DNS-Weiterleitung umleiten im lokalen Netz

[thron]

Hallo,

mit der Gefahr hin, dass ich mich hier blamiere stelle ich doch mal eine Anfrage rein.

Wenn ich mehrere Domians im Netz registriert habe und darüber verschiedene Server hinter der Opnsense erreichen möchte, ist das möglich?

Beispiel:

https://www.domain01.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.20.2
https://www.domain02.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.30.3
https://www.domain03.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.40.4

Irgendwie stehe ich auf dem Schlauch und brauch einen Denkanstoß!

Viele Dank für Eure Hilfe

VG
thron

[meschmesch]

Hast Du einen DNS-Resolver? Services->Unbound z.B.? Da gibt es bei Overrides eine Möglichkeit für Einträge.

[thron]

Host oder Domain overrides?

Habe bei Domain Overrides mal die Domain

https://www.domain03.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.40.4

eingetragen, wird aber logischerweise noch an dem in den NAT-Rules eingetragene Maschine weitergeleitet.

Was müsste ich denn in den NAT-Rules ändern?

[fabian]

Ich verstehe das eher als mehrere Webseiten hinter einem Port. Das geht mit den Erweiterungen nginx und HAProxy.

[thron]

Richtig...bin jetzt auch beim HAProxy-Plugin und hänge nun daran, dass ich kein SSL-Offloading haben möchte, sondern das der Server das Zertifikat hält.
Bekomme aber im Browser den Fehlercode

Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Kann mir jemand sagen was ich falsche mache?

[XeroX]

Such mal nach SSL Passthrough mit SNI in Verbindung mit HAProxy.

Der Hostheader bzw die SNI Payload ist unverschlüsselt.

[fabian]

Such mal nach SSL Passthrough mit SNI in Verbindung mit HAProxy.

Fürs nginx-Plugin gibt es ne Doku. HAProxy funktioniert ähnlich. Da muss meines Wissens nach auch im TCP Modus gearbeitet werden.
https://docs.opnsense.org/manual/how-tos/nginx_streams.html

Der Hostheader bzw die SNI Payload ist unverschlüsselt.

In TLS 1.3 gibt es auch ECH (verschlüsseltes SNI) - auch wenn es derzeit noch nicht verwendet wird.

[JeGr]

> Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Das Backend auf SSL eingestellt? Wenn du Layer 4 machst und keine SSL Termination auf dem HAproxy dann darf der Traffic nicht wieder verschlüsselt werden, sondern einfach durchgereicht werden. Also Frontend nur annehmen (nicht terminieren, dann verschwindet auch die Zertifikatsauswahl) und im Backend kein SSL anhaken, weil nicht nochmal verschlüsselt werden soll.
Also im Realserver kein SSL anhaken und im BackendPool einfach TCP Layer 4 machen. Frontend auch TCP mode und den Rest dann mit Rules und Conditions machen (SNI Domain auslesen etc.)

Cheers
\jens

[thron]

JeGr, vielen Dank! Das war der Fehler...

[JeGr]

Kein Problem, kommt mir selbst auch gerne mal wieder in die Quere Das ist so drin, wenn man terminiert, dass man es beim Durchreichen komplett übersehen kann