Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
« previous
next »
Print
Pages: [
1
]
Author
Topic: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding (Read 3696 times)
Bytechanger
Full Member
Posts: 239
Karma: 0
HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
on:
June 30, 2019, 08:37:57 pm »
Hallo,
ich nutze den HAProxy als ReverseProxy.
Eingehende Verbindungen werden zu meine Synology Diskstation weitergeleitet.
1) Die Synology hat eine automatische Blockierung, wenn zu viele fehlerhafte Anmeldeversuche stattfinden, wird die IP gesperrt. Aktuell erkennt sie aber offensichtlich nur die IP des Proxy und blockiert diese.
D.h. wenn sich jemand zu oft falsch anmeldet, sind damit automatisch ALLE Anmeldungen und IPs gesperrt, da ja alle über den Proxy kommen. Gibt es eine Möglichkeit, dass die Synology erkennt, dass die Quell-IP eine andere ist und nur der Proxy als Mittelsmann funktioniert ?
Ich habe i Frontend
X-Forwarded-For header
aktiviert.
1b) Mir kommt die Anmeldung sehr verlangsamt vor. Klar, es gibt eine Zwischenstation, die kann aber die Verbindung nicht so lähmen. Gibt es da Optimierungsmöglichkeiten in den Einstellunge?
2) Ich möchte mein SSH vom Raspi auch über den ReverseProxy laufen lassen. Wie stelle ich das an und was muss ich beachten?
Frontend habe ich auf TCP gestellt.
Im Backend TCP Layer 4
Greets
Byte
Logged
superwinni2
Hero Member
Posts: 546
Karma: 24
Netzwerk der Kindheit? - Draussen
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #1 on:
June 30, 2019, 09:06:19 pm »
1) Du musst deiner Syno irgendwie beibringen den "X Forwarded For" Header auszulesen...
Da ich jedoch selbst keine habe.. vielleicht bringt dich google da auf den richtigen Weg?
https://www.google.com/search?q=synology+x+forwarded+for&oq=synology+x+forwarded+for
1b) Was heißt verlangsamt? Über welches "Zeitgefühl" reden wir hier? Wie performant ist deine FW?
2) Sorry habe ich selbst noch nicht gemacht bzw. gebraucht...
Logged
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD
FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #2 on:
July 01, 2019, 11:43:17 am »
> 2) Ich möchte mein SSH vom Raspi auch über den ReverseProxy laufen lassen. Wie stelle ich das an und was muss ich beachten?
Mal platt gefragt: Warum? Mit welchem Sinn dahinter?
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Tattoofreak
Newbie
Posts: 17
Karma: 0
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #3 on:
February 04, 2022, 10:26:18 am »
Hast du je herausgefunden wie das geht mit der Synology? Ich stehe vor dem selben Problem!
Logged
Bytechanger
Full Member
Posts: 239
Karma: 0
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #4 on:
February 04, 2022, 10:31:09 am »
@JeGr: Die Antwort ist recht einfach. Wer sich mit IPv6 beschäftigt (und die Deutsche Glasfaser hat nur native IPv6) wird feststellen, dass es dort kein Portforwarding gibt. Das kann ich aber indirekt über einen reverseproxy machen. D.h. ich habe EIN Ziel in meinem Netzwerk (Reverse Proxy) und der leitet je nach dem Weiter auf die verschiedenen Endgeräte in meinem Netz. Weiterer Vorteil, die https-Verbindung (nicht bei ssh) wird mit dem reverse proxy aufgebaut und ich brauche nur ein SSL-Zertifikat.
@Tattofreak: -- ich schaue nach, bin nicht mehr sicher, glaube, man konnte einen vertrauenswürdigen Proxy angeben....
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #5 on:
February 04, 2022, 10:46:48 am »
> Wer sich mit IPv6 beschäftigt (und die Deutsche Glasfaser hat nur native IPv6) wird feststellen, dass es dort kein Portforwarding gibt. Das kann ich aber indirekt über einen reverseproxy machen.
