Wenn in einem eingeschränkten Netz nur 443/TCP freigegeben ist, reicht die Lösung via UDP leider auch nicht.
Rein theoretisch geht das.Open Vpn kann ja TCP und dann auch port 443.Mit Pfsense hat jemand sowas schon gebaut.https://forum.netgate.com/topic/149715/haproxy-with-openvpn-over-tcp-443-on-pfsenseIch habe auch tricks gesehen die das via Port 53 machen. Da ginge auch udp und das ist auch offen (meistens).Mit 443 auf haproxy braucht es halt idealerweise eine subdomain für vpn und eine für den webserver.Zum Beispiel vpn.domain.de und www.domain.de. Damit der haproxy auf die backend verteilen kann.PS: Bei einem Kunden von uns macht der Softwaredienstleister das OpenVPN via 443 und TCP.Ob da ein Proxy am anderen Ende ist weiß ich allerdings nicht.Je nach Firewall hilft das aber eben auch nicht. Weil es gibt durchaus Produkte die eine Protoll Inspection machen. Heißt die schauen ob das typische Protokoll für einen Port auch genutzt wird. Weicht es ab verhindern die das. Ich kenne das aus den von uns bisher verwendten kommerziellen Produkten. Da gibst sowas wie erkenne Tunnel auf anderen Ports.
Quote from: lewald on January 06, 2021, 06:31:36 pmRein theoretisch geht das.Open Vpn kann ja TCP und dann auch port 443.Mit Pfsense hat jemand sowas schon gebaut.https://forum.netgate.com/topic/149715/haproxy-with-openvpn-over-tcp-443-on-pfsenseIch habe auch tricks gesehen die das via Port 53 machen. Da ginge auch udp und das ist auch offen (meistens).Mit 443 auf haproxy braucht es halt idealerweise eine subdomain für vpn und eine für den webserver.Zum Beispiel vpn.domain.de und www.domain.de. Damit der haproxy auf die backend verteilen kann.PS: Bei einem Kunden von uns macht der Softwaredienstleister das OpenVPN via 443 und TCP.Ob da ein Proxy am anderen Ende ist weiß ich allerdings nicht.Je nach Firewall hilft das aber eben auch nicht. Weil es gibt durchaus Produkte die eine Protoll Inspection machen. Heißt die schauen ob das typische Protokoll für einen Port auch genutzt wird. Weicht es ab verhindern die das. Ich kenne das aus den von uns bisher verwendten kommerziellen Produkten. Da gibst sowas wie erkenne Tunnel auf anderen Ports.Hallo lewaldDas Problem mit Protoll Inspection muss ich wohl in Kauf nehmen, für den Rest klingt das nach einer Lösung.Ich habe für VPN und Web zwei verschiedene Subdomains.Da ich zu wenig Erfahrung mit HAProxy habe, verstehe ich die Logik der Anleitung von netgate.com nicht. Reicht es "frontend TCP_HTTPS" & "backend pfsense_openvpn_tcp_1194_ipvANY" zum meiner bestehenden Konfig hinzuzufügen?lg
Hi Ifirewall1234Ja, HAProxy läuft bereits.Meine aktuelle Konfiguration entspricht dem Punkt "Reverse-Proxy" von hier: https://schulnetzkonzept.de/opnsenseDamit wird Nextcloud zugänglich gemacht.
