Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - Addy90

#1
Also HAproxy ist eigentlich egal, wie die Interfaces heißen etc. Es kommt HAproxy drauf an, auf welcher Adresse der Socket auf Verbindungen hört.

Der Public Service (bzw. die mehreren), die vorher z. B. auf *:80 und *:443 gehört haben, funktionieren weiterhin nun eben mit dem anderen Interface.

Angenommen dein WAN (em0) hatte die IP 172.16.0.1 und dein Public Service im HAproxy hörte bei der "Listen Address" auf 172.16.0.1:80, und dein neuer WAN (re0) hat jetzt auch 172.16.0.1 statt dem alten em0, was jetzt z. B. 192.168.0.1 hat, dann passt der HAproxy Public Service automatisch(!) nun zum neuen WAN (re0) ohne dass was getan werden musste.

Kurz: Hat sich die WAN-Adresse nicht geändert, hat sich dein HAproxy auch nicht geändert und geht weiterhin.

Jetzt ist das natürlich nicht dein Problem, denn du hast ja nen DHCP auf WAN und bekommst irgendeine Adresse, weißt aber nicht welche. In so einem Fall ist es besser, wenn du bei HAproxy als Listen Address bei den Public Services einfach den * nimmst statt der IP, dadurch hört er im Hintergrund auf allen Interfaces (wie 0.0.0.0 bei anderen Linux Systemen). D. h. du kannst ihn dann von überall intern wie extern aufrufen, sofern die Firewall die Verbindung durchlässt.

Irgendwie hab ich das Gefühl, dass es an dieser Listening Address bei den Public Services bei dir liegen muss, evtl. ist da noch ne alte IP von nem früheren DHCP-Lease eingetragen. Der Punkt ist nämlich der: In der haproxy.conf Datei (unter /usr/local/etc/haproxy.conf) steht kein einziger(!) Interfacebezeichner drin. Was auch immer du im syslog gesehen hast, muss einen anderen Zusammenhang gehabt haben...

Also mein Tipp: Auf * hören (wobei eine Domain theoretisch auch geht, also z. B. www.example.org:80), per Firewall überall blockieren wo unerwünscht und extern auf dem WAN Interface per Firewall den Port eben zulassen.
#2
Wirklich einstellen nicht, aber wenn du die aktuelle WAN schnittstelle bei den Schnittstellen Assignments entfernst und dann eine andere / neue hinzufügst, nimmt die den WAN Platz wohl als ersten freien Platz ein.

Ansonsten geht es auch, die Config zu exportieren, händisch zu bearbeiten und wieder zu importieren, aber das ist gefährlich, wenn man etwas falsch macht. Ich vermeide das lieber...

Problem ist noch, dass beim Entfernen von interfaces manchmal Einstellungen die Bezug drauf hatten verschwinden, wann und wie genau bin ich mir aber nicht sicher... die Firewall Regeln sollten es eigentlich überleben, aber kanns nicht garantieren.

Ach: Auf was sind denn deine Public Interfaces am "Listening"? Liegt es vllt daran?
#3
Do you maybe use HAproxy for connecting to your UI?

EDIT: sorry @franco