Messages

Hey there,

I've got the following problem.
On my Interface WAN I've got a public IP (.172.3) configured and since today a Virtual IP (.172.27).
Now I wanted to NAT all incoming connections from .172.27 to my reverse-proxy.
My NAT looks like this:


And in the Live-View I can see, that the connections are getting passed through, but the connections won't show up on my haproxy.



Browser is showing connection timed out, so I guess a route isn't right? But I haven't changed anything besides adding the virtual IP and adding the NAT.

Thanks ahead.

[I'm having a condition for each Domain. They all look like this:]

Hey there,

I'm having a OPNsense with HAProxy and Let's Encrypt configured.

The problem is, that if i configure a second Domain to my HAProxy it's like round robin my frontents while starting HAProxy.

For Example.
Frontent for Domain Skullbro.de is active and Frontent for l-neubauer.de is active.
Now if I hit "Apply" HAProxy only uses the Skullbro.de frontent even though I'm connecting to l-neubauer.de. Thus I'm getting a Certificate warning.
If I hit "Apply " again it's vice versa... Now Skullbro.de get's the Certificate error because the frontent for l-neubauer.de is used... and l-neubauer.de does not get any errors.

Forwarding to the webserver is working properly.
In the Logs you can find as attachment, there is a SSL handshake failure as expected because it's the wrong certificate for the domain.


My configuration looks like this:

I'm having a condition for each Domain. They all look like this:

Name: <domain name> wildcard http
Condition type: Host contains
Host Contains: <domain name>

Name: <domain name> wildcard https
Condition type: Host contains
Host Contains: <domain name>


Also I have a HTTP and HTTPS condition
Their conditions look like this:

HTTP: Traffic is HTTP
HTTPS: Traffic is SSL (TCP request content inspection)

My frontents are also kept seperate for http and https.
They look like this:

HTTP:
Name: <domain name>_frontent_http
Listen Addresses: <domain name>:80, <www.domain name>:80
Type: HTTP/HTTPS (default)
Default Backend Pool: websrv01_http
HTTP/2 Disabled
Basic Authentication Disabled
Rules: <domain name> wildcard http, redirect_acme_challenges


HTTPS:
Name: <domain name>_frontent_https
Listen Addresses: <domain name>:443, <www.domain name>:443
Type: HTTP/HTTPS (default)
Default Backend Pool: websrv01_https
Enable SSL Offloading: true
Certificates: Let's Encrypt Certificate (working als valid)
Default  certificate: Let's Encrypt Certificate (working als valid)
Client Certificate Auth: Disabled
HTTP/2: Disabled
Basic Authentication Disabled
Rules: <domain name> wildcard https, redirect_acme_challenges


My backend Pool server:

HTTP:
Name: websrv01_http
Mode: HTTP (Layer 7)
Servers: websrv01_80
(Every thing else is default)

HTTPS:
Name: websrv01_https
Mode: HTTP (Layer 7)
Servers: websrv01_443
(Every thing else is default)

My real servers:

HTTP:
Name: websrv01_80
IP: 10.12.10.10
Port 80
Mode: active

HTTPS:
Name: websrv01_443
IP: 10.12.10.10
Port: 443
Mode: active
SSL: Enabled


Thanks ahead for your time and help.

Ich nutze die OPNsense auch erst seit kurzen produktiv und muss sagen, dass trotz Virtualisierung unter Proxmox, keine Performance Schwächen vorhanden sind. Habe aber auch eine NVMe SSD für die OPNsense.

@lewald
Es geht nicht nur um den ProxMox Port 8006. Es geht eigentlich um viele Ports. 80,443,...
Daher die Idee mit dem HAProxy Reverseproxy.

@micneu
Nur für dich so gemacht :D

Anbei mal mein Draw.io

Ich denke der Weg ist verständlich.
Der OPNsense server soll als Gateway für die VM's dienen.
Gleichzeitig, sofern möglich, soll auch das HAProxy Plugin Reverse Proxy gleich mitmachen.

Kann ich mit der OPNsense denn keine Weiterleitung von WAN zu LAN machen?
Ich meine auch ein HAProxy Plugin gesehen zu haben.

Hat damit jemand Erfahrung?
Wie bekomme ich der Firewall dann gesagt, dass bestimmte Pakete an den HAProy Dienst weitergeleitet werden sollen?

Ja von WAN zu LAN.

Also, dass von der öffentlichen IP weitergeleitet wird an eine LAN IP, die dann halt auch den Service anbietet.

Hallo,

ich bin neu im Thema Firewall und bräuchte daher ein bisschen Hilfe.

Folgendes möchte ich erreichen:

Ich habe einen Proxmox HV mit einer OPNsense Firewall VM.
Der Traffic wird standardmäßig an meine OPNsense geroutet.
Nun benötige ich eine Regel auf dem WAN Interface, welche mir den Traffic an die WAN IP mit dem Port 8006 zulässt und gleichzeitig an eine andere IP weiterleitet.
Ich finde beim erstellen einer Regel jedoch keine Möglichkeit den Traffic an eine andere IP weiterzuleiten.

Vielen Dank im Vorraus.