Messages

Laut dem Log passt alles?

Ohne Filter ist das Log sehr unübersichtlich, da schon andere Dienste über die OPNsense laufen... Das habe ich aber geprüft. Da war kein Block dabei

Ich wäre jetzt mal davon ausgegangen, dass OPNsense schlau genug ist, wenn in HAProxy eine IP zum "Lauschen" konfiguriert ist, diese auch intern angesprochen werden kann...
So kenne ich das auch vom Citrix ADC... Der kann auf beliebige IPs lauschen, wenn diese nur richtig geroutet sind.
Bei der OPNsense ist der Router ja praktisch im gleichen System, sollte das also ja eigentlich hinbekommen?

Du müsstest schon einer Schnittstelle diese IP als virtuelle IP geben

Daran solls nicht scheitern... Da meine OPNsense virtuell ist konnte ich ein neues Interface zum Testen dran hängen. Leider weiterhin ohne Erfolg.

Das neue Interface hat die IP 10.1.0.100, der Public HAProxy die IP 10.1.0.10:443
Mein LAN Interface aus dem heraus ich einen Zugriff teste hat eine IPv4 * Regel.

Vergesse ich was oder sollte das so funktionieren?
Weder Ping noch Telnet auf 10.1.0.10 gehen durch

Ich wäre jetzt mal davon ausgegangen, dass OPNsense schlau genug ist, wenn in HAProxy eine IP zum "Lauschen" konfiguriert ist, diese auch intern angesprochen werden kann...
So kenne ich das auch vom Citrix ADC... Der kann auf beliebige IPs lauschen, wenn diese nur richtig geroutet sind.
Bei der OPNsense ist der Router ja praktisch im gleichen System, sollte das also ja eigentlich hinbekommen?

Hast du den Port deiner WebUI geändert ?
Auf 443 läuft ja die OPNsense UI, das geht natürlich nicht beides.

Und keine Interface hat die IP 10.1.0.10? Oder wie soll man das verstehen.

Sonst Mal ein Grafischer Netzwerkplan

Der Port der WebUI läuft weiter auf 443... Das soll auch so bleiben und ist einer der Gründe, warum ich für HAProxy eine dedizierte IP haben will.

Die Interfaces haben die Netze 192.168.178.0/24, 10.0.0.150/24, 10.0.100.0/24 und 10.0.200.0/24. Also nein, die IP des HAProxy Public Service ist keinem Interface zugeordnet, bzw. Passt zu keinem derer Netze.

Den "grafischen" Netzplan habe ich schon in meinem ersten Post angehängt... bei einem echten grafischen Plan wären auch ich wirklich mehr Informationen dabei...

Such doch mal das howto bei mir läuft es.

Gesendet von iPhone mit Tapatalk Pro

Bringt mir leider wenig, wenn ich nicht mal eine Antwort bekomme, ob es mit der IP der OPNsense so läuft...
Alle HowTos (auch die hier im Forum) sind immer nur mit der IP der OPNsense...das ist aber eben nicht das, was ich brauche. Mit dem Standard im HowTo habe ich es auch schon hinbekommen...

Sind die denn unter der IP deiner OPNsense erreichbar oder unter einer expliziten?
Die ganzen HowTos sind immer nur mit der 0.0.0.0:8080 oder so konfiguriert, also das das Port Forwarding auf die IP des WAN Interfaces oder so geht

Du gibst bei der HAProxy Konfiguration für den öffentlichen Service einfach die IP:Port an worauf der HA hören soll.

Ich hätte meine Frage etwas genauer stellen sollen...Entschuldigt die Verwirrung. Wo ich die IP angebe ist mir natürlich klar.

Also ich habe einen Public Service mit der IP 10.1.0.10:443 angelegt, bekomme aber keine Verbindung dahin.
Zugriff erfolgt aus dem Interface LAN, welches eine * Freigabe überall hin hat.

Da die IP Range des Public Service ja keinem Interface zugeordnet ist, weiß ich nicht, wo ich noch was freischalten kann/muss.

Muss ich noch irgend was bestimmtes freischalten?

Alternativ:
Kann man HAProxy eventuell einem bestimmten Interface zuordnen?
Da meine OPNSense virtuell ist, könnte ich ein eigenes Interface dafür anlegen?

Sind die denn unter der IP deiner OPNsense erreichbar oder unter einer expliziten?
Die ganzen HowTos sind immer nur mit der 0.0.0.0:8080 oder so konfiguriert, also das das Port Forwarding auf die IP des WAN Interfaces oder so geht

Hallo liebe Community und frohe Weihnachten (oder Feiertage oder wie auch immer :) ),

in der Urlaubszeit möchte ich auch mal wieder an dem Neuaufbau meines erweiterten Heimnetzes weiter machen und stehe schon wieder an der nächsten Herausforderung, bei der ich auf eure Hilfe hoffe...

Kurz gefasst geht es darum: Wie kann ich bei HAProxy einem Public Service eine IP aus einem virtuellen Subnetz geben?

