Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NAT - HAProxy
« previous
next »
Print
Pages: [
1
]
Author
Topic: NAT - HAProxy (Read 1464 times)
Eagle
Newbie
Posts: 5
Karma: 0
NAT - HAProxy
«
on:
September 24, 2020, 10:31:40 pm »
Hallo
Ich habe einen APACHE WebServer hinter meiner OPNsense stehen,
Auf der OPNsense habe ich u.a. einen HAproxy mit LetsEncrypt laufen.
Die Grundkonfiguration läuft soweit ganz gut. Auch der Redirect von http auf https funktioniert.
Auch der SSL Zugriff via HAproxy auf die http Seiten am Apache funktionieren.
Dennoch habe ich bei einem selbstgehosteten Shop das Problem, dass diese Konfiguration nicht hinhaut.
Schalte ich den HAproxy ab und terminiere mit dem SSL direkt am WebServer funktioniert der Shop.
Folgendes habe ich getestet
https -> HAproxy (SSL) -> http Shop ................ nur Teile der Seite funkionieren, mischmasch aus http und https
https -> https Shop ................................ funktioniert ohne Probleme
https -> HAproxy (SSL) -> https Shop................ scheint soweit zu funktionieren
Prinzipiell sind mir die Unterschiede zw. NAT und HAProxy bekannt.
Dennoch meine Frage:
Gibt es die Möglichkeit dem HAproxy zu sagen, dass es von Zugriffen auf bestimmte URLs die Finger lassen soll und stattdessen ein NAT auslöst?
LG
Chris
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: NAT - HAProxy
«
Reply #1 on:
September 25, 2020, 02:25:16 pm »
> Dennoch habe ich bei einem selbstgehosteten Shop das Problem, dass diese Konfiguration nicht hinhaut.
> Schalte ich den HAproxy ab und terminiere mit dem SSL direkt am WebServer funktioniert der Shop.
Dann kennst du dein Problem
Der Shop - welcher das auch immer sein soll - hat dann eben Probleme mit dem Setup. Ist gar nicht so ungewöhnlich, da es manche Shops gibt, die überprüfen wie sie aufgerufen werden (http/https) um dementsprechend Links zu erzeugen und Redirects zu vermeiden. Wenn der Shop auf dem Host selbst ohne HTTPS läuft, dann kommt dort wahrscheinlich nicht an, dass HTTPS verlangt ist.
Hast du im HAproxy schon
* Im Backend den ForwardFor Header gesetzt und kommt der beim Apache an?
* http-server-close eingestellt
Zusätzlich könnte man im Backend noch
http-request set-header Origin http://%[hdr(host)]/
als Request Header mitgeben.
Ansonsten wäre das aber auch leichter, direkt danach zu suchen, was $Shop für Eigenheiten hat und braucht, wenn HTTP/HTTPS Termination im Spiel ist. Manche brauchen da wie gesagt einen Host/Server Header zur Signalisierung. Ansonsten spricht aber auch nichts dagegen, im Backend einfach mit einem Dummy Zert SSL zu sprechen, das kommt ja im Frontend nirgends an
cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: NAT - HAProxy
«
Reply #2 on:
September 25, 2020, 02:48:51 pm »
Ich bin zwar aus dem nginx user Lager aber generell gibt es zwei gängige Praktiken:
Setze den X-FORWARDED-PROTO header auf HTTPS oder setze die FastCGI Variablen entsprechend, dass der Server weiß, dass das in Wahrheit HTTPS ist.
«
Last Edit: September 25, 2020, 02:52:25 pm by fabian
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NAT - HAProxy