Eigentlich lese ich da 2 falsche Aussagen.
Es gibt bei IPv6 nach wie vor Port Forwarding (da PFW eigentlich in PF lediglich Redirects sind und die funktionieren mit IPv6 genauso immer noch). Und warum sollte ich bei IPv6 - wenn ich ein ganzes Subnetz zugewiesen bekomme, was eigentlich überall sein muss - überhaupt Redirecten wenn ich so viele Adressen zur Verfügung habe? Darum frage ich mich wozu man SSH proxy'en möchte. Bei so viel Adressen gibts genug für alle.
Dass HTTPS via Reverse Proxy Sinn macht ist unbestritten, aber da gehts ja auch um ganz andere Baustellen wie SSL Termination etc.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Bytechanger
Full Member
Posts: 239
Karma: 0
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #6 on:
February 04, 2022, 10:51:44 am »
Weil ich dann nur eine IPv6 auf eine Domain (DynDNS) lege und dann, wie bisher auch, über die verschiedenen Ports verschiedene Maschinen ansteuere.
Andernfalls müsste ich jede Maschine eine DynDNS zuweisen und sie darüber ansprechen....
Nach außen hat jede Maschine ihre eigene ipv6 Adresse, daher ist Portforwarding ja eher "ungewünscht" als nicht möglich in ipv6.
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #7 on:
February 04, 2022, 10:54:42 am »
Ah also dynamisches Prefix und ständige Zwangstrennung. OK davon stand da nichts
Ja die Freuden von Providern...
Aber gerade SSH ist da ja recht schmerzfrei. Warum nicht einfach unterschiedliche Ports. Dann muss man sich nicht mit Multiplexen rumschlagen? SSH ist da halt das einfachste Protokoll für weil sehr handzahm, packt mans einfach auf verschiedene Ports und gut ist. Positiver Nebeneffekt - weg von 22/tcp extern heißt weg von den ganzen stupiden SSH Bots die einem ständig die Verbindung zusabbeln
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Bytechanger
Full Member
Posts: 239
Karma: 0
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #8 on:
February 04, 2022, 11:00:39 am »
Ich habe nach "draußen" keine Standardports -never ever-.
Der 80 wird nur kurzfristig für die Erneuerung des Lets Encrypt Zertifikates geöffnet. Ansonsten immer custom ports. So dann auch für ssh. Läuft übrigens prima und ist hat ein Nebenprodukt, da ich https sowieso über den reverse proxy leite. Schön daran ist, dass dieser dann auch eine Authentifizierung über Zertifikat zulässt.
Greets
Byte
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #9 on:
February 04, 2022, 08:02:34 pm »
Theoretisch geht es aber du brauchst nen HTTP CONNECT oder SOCKS proxy dafür, weil SSH keine Host-Information wie HTTP mitschickt. Dazu brauchst du die Client IP Adresse (Stichwort PROXY protocol).
Wenn du auf dem Server blocken willst, musst du das nicht lokal machen, sondern musst die Information irgendwie an die OPNsense weiterleiten, weil der Server in so einer Konfiguration nur den Proxy sieht. Man kann irgendwie auch die Quell-IP-Adresse spoofen, aber das kann imho kein Proxy auf OPNsense.
Logged
Bytechanger
Full Member
Posts: 239
Karma: 0
Re: HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding
«
Reply #10 on:
February 07, 2022, 11:14:52 am »
Hi,
@Tattoofreak
Ich habe folgendes konfiguriert, das -wie ich glaube- ganz gut funktioniert.
Im reverse proxy habe ich "X-Forwarded-For header" aktiviert, was dafür sorgen sollte, das die eigentliche Client IP im Header an die Synology übermittelt wird.
In der Synology dann unter Sicherheit->Sicherheit->vertrauenswürdige Proxys die IP des reverse proxys eingetragen. Damit vertraut die Synology dann dem reverse proxy und mithin auch deem X-Forwarded header!
Greets
Byte
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
HAProxy -> Synology autom. Blockierung (IP) // SSH-Forwarding