Die lange Fassung:
Ich habe beruflich einige Jahre mit dem Citrix ADC zu tun gehabt, allerdings eher aus der Applikationssicht. Mit der Netzwerkkonfiguration habe ich recht wenig zu tun gehabt... Allerdings ist daher noch meine Annahme, dass man mehrere Frontend-Dienste (Also Public Services bei HAProxy) mit verschiedenen IPs und Ports betreiben kann.
Das ist auch mein Ziel, da ich einige Webservices in meinem Netz habe, die ich teils intern, teils extern über den HAProxy laufen lassen möchte. Also 2 Public Services mit je einer anderen IP. Mir ist klar, dass ich das auch mit Ports umsetzen könnte, aber da kommt eben meine gewohnte Arbeitsweise in mir durch...
Die beiden IPs würde ich gerne als eigenes Subnetz halten...

Hab mal versucht mein Setup zu visualisieren:

     WAN / Internet
              :
              : DSL
              :
      .-----+-----.
      |  Gateway  |  Fritzbox (192.168.178.1) + Port Forwarding an 10.1.0.10:443
      '-----+-----'
              | DHCP 192.168.178.0/24
      WAN |
              |
       .-----:-------.
       |  OPN:sense  +-------.
       |  (Br:dge)  |             |
       '-----:-------'             |  10.1.0.10:443
              |                       |  Public interface 1
        LAN |          HAProxy|
              |                       |  10.1.0.20:443
      .-----+------.              |  Public interface 2
      | LAN-Switch +-------'
      '-----+------'       |
              |                |
    ...-----+------...       VLAN 1 Servernetz (Webserver 10.0.0.150:8080)
                                 VLAN 2 Clients 10.0.100.0/24 (DHCP)
                                 VLAN 3 IoT Netz   10.0.200.0/24 (DHCP)


Meine Ziele sind also:
- Port Forwarding von der FB nach 10.1.0.10:443 (Public Service 1) für den externen Zugriff
- Interne DNS Einträge nach 10.1.0.20:443 (Public Service 2) für den internen Zugriff
- Hinter den beiden Public Services hängen verschiedene Webdienste, die mittels einer Hostname-Regel zugeordnet werden
- Das Netz 10.1.0.0/24 ist keinem interface zugeordnet


Ich hoffe ich habe alles verständlich beschrieben und keine allzu bescheuerte Anfrage gestellt  :D

Vielen Dank vorab!

Sorry für die späte Rückmeldung... das Thema hatte eine etwas niedrigere Priorität :)

Mit dem VLAN fähigen Switch scheint es, soweit ich das jetzt beurteilen kann, zu funktionieren.
Vielen Dank für die Ratschläge!

Danke, das hatte ich befürchtet.
Ist mein Vorhaben sonst denn generell möglich?

Also über einen NIC 2 Netzwerke laufen zu lassen, bei dem nur eins mit VLAN läuft und das andere dann ein Nicht-VLAN Netz ist?

Hoffentlich ist das so verständlich :)


Aktuell habe ich einen Switch, der absolut dumm ist und nichts von VLANs kennt.
Ich habe aber noch einen Netgear GS108E, der wohl VLAN unterstützt.
Liegt das daran? Ich dachte, dass beim Tagged-VLAN der Switch nicht zwingend VLANs unterstützen muss?
Wenn das mein Denkfehler ist, wäre das ja schon eine mögliche Lösung.

Das VLAN200 ist in der Hyper-V Netzwerkkarte gesetzt (siehe Netzwerkdiagramm)
Die anderen vNICs (WAN und LAN) an der OPNsense haben kein VLAN gesetzt. Funktioniert das so überhaupt?

Hallo liebe Community,

verzeiht mir bitte die vielleicht blöde Frage aber ich weiß nicht was genau ich noch suchen soll um eine Antwort auf meine Frage zu bekommen.
Vorweg:
Mein Vorhaben ist ausschließlich für den privaten Gebrauch und hauptsächlich zum ausprobieren und lernen.


Ausgangssituation:
Auf einem Minirechner mit 2 NICs Läuft Windows 2016 als Hypervisor und OPNsense als VM.
Beide NICs sind per Externen vSwitch an OPNSense angebunden.
Am ersten NIC hängt die FritzBox als WAN
am 2. NIC das LAN Interface.


Vorhaben:
Im LAN habe ich natürlich mehrere Clients und Geräte.
Unter anderem auch ein Synology NAS, welches ich gerne im Netzwerk separieren möchte.

Das NAS soll also in LAN2 verschoben werden. Da ich aber nur 2 NICs habe, muss also dieses Netzwerk über den gleichen NIC wie das normale LAN Netz gehen.

Meine Vorstellung war, dass ich in OPNsense, dem Hyper-V Interface und der NAS ein VLAN Tag 200 setze.
In Hyper-V ist für LAN2 übrigens ein extra virtueller Adapter mit dem gleichen vSwitch wie für LAN konfiguriert. Zusätzlich eben für diesen Adapter noch VLAN 200.

Dadurch hatte ich gehofft, dass ich den physischen NIC sowohl für LAN als auch für LAN2 nutzen kann und trotzdem beide Netze separiert sind.
Leider funktioniert das aber wohl nicht... ich habe keinen Zugriff auf meine NAS.

Habe ich irgendwo einen Denkfehler oder ist das so überhaupt nicht machbar?

Vielen Dank schon mal für eure Hilfe!