DNS-Weiterleitung umleiten im lokalen Netz

Started by thron, September 22, 2021, 01:27:26 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 22, 2021, 01:27:26 PM
Hallo,

mit der Gefahr hin, dass ich mich hier blamiere stelle ich doch mal eine Anfrage rein.

Wenn ich mehrere Domians im Netz registriert habe und darüber verschiedene Server hinter der Opnsense erreichen möchte, ist das möglich?

Beispiel:

https://www.domain01.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.20.2
https://www.domain02.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.30.3
https://www.domain03.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.40.4

Irgendwie stehe ich auf dem Schlauch und brauch einen Denkanstoß!

Viele Dank für Eure Hilfe

VG
thron
September 22, 2021, 01:30:14 PM #1
Hast Du einen DNS-Resolver? Services->Unbound z.B.? Da gibt es bei Overrides eine Möglichkeit für Einträge.
September 22, 2021, 01:38:26 PM #2
Host oder Domain overrides?

Habe bei Domain Overrides mal die Domain

https://www.domain03.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.40.4

eingetragen, wird aber logischerweise noch an dem in den NAT-Rules eingetragene Maschine weitergeleitet.

Was müsste ich denn in den NAT-Rules ändern?
September 22, 2021, 02:19:18 PM #3
Ich verstehe das eher als mehrere Webseiten hinter einem Port. Das geht mit den Erweiterungen nginx und HAProxy.
September 22, 2021, 02:49:40 PM #4
Richtig...bin jetzt auch beim HAProxy-Plugin und hänge nun daran, dass ich kein SSL-Offloading haben möchte, sondern das der Server das Zertifikat hält.
Bekomme aber im Browser den Fehlercode

Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Kann mir jemand sagen was ich falsche mache?
September 22, 2021, 09:27:52 PM #5 Last Edit: September 22, 2021, 09:29:24 PM by XeroX
Such mal nach SSL Passthrough mit SNI in Verbindung mit HAProxy.

Der Hostheader bzw die SNI Payload ist unverschlüsselt.
September 22, 2021, 10:19:55 PM #6 Last Edit: September 22, 2021, 10:21:33 PM by fabian
Quote from: XeroX on September 22, 2021, 09:27:52 PM
Such mal nach SSL Passthrough mit SNI in Verbindung mit HAProxy.

Fürs nginx-Plugin gibt es ne Doku. HAProxy funktioniert ähnlich. Da muss meines Wissens nach auch im TCP Modus gearbeitet werden.
https://docs.opnsense.org/manual/how-tos/nginx_streams.html

Quote from: XeroX on September 22, 2021, 09:27:52 PM
Der Hostheader bzw die SNI Payload ist unverschlüsselt.
In TLS 1.3 gibt es auch ECH (verschlüsseltes SNI) - auch wenn es derzeit noch nicht verwendet wird.
September 23, 2021, 05:28:46 PM #7
> Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Das Backend auf SSL eingestellt? Wenn du Layer 4 machst und keine SSL Termination auf dem HAproxy dann darf der Traffic nicht wieder verschlüsselt werden, sondern einfach durchgereicht werden. Also Frontend nur annehmen (nicht terminieren, dann verschwindet auch die Zertifikatsauswahl) und im Backend kein SSL anhaken, weil nicht nochmal verschlüsselt werden soll.
Also im Realserver kein SSL anhaken und im BackendPool einfach TCP Layer 4 machen. Frontend auch TCP mode und den Rest dann mit Rules und Conditions machen (SNI Domain auslesen etc.)

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 26, 2021, 12:00:13 AM #8
JeGr, vielen Dank! Das war der Fehler...
September 27, 2021, 11:58:24 AM #9
Kein Problem, kommt mir selbst auch gerne mal wieder in die Quere :) Das ist so drin, wenn man terminiert, dass man es beim Durchreichen komplett übersehen kann :D

"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions