Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht
« previous
next »
Print
Pages: [
1
]
Author
Topic: HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht (Read 860 times)
Ronny1978
Jr. Member
Posts: 87
Karma: 0
HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht
«
on:
April 17, 2024, 09:53:19 am »
Hallo liebe Community,
ich benötige mal euer Fachwissen. Ich habe folgende Konstellation:
www -> OpnSense mit Reverse Proxy -> Unbound auf OpnSense/Adguard im Proxmox LXC
Dies funktioniert grundlegend super. Nun habe ich über den Reverse Proxy (HAProxy) mir eine Subdomain einrichtet, welche ich von außen erreichen möchte (
https://homeassistant.TLD.de
). Das Lets Encrypt Zertifikat funktioniert für diese Subdomain und auch die Verbindung von
außen -> nach
https://homeassistant.TLD.de
nach -> intern
http://10.0.60.11:8123
geht. Wenn ich aber von intern
https://homeassistant.TLD.de
geht auch, wobei ich denke, dass das über das Internet läuft, oder? Oder lenkt der der HAProxy automatisch nach intern um? Hier fehlt mir leider das Fachwissen. Trage ich jetzt in Adguard oder Unbound die Umleitung von
https://homeassistant.TLD.de
-> 10.0.60.11 ein funktioniert das logischer Weise nicht, da sowohl der Port 8123 fehlt, wie auch das Zertifikat, was ja nur HAProxy, ACME und die OpnSense kennen.
Meine sepzielle Frage: Ist eine Umleitung beim internen Zugriff notwendig, oder merkt das der Reverse Proxy selbst? Ich bin etwas verwirrt bzw. fehlt mir Wissen, weil ich meiner OpnSense auch ein Lets Encrypt Zertifikat "verpasst" habe UND eine Umleitung im Unbound und Adguard eingerichtet habe. Dort läuft es aber und mit Zertifkat, ABER MIT ANGABE des Ports. Die OpnSense ist aber NICHT im Reverse Proxy hinterlegt und auch nicht von außen erreichbar.
Frage 2: Was mache ich falsch, weil intern die Seite nicht mehr über
https://homeassistant.TLD.de
OHNE Portangabe erreichbar ist, wenn ich die Umleitung einrichte. Bzw. wie kann man das lösen oder wie habt ihr das gelöst.
Danke für eure Mühe, Hilfe und Unterstützung.
Bleibt gesund.
«
Last Edit: April 17, 2024, 10:21:53 am by Ronny1978
»
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1597
Karma: 176
Re: HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht
«
Reply #1 on:
April 17, 2024, 02:19:47 pm »
Da deine OPNsense die externe IP Adresse hat, brauchst du keine Umleitung. Es geht nichts ins Internet raus. Es kommt nur bei der OPNsense an, und die merkt, dass sie die IP Adresse (vom Internet Anschluss) hat. Dann bekommt die Anfrage der HA Proxy, und leitet sie weiter.
Logged
Hardware:
DEC740
Ronny1978
Jr. Member
Posts: 87
Karma: 0
Re: HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht
«
Reply #2 on:
April 17, 2024, 03:35:37 pm »
Vielen Dank.
Logged
Ronny1978
Jr. Member
Posts: 87
Karma: 0
Re: HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht
«
Reply #3 on:
April 21, 2024, 08:29:18 am »
Hallo Monviech,
nochmal danke für deine Hilfe. Aber leider geht es doch über das Internet. Ich habe das jetzt noch einmal mit nslookup geprüft. Noch einmal kurz zur Konstellation:
WWW -> Opnsense mit HAProxy und Unbound + Adguard im LXC Container auf Promox
1. opnsense.TLD.de -> Lets Encrypt über ACME eingerichtet, Umleitung sowohl im Adguard sowie