Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Client-IP an SSH-Jumpgateway hinter HAProxy
« previous
next »
Print
Pages: [
1
]
Author
Topic: Client-IP an SSH-Jumpgateway hinter HAProxy (Read 3160 times)
AlexH
Newbie
Posts: 3
Karma: 0
Client-IP an SSH-Jumpgateway hinter HAProxy
«
on:
June 01, 2020, 10:38:10 am »
Hallo zusammen,
ich betreibe ein SSH-Jumpgateway und Reverseproxy zusammen in einer VM. Das Setup basiert auf einem SSLH-Daemon und einem Nginx als Revrsproxy. Dieses Setup möchte ich nun gerne mittels HAProxy realisieren.
Ich versuche mich gerade an dem SSH-Jumpgateway. Die SSH-Connections bekomme ich auch an das passende Backend durchgereicht. Allerdings sehe ich auf dem Backend nur die IP-Adresse von der Opnsense und nicht die Client-IP.
Wie muss ich den HAProxy auf der Opnsense konfigurieren, damit ich die Clientip am Backend sehe. Dies benötige ich für Fail2Ban.
Gruß
Alex
Logged
hbc
Hero Member
Posts: 501
Karma: 47
Re: Client-IP an SSH-Jumpgateway hinter HAProxy
«
Reply #1 on:
June 01, 2020, 12:24:40 pm »
Ob das technisch überhaupt möglich ist? Bei HTTP Reverse-Proxy wird die reale IP als zusätzliche Header-Anweisung übertragen (X-Forwarded-for, X-Client-IP) und kann dann am Webserver ausgewertet werden und das auch nur, wenn SSL-Offloading durchgeführt wird und haproxy den Header somit einfügen kann.
SSH dürfte so einen Mechanismus nicht haben, um die reale IP mitzugeben. Oder funktioniert es mit nginx als RevProxy und Du willst ihn durch haproxy ersetzen? Wie hast Du es dann mit nginx gelöst?
Aber opnSense unterstützt doch rate-limits in Regeln. Kannste doch dort blocken. Nach jedem falschen Login wird Verbindung von SSHd beendet. Dann kannste z.B. konfigurieren max. 3 Verbindungen von IP pro 10min oder was halt Sinn gibt.
«
Last Edit: June 01, 2020, 12:33:24 pm by hbc
»
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: Client-IP an SSH-Jumpgateway hinter HAProxy
«
Reply #2 on:
June 01, 2020, 05:49:10 pm »
Klar kann man die real IP mitgeben. Das einzige Problem: man braucht das Proxy-Protokoll und das ist teilweise kompliziert in der Konfiguration. In dem Fall müsste wahrscheinlich der sslh weg.
Logged
hbc
Hero Member
Posts: 501
Karma: 47
Re: Client-IP an SSH-Jumpgateway hinter HAProxy
«
Reply #3 on:
June 01, 2020, 09:39:49 pm »
Dann müsste man mmproxy dazwischen schalten als PROXY Gateway... funktioniert halt nur, wenn der SSHd über Linux läuft.
https://serverfault.com/questions/620703/sshd-real-ip-behind-haproxy
https://blog.cloudflare.com/mmproxy-creative-way-of-preserving-client-ips-in-spectrum/
«
Last Edit: June 01, 2020, 10:00:46 pm by hbc
»
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: Client-IP an SSH-Jumpgateway hinter HAProxy
«
Reply #4 on:
June 01, 2020, 10:22:24 pm »
Ja, mmproxy muss da laufen, wo auch der sshd läuft, also auf deinem Server. Dafür funktioniert es mit jeder Software auf TCP-Basis. Wüsste nicht, ob es da auch was für BSD-Server gibt oder für was auch immer du verwendest.
Logged
AlexH
Newbie
Posts: 3
Karma: 0
Re: Client-IP an SSH-Jumpgateway hinter HAProxy
«
Reply #5 on:
June 02, 2020, 02:36:22 pm »
Vielen Dank für den Tip mit go-mmproxy, dass tut genau das was ich brauche.
Gruß
Alex
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Client-IP an SSH-Jumpgateway hinter HAProxy