Messages

Guten Morgen Zusammen,

nach einem weiteren Wochenende mit Tests um Gedankengängen habe ich mich von dem Plan mit einer DMZ zu Arbeiten verabschiedet und möchte nun auf meinem Proxmox-Host hinter der opnsense alle Server eingliedern.
Sprich DC, Mail usw. sollen hinter der opnsense liegen und per HAProxy bedient werden.
Das funktioniert auch primar soweit, ich komme per Weiterleitung von POrt 80/443 an den Proxmox-Host auf meine Server.

Hier der aktuelle Aufbau:

Code Select Expand

      WAN / Internet
            :
            : Unitymedia Business / IPv4 / DynDNS über Root-Server
            :
      .-----+-----.
      |  Gateway  |  Fritzbox 6591 Cable (Unitymedia) // 192.168.0.2/24
      '-----+-----'
            |
|
      .-----+------.   Clients       .------------.
      |  LAN/WLAN  +-----------------+Div. Clients|
      '-----+------' 192.168.10.0/24 '------------'
            |
            |
LAN | 192.168.0.10/24 (VMBR0)
      .-----+------.   Interface     .------------.
      |  Proxmox   +-----------------+ GUI / SSH  | Nur Port 22 und 8006 ausgeschleust per iptables
      '-----+------'  192.168.0.10   '------------'
LAN | 10.0.0.1/30 (VMBR1)
            |
            |
WAN | 10.0.0.2/30 (VMBR1)
      .-----+------.
      | OPNsense   | Mit HAProxy
      '-----+------'
LAN | 192.168.45.1/24 (VMBR3)
            |
    ...-----+------... (Diverse Server)


Jetzt habe ich bedingt durch den Aufbau mit der Fritzbox, die das WLAN zusammen mit einigen Powerline-Adaptern per MESH zur Verfügung stellt, das "Problem" dass meine Client und Drucker vor der opnsense liegen und somit quasi in einer DMZ zwischen Fritzbox und Proxmox liegen.

Wie kann ich jetzt am besten meine Clients an die Server, u.A. der DC für die Domäne, anbinden?
Per Handy komme ich bereits aus dem Internet an den Mailserver.
Jetzt geht es darum dass ich meine Server ins "LAN" bekomme bzw. das "LAN" an meine Server anbinde.

Aktuell ist meine Testumgebung noch ein PC mit 1 Netzwerkkarte, ich plane aber wenn alles funktioniert auf den HP Server mit 2 Netzwerkkarten umzustellen.
Ich dachte dann daran, das LAN hinter der opnsense auf die 2. Karte zu verbinden und dann beide LAN-Ports vom Server ins Netzwerk zu bringen und damit dann quasi die opnsense zu umgehen, physikalisch.
Da ich nur Powerline habe ist mein Backbone leider nur 1 Strang und ich müsste entweder nur mit getrennten Netzwerk-Segmenten Arbeiten (Fritzbox in 192.168.0.0/24, alles hinter der opnsense dann im 192.168.45.0/24).
Oder halt mit VLANs arbeiten, aber die Fritzbox Powerline-APs können keine VLANs und wären somit normal im Netz. Ich könnte hier das Gast-Netzwerk aktivieren für das WLAN und das "normale" WLAN dann ins LAN hinter die opnsense bringen, allerdings nur auf IP-Ebene....
Nur, bringt mir das was oder ist das einfach nur unnötiger Mehraufwand den ich da betreibe?

Gruss,
Michael

Guten Morgen Zusammen,

aktuell bin ich jetzt auf dem Stand, dass ich die Ports 80 und 443 an der opnsense nutze und auch eine Umleitung von HTTP auf HTTPS mache.
Wenn ich also per HTTP meine Subdomain aufrufe, dann leitet die Fritzbox die Anfrage an den Proxmox, dieser an die opnsense und diese leitet dann HTTP nach HTTPS um.
Diese leite ich dann vom Frontend, welches auf Port 443 lauscht weiter an das Backend, hier ist der "echte" Server mit Port 443 hinterlegt.

Soweit so gut.

Wenn ich jetzt einen weiteren Server anlege mit Port 8006 (Proxmox Mail Gateway in der DMZ) und hier die gleichen Regeln und Einstellungen wie am Frontend vornehme, funktioniert der Aufruf per HTTPS ohne Probleme. allerdings wird HTTP nicht umgeleitet. Hier erhalte ich dann den Fehler "ERR_EMPTY_RESPONSE" vom Edge Browser.
Der einzige Unterschied ist hier, dass der reale Server nicht Port 443 sondern Port 8006 eingestellt hat und das Frontend nicht auf Port 443 sondern auf Port 8007 lauscht.

Als Redirect greift hier die gleiche Regel zum Umleiten von HTTP auf HTTPS wie beim anderen Server.

Habt Ihr vielleicht eine Idee woran das liegen könnte wieso hier nicht auf HTTPS weitergeleitet wird?

Gruss,
Michael

Guten Morgen Zusammen,

erst einmal vielen Dank für die vielen Informationen rund um die opnsense.
Ich habe auf Basis der vielen Anleitungen und Hilfen hier das folgende Setup aufgebaut.

Ich habe einen Root-Server und daher volle Freiheit bei der Einrichtung und Weiterleitung von Subdomains auf meinen lokalen Aufbau.

Aktuell habe ich in Proxmox eine opnsense installiert die bereits erfolgreich LE Zertifikate anrufen kann.
Nebenbei habe ich einen Proxmox Mail Gateway in eine DMZ gesetzt und im LAN dazu einen Mailserver.
Port 80 und 443 zeigen von der Fritzbox auf die IP vom Proxmox, dieser leitet dann per iptables alles an vmbr1 / 10.0.0.2 weiter.
Der Zugang ins Internet funktioniert aus allen Subnetzen, mein Problem ist jetzt in das LAN zu kommen ohne Fehlermeldung.

Wenn ich von Außerhalb meine Subdomain aufrufe, wede ich mit einem Fehler 403 begrüßt. Rufe ich die Subdomain mit HTTPS auf, gelange ich auf den Mailserver. Generell funktioniert der Aufbau also (Was mein erster Test ist um das System mit HAProxy zu verstehen...).
Nur scheitere ich an den Einstellungen für Port 80. Ich möchte hier auch nicht zu viel "rumtesten", da LE ja bereits läuft und auch Port 80/443 verwendet.

Was muss ich jetzt genau machen, damit ich die Anfragen von Port 80 auf den Server weiterleite bzw. am liebsten dass der Port automatisch auf HTTPS umgeleitet wird und es keine "unsichere" HTTP-Verbindung gibt.

Michael