HA-Proxy liefert falsches Zertifkat aus

Started by mweis, July 29, 2019, 04:03:04 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 29, 2019, 04:03:04 PM
Hallo,

ich wollte eine zweite Domain zum HA-Proxy hinzufügen. Er sagt mir auch, dass meine Syntax keinen Fehler enthält, allerdings liefert er beim Aufruf von Domain B das Zertifkat von Domain A aus. Beide haben natürlich die gleichen IPs, da ich die Zertifikate über dyndns / letsencrypt cloudflare api erstellt habe.

Ich dachte ich füge unter "Public Serices" den neuen Server hinzu und die Sache läuft. Was mich irritiert in den Logs vom HA-Proxy sehe ich auch dass obwohl ich Domain B aufrufe, der HA-Proxy glaubt ich rufe Domain A auf.

An welcher Stelle kann ich das Problem fixen?

Danke
July 29, 2019, 05:18:46 PM #1
Sieht nach einem Fehler im Frontend bei der TLS-Konfiguration aus. Würde da aber eher auf eine Antwort von Frank warten, da ich kein Experte für HAProxy bin.
July 29, 2019, 09:57:37 PM #2
Hallo mweis


hast du die Zertifikate im Frontend (Public Services) auch zugeordnet?
Das Let's Encrypt Plugin erstellt nur das Zertifikat. Damit dieses auch vom HAProxy benutzt wird, muss man dieses unter SSL Offloading hinzufügen.
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
July 30, 2019, 08:30:29 AM #3 Last Edit: July 30, 2019, 09:06:44 AM by mweis
Guten Morgen,

ja habe ich eigentlich siehe Screenshots.

July 30, 2019, 08:41:48 AM #4 Last Edit: July 30, 2019, 10:14:28 AM by superwinni2
Ahhhh

Allgemeiner Denkfehler... Der passiert leider relativ oft....
Du darf pro IP/Port nur ein Frontend anlegen....

Hier hatte ein anderer Benutzer das gleiche Problem...
https://forum.opnsense.org/index.php?topic=12725.msg58882#msg58882

Vielleicht hilft es dir weiter :) Falls nicht nochmals melden... Habe nur keine Lust es doppelt zu schreiben ;)




Kurzform:
Du darfst nur ein Frontend anlegen mit der Listen Addresses 0.0.0.0:856 und dann musst du mit Hilfe von Bedingungen und Regeln unterscheiden welches Backend benutzt werden soll :)

Sonst greift immer nur das "erste" Frontend was in der Config steht :)

Wenn es dir nicht weiterhilft, dann können wir es auch gerne zusammen "aufschlüsseln"  ;D

Grüße
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
July 30, 2019, 09:02:39 AM #5 Last Edit: July 30, 2019, 09:06:32 AM by mweis
okay danke, mir erschließt sich aber nicht, in welchem Punkt in dann den backends die entsprechenden Zertifikate zuweise?

EDIT: geht :)
July 30, 2019, 09:10:04 AM #6
Da ich eben deinen Edit sehe das es klappt ist ja schonmals alles gut :)


Nur um den Thread sauber abzuschließen:
Zertifikate weißt man dem Frontend, nicht dem Backend zu :) es geht ja darum, dass der Client verschlüsselt mit dem HAProxy spricht.
Wie der HAProxy zu dem eigentlichen Server spricht, stellt man unter den "Real Servers" ein.
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
Print
Go Up Pages1
User actions