Weiterleitung von unterschiedlichen Subdomains auf gleichen Server

[white_rabbit]

Hallo.
Bisher haben wir uns mit Portweiterleitungen geholfen doch nun soll der reverse HAProxy zusammen mit der OPNSense diese Aufgabe übernehmen, um diverse Dienste im internen Netzwerk erreichen zu können.

Dazu habe ich eine Frage:
Wir hatten bisher dienst1.domain.de und dienst2.domain.de mit unterschiedlichen Namen auf unserem Webserver für unsere Domain eingetragen,  die dann ganz einfach über einen cname Eintrag auf die gleiche IP-Adresse verwiesen haben. So war es möglich, dass sich hinter dienst1.domain.de/dienst1 ein ganz anders klingender Dienst verbarg als unter dienst2.domain.de/dienst2, obwohl ja beides auf dem gleichen Server statt fand.

Wenn ich das gleiche nun mit dem HAProxy erreichen will, muss ich eine Weiterleitung für unterschiedliche Domainnamen an immer den gleichen Server erreichen -- wie aber geht das, wenn pro Server immer ein passendes LE Zertifikat ausgestellt wurde, so dass der Name nicht passt, wenn ich dienst2 aufrufen will, das Zertifikat aber für dienst1 ausgestellt wurde? Oder anders gefragt: Wie kann man eine Regel erzeugen, die passend umleitet oder aber beide Zertifikate zulässt?
Ich hoffe, das das Problem halbwegs klar geworden ist ...
Danke für einen guten Denkanstoß
 

[JeGr]

> Ich hoffe, das das Problem halbwegs klar geworden ist ...

Nicht so ganz

Ihr hattet zwei Dienste mit unterschiedlichen Namen und Pfad auf dem gleichen Server. OK.
Beide auf der gleichen IP weil wegen gleicher Server, auch OK.

Was ist jetzt genau die Denke/Frage bei HAproxy? Weil du das gleiche Backend hast (ein Server)?
Soll der Server überhaupt weiterhin das Zertifikat selbst ausstellen oder soll das HAproxy mit ACME direkt auf der Sense dann in Zukunft übernehmen? Das ist ja auch noch eine Frage die man klären muss, vor allem wenn LE im Spiel ist und man vielleicht via Domain/URL (www01) Methode die Zertifikate ausstellt, dann müssen die ja entsprechend an den Server geleitet werden statt zum Proxy. Das wäre alles relevant zu wissen

Ansonsten: Der HAproxy entfernt ja nicht den HTTP Host Header. Der bleibt beim Request ja nach wie vor bestehen und selbst wenn beide Domains dann auf das gleiche Backend zeigen, kommt beim Server ein Request mit dienst1... und ein Request mit dienst2... an. Wenn der Webserver auf der Kiste entsprechend (schon vorher) konfiguriert ist, dann sollte das auch jetzt kein Problem sein, dass er das entsprechend ausliefert.

CHeers

[white_rabbit]

Hi, ja, du hast natürlich Recht: die OPNSense soll jetzt auch die Zertifikate ausliefern. Ich habe das für dienst1 auch bereits umgesetzt. Das klappt und die Seite wird per HTTPS:// mit gültigem Zertifikat ausgeliefert. Wenn ich nun aber mit dem anderen Namen komme (Weiterleitung auf die gleiche IP ist ja noch eingestellt), wird aber gemeckert, dass das Zertifikat nicht passt, da es nicht für dienst2 ausgestellt wurde....

[JeGr]

Natürlich, wenn jetzt beide Dienste hinter dem HAproxy sind, dann musst du auch beide Zertifikate auf dem HAproxy haben. Eine Variante ist, dass du dir das Leben einfach machst und jetzt einfach ein Multi-SAN Zertifikat ausstellst, also alle Domains die du auf dem Proxy nutzt in ein Zertifikat packst, oder du machst es einzeln und packst die Zertifikate dann in HAproxy mit dazu. Du kannst ja dem Frontend Service nicht nur ein Zertifikat zum Offloading verpassen, sondern mehrere. Dann hat HAproxy auch die richtige Antwort auf die Anfrage parat und bringt keinen Fehler mehr beim Client.

[fabian]

Noch geschickter: Hol dir gleich ein Wildcard Zertifikat.

[JeGr]

Bin ich mir nicht sicher, ob er das einfach kann, denn das Beispiel sah mir nicht so aus, als wären es Dienste unter der gleichen Oberdomain. Und ein MultiSAN ist jetzt auch nicht schwerer zu erstellen
Aber ja, wenn es natürlich geht und passt, ist ein Wildcard einfacher, geht allerdings dann aber auch nur via DNS-01.

[white_rabbit]

Genau, das Problem dabei ist, dass unsere (Haupt) Domain ein ganz normaler Webserver ist, der mit plesk gehostet wird. Der hält auch das (Haupt) Zertifikat für die Domain. Daher kann ich vermutlich der OPNSense auch nicht beibringen, dass sie ebenfalls ein Wildcard Zertifikat für diese komplette Domain ausstellt. Deshalb habe ich mir bisher mit Einzel-Zertifikaten für die weiter geleiteten Subdomains geholfen. Lief bisher problemlos,  doch nun muss ich mir die Sache mit den Multi-SANs offenbar mal näher ansehen.... Wieder was dazu gelernt. Danke!

[JeGr]

Alternativ kannst du auch mehrere einzelne Zerts hinterlegen. Man kann in HAproxy auch mehrere auswählen und anklicken, nicht nur eines. Das wird oft übersehen