiten im lokalen Netz
Post by: fabian on September 22, 2021, 02:19:18 pm
Ich verstehe das eher als mehrere Webseiten hinter einem Port. Das geht mit den Erweiterungen nginx und HAProxy.
Title: Re: DNS-Weiterleitung umleiten im lokalen Netz
Post by: thron on September 22, 2021, 02:49:40 pm
Richtig...bin jetzt auch beim HAProxy-Plugin und hänge nun daran, dass ich kein SSL-Offloading haben möchte, sondern das der Server das Zertifikat hält.
Bekomme aber im Browser den Fehlercode

Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Kann mir jemand sagen was ich falsche mache?
Title: Re: DNS-Weiterleitung umleiten im lokalen Netz
Post by: XeroX on September 22, 2021, 09:27:52 pm
Such mal nach SSL Passthrough mit SNI in Verbindung mit HAProxy.

Der Hostheader bzw die SNI Payload ist unverschlüsselt.
Title: Re: DNS-Weiterleitung umleiten im lokalen Netz
Post by: fabian on September 22, 2021, 10:19:55 pm
Such mal nach SSL Passthrough mit SNI in Verbindung mit HAProxy.

Fürs nginx-Plugin gibt es ne Doku. HAProxy funktioniert ähnlich. Da muss meines Wissens nach auch im TCP Modus gearbeitet werden.
https://docs.opnsense.org/manual/how-tos/nginx_streams.html

Der Hostheader bzw die SNI Payload ist unverschlüsselt.
In TLS 1.3 gibt es auch ECH (verschlüsseltes SNI) - auch wenn es derzeit noch nicht verwendet wird.
Title: Re: DNS-Weiterleitung umleiten im lokalen Netz
Post by: JeGr on September 23, 2021, 05:28:46 pm
> Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Das Backend auf SSL eingestellt? Wenn du Layer 4 machst und keine SSL Termination auf dem HAproxy dann darf der Traffic nicht wieder verschlüsselt werden, sondern einfach durchgereicht werden. Also Frontend nur annehmen (nicht terminieren, dann verschwindet auch die Zertifikatsauswahl) und im Backend kein SSL anhaken, weil nicht nochmal verschlüsselt werden soll.
Also im Realserver kein SSL anhaken und im BackendPool einfach TCP Layer 4 machen. Frontend auch TCP mode und den Rest dann mit Rules und Conditions machen (SNI Domain auslesen etc.)

Cheers
\jens
Title: Re: DNS-Weiterleitung umleiten im lokalen Netz
Post by: thron on September 26, 2021, 12:00:13 am
JeGr, vielen Dank! Das war der Fehler...
Title: Re: DNS-Weiterleitung umleiten im lokalen Netz
Post by: JeGr on September 27, 2021, 11:58:24 am
Kein Problem, kommt mir selbst auch gerne mal wieder in die Quere :) Das ist so drin, wenn man terminiert, dass man es beim Durchreichen komplett übersehen kann :D