Author Topic: Domain resolve to same IP from WAN (Read 1448 times)

guest31444 · « **on:** October 08, 2022, 01:23:46 pm »

Hallo zusammen,

gerne bin ich auf der Such nach einer Lösung mit OPNsense

Ziel ist es über eine Proxy Funktion folgende Konstellation zu erreichen: SLD welche auf nur eine WAN IP zeigen aber immer mit dem Port 443 der Dienst hinter dem NAT verfügbar zu machen.

- MyDomain.com -> xxx.xxx.xxx.xxx (Nur eine statische WAN IP)

- AAA.MyDomain.com -> xxx.xxx.xxx.xxx:443

- BBB.MyDomain.com -> xxx.xxx.xxx.xxx:443

Der OpenVPN Server läuft gleichzeitig auf dem WAN Port und hört auf Port 443

Mit der SOPHOS WAF funktionalität konnte dieses zenario gut realsiert werden.

Lässt sich dies auch mit OPNsense abbilden?

Danke für Tipps

micneu · « **Reply #1 on:** October 08, 2022, 04:09:32 pm »

Schau dir mal den haproxy an.
Ichvgehe davon aus das dein openvpn auf 443 udp lauscht oder? Dann solltest du es umsetzen können

ps: als such begriff kannst du auch reverse proxy nutzen
Gesendet von iPhone mit Tapatalk Pro

guest31444 · « **Reply #2 on:** October 09, 2022, 04:12:08 pm »

Danke für den Tipp.
Wenn der VPN Server auf TCP hört, kann es einen Konflikt mit dem ha Proxy kommen?

Danke

micneu · « **Reply #3 on:** October 09, 2022, 08:55:57 pm »

ja, logisch
- TCP 443 (HTTPS)
- UDP 443 kein HTTPS
mein OpenVPN habe ich auf 443 UDP laufen (wie ich ja schon geschrieben hatte)

Patrick M. Hausen · « **Reply #4 on:** October 09, 2022, 08:59:26 pm »

sslh kann OpenVPN auf TCP und HTTPS multiplexen.

https://github.com/yrutschle/sslh

guest31444 · « **Reply #5 on:** October 11, 2022, 10:03:38 pm »

Danke,

wie lässt sich das sslh auf der OPNsense installieren?

JeGr · « **Reply #6 on:** October 19, 2022, 12:46:20 pm »

> wie lässt sich das sslh auf der OPNsense installieren?

Nur händisch via Konsole/SSH, es gibt da kein GUI Paket dafür. Man kann (umständlich) mit HAproxy versuchen, den VPN Traffic via 443/tcp rauszufiltern/suchen aber ist nicht wirklich schön. Und die integrierte Funktion von OpenVPN, Traffic an HTTPS weiterzureichen ist nicht wirklich performant für den HTTPS Teil, ergo wäre SSLH tatsächlich wenn es unbedingt sein muss mit tcp/443 die bessere Methode.

> - UDP 443 kein HTTPS

Doch, seit HTTP2.x bzw. HTTP/3 ist UDP/443 AUCH HTTPS via QUIC Protokoll. Siehe RFC 8999-9002

-> https://en.wikipedia.org/wiki/QUIC

Da das in Zukunft langsam Traktion gewinnen sollte, wäre es auch nicht verwerflich OpenVPN einfach mit udp/443 zu bauen und als Fallback mit tcp/443 oder einem anderen Port (636, 53, 25...) zu bauen der funktioniert.

--

Ansonsten könnte man statt SSLH noch das Port-Share Feature von OpenVPN vorschalten. Wie performant das ist, müsste man dann ausprobieren, aber man könnte bei OpenVPN in den adv. Options eine Zeile wie

port-share 127.0.1.1 443;

mit einfügen und den HAproxy dann auf 127.0.1.1/443 konfigurieren. TLS Traffic von extern kommt dann auf dem WAN an, wird von OpenVPN angenommen was prüft, ob es eine VPN Verbindung ist oder HTTPS Traffic und bei HTTPS dann an eine modified localhost IP weitergibt, wo HAproxy dann ganz normal weiterspielen kann und entweder SSL terminieren oder weiterreichen kann - je nachdem ob man TCP mode oder HTTP/Termination Mode fährt.

Cheers

guest31444 · « **Reply #7 on:** October 25, 2022, 05:05:49 pm »

Danke für den Input, echt super welche Möglichkeiten es bei opnsense gibt.

Author Topic: Domain resolve to same IP from WAN (Read 1448 times)

guest31444

Domain resolve to same IP from WAN

micneu

Domain resolve to same IP from WAN

guest31444

Re: Domain resolve to same IP from WAN

micneu

Re: Domain resolve to same IP from WAN

Patrick M. Hausen

Re: Domain resolve to same IP from WAN

guest31444

Re: Domain resolve to same IP from WAN

JeGr

Re: Domain resolve to same IP from WAN

guest31444

Re: Domain resolve to same IP from WAN