[GELÖST] OPNsense mit HA-Proxy, Firewall erkennt Zugriff auf Port aber haproxy n

Started by traders-banquet, October 04, 2024, 06:36:21 PM

Previous topic - Next topic
Hallo,

ich habe OPNsense in der Version : 24.7.5_3
Installiert habe ich den ha proxy und eingerichtet wie auf Youtube nach  IT Service Engler erklärt eingerichtet.
Demnach sollte die OPNSense alles was an ha.mydomain.de:80 annehmen und an meinen homeassistant auf Port 8123 weiter leiten, doch das geschieht nicht.
Im Ha habe ich den realen Server mit seiner IP und Port angelegt.
Einen Backend Pool mit diesem Server angelegt.
Eine Bedingung die den Server am Namen erkennen soll.
Eine Regel, die bei der Bedingung den Backend Pool auswählt.
Auf dem Wan Interface  Port 80 zugelassen für Ziel diese Firewall und für diese Regel die Protokollierung aktiviert.
Wenn ich nun von aussen auf den Port zugreife über http://ha.mydomain.de dann sehe ich im Firewall Livelog wenn ich auf Wan Interface und Direction IN filter, dass diese Regel angewendet wird, doch der HA-Proxy leitet einfach nicht weiter.


#
# Automatically generated configuration.
# Do not edit this file manually.
#

#
# NOTE: HAProxy is currently DISABLED
#
global
    uid                         80
    gid                         80
    chroot                      /var/haproxy
    daemon
    stats                       socket /var/run/haproxy.socket group proxy mode 775 level admin expose-fd listeners
    nbthread                    1
    hard-stop-after             60s
    no strict-limits
    httpclient.resolvers.prefer   ipv4
    tune.ssl.default-dh-param   2048
    spread-checks               2
    tune.bufsize                16384
    tune.lua.maxmem             0
    log                         /var/run/log local0 info
    lua-prepend-path            /tmp/haproxy/lua/?.lua

defaults
    log     global
    option redispatch -1
    timeout client 30s
    timeout connect 30s
    timeout server 30s
    retries 3
    default-server init-addr last,libc

# autogenerated entries for ACLs


# autogenerated entries for config in backends/frontends

# autogenerated entries for stats




# Frontend: HomeAssistant ()
frontend HomeAssistant
    bind mydomain.de:80 name mydomain.de:80
    mode http
    option http-keep-alive
    option forwardfor

    # logging options
    # ACL: Next
    acl acl_66fe792a38c824.35820834 hdr_beg(host) -i next.mydomain.de
    # ACL: HomeAssistant
    acl acl_66fe6902731061.46223933 hdr_beg(host) -i ha.mydomain.de

    # ACTION: Next
    use_backend Next if acl_66fe792a38c824.35820834
    # ACTION: HomeAssistantRegel
    use_backend HomeAssistant if acl_66fe6902731061.46223933

# Frontend: www-ssl ()
frontend www-ssl
    bind mydomain.de:443 name mydomain.de:443 ssl alpn h2,http/1.1 crt-list /tmp/haproxy/ssl/66ff17ee7acef7.86143247.certlist
    mode http
    option http-keep-alive

    # logging options
    # ACL: HomeAssistant
    acl acl_66fe6902731061.46223933 hdr_beg(host) -i ha.mydomain.de
    # ACL: Next
    acl acl_66fe792a38c824.35820834 hdr_beg(host) -i next.mydomain.de

    # ACTION: HomeAssistantRegel
    use_backend HomeAssistant if acl_66fe6902731061.46223933
    # ACTION: Next
    use_backend Next if acl_66fe792a38c824.35820834

# Backend: acme_challenge_backend (Added by ACME Client plugin)
backend acme_challenge_backend
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    http-reuse safe
    server acme_challenge_host 127.0.0.1:43580

# Backend: HomeAssistant ()
backend HomeAssistant
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    http-reuse safe
    server homeassistant 192.168.10.9:8123

# Backend: Next (Intranet Server)
backend Next
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    http-reuse safe
    server next 192.168.10.8:80



# statistics are DISABLED





mydomain steht für meinen öffentlichen Domain Namen.

Bin ich der einzigen der das Problem hat, ich habe nun mehrere Turorials angewendet, alles ohne Erfolg. Als würde der HA-Proxy nicht auf die Eingehenden Anfragen lauschen.

Wenn ich dann auf http://ha.mydomain.de zugreife sehe ich im Firewall Log :


Schnittstelle Zeit Quelle Ziel Protokoll Etikett
WAN 2024-10-04T19:02:32 109.42.177.170:31617 12.34.15.85:456 tcp Default deny / state violation rule
WAN 2024-10-04T19:02:32 109.42.177.170:31617 12.34.15.85:456 tcp Default deny / state violation rule
WAN 2024-10-04T19:02:32 109.42.177.170:31617 12.34.15.85:456 tcp Default deny / state violation rule
WAN 2024-10-04T19:02:32 109.42.177.170:31617 12.34.15.85:456 tcp Default deny / state violation rule
WAN 2024-10-04T19:02:32 109.42.177.170:12241 12.34.15.85:80 tcp Port 80 annehmen


Wie man sieht meine Anfrage wird auf Port 80 annehmen angenommen aber dann an 456, der geänderte Port meiner Firewall umgeleitet, darauf kann ich mir keinen Reim mehr machen. Es ist egal ob ich nginx verwenden möchte, haproxy, überall das gleiche.
Ich würde gerne versehen warum .....

Falls jemand helfen könnte, wäre ich sehr verbunden.

Hast du vielleicht alte port forward regeln aktiv?

Oder hört die OPNsense Webgui auf Port 80/443? (System Settings Administration - deactivate GUI redirect um port 80 freizumachen)
Hardware:
DEC740

Ein fehlender Haken mit einer derart großen Wirkung, vielen Dank. Das beschäftigt mich nun schon seit einer halben Ewigkeit.
Es war die GUI Redirection.
Vielen Dank