Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver
« previous
next »
Print
Pages: [
1
]
Author
Topic: OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver (Read 1028 times)
inorx
Newbie
Posts: 23
Karma: 0
OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver
«
on:
March 31, 2023, 06:06:19 pm »
Hallo zusammen
ich habe folgendes Setup:
Internet -> OPNSense mit OpenVPN -> Apache Reverse Proxy (SSL Terminierung, 443) -> Apache mit Web Anwendung (http, 80)
Wenn ich aus dem LAN, das sich hinter der OPNSense befindet, via Reverse Proxy 443 auf die Web Anwendung zugreife, geht das problemlos.
Greife ich vom Internet via OpenVPN und den Reverse Proxy auf die Web Anwendung zu, dann ergibt sich ein interessantes Resultat:
(1) OpenVPN Server auf Port 1194 -> funktioniert einwandfrei.
(2) Zweiter OpenVPN Server, gleiche Konfig, aber auf Port 443 -> Der SSL Handshake schlägt fehl. Interessanterweise nur bei den Anwendungen hinter dem Reverse Proxy. IMAP/S, SMTP/S und anderes, das ohne Reverse Proxy ansprechbar ist, funktioniert einwandfrei.
Mein Bauchgefühl sagt mir, dass da zu viele port 443 im Spiel sind und beim NATten etwas schief läuft? Ich habe allerdings keine Ahnung, was.
Sagt euch das Problem etwas, kennt ihr das und die mögliche Ursache und Lösung?
Vielen Dank für eure Hilfe.
Logged
Patrick M. Hausen
Hero Member
Posts: 6802
Karma: 572
Re: OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver
«
Reply #1 on:
March 31, 2023, 06:54:16 pm »
Wenn du HTTPS und OpenVPN multiplexen willst, dann ist das os-sslh Plugin vielleicht eine Idee.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
inorx
Newbie
Posts: 23
Karma: 0
Re: OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver
«
Reply #2 on:
April 06, 2023, 11:45:46 am »
Vielen Dank für deine Antwort.
Ich verstehe leider nicht, wo du in meinem Setup ein Multiplexing siehst resp. wo dieses entsteht: Auf dem WAN Interface läuft auf Port 443 nur OpenVPN. Der VPN Tunnel selbst kann vom Client auf WAN:443 auch erfolgreich aufgebaut werden, das geht. Von dort muss der Traffic dann in das DMZ subnet hinter der OPNSense geroutet werden. Auf UDP/TCP Ebene funktioniert das auch, der paketfilter hat die entsprechenden Regeln und lässt durch. Die Kommunikation zum Mail Server über IMAP/S und SMTP/S funktioniert ohne Probleme. Nur die Kommunikation zum Reverse Proxy auf 443 bricht.
Lässt sich daraus nicht schlussfolgern, dass dies kein Multiplexing Problem auf WAN:443 ist? Weil, wenn es da ein Problem gäbe, dürfte entweder gar kein Traffic oder aller Traffic durchgehen, aber nicht aller Traffic ausser https funktionieren?
Logged
Patrick M. Hausen
Hero Member
Posts: 6802
Karma: 572
Re: OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver
«
Reply #3 on:
April 06, 2023, 12:02:15 pm »
Ich hatte nicht begriffen, dass der Reverse-Proxy nicht auf der OPNsense ist, sorry. Mach mal die Anti-Lockout-Funktion für das UI aus, die pfuscht gerne auf Port 443 mit NAT dazwischen.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
inorx
Newbie
Posts: 23
Karma: 0
Re: OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver
«
Reply #4 on:
April 06, 2023, 01:11:44 pm »
Die Anti-Lockout Regel ist bei mir auf WAN nicht aktiv (weil das Web Interface nicht auf das WAN Interface gebunden ist) und dazu habe das Web Interface auf Port 8080, sprich, die Lockout Regel hat Port 443 gar nicht in der Konfiguration drin.
Ich guck's mit dennoch sicherheitshalber an.
Ich hatte auch eher NAT in Verdacht, aber eigentlich sollte ja der Traffic im VPN Tunnel gar nicht genattet werden müssen, der Client bekommt ja über den OpenVPN Server eine private IP aus dem OpenVPN segment, das er dann ganz normal routet. Genattet wird ja "nur" der Tunnel selbst, aber nicht der Traffic darin, oder?
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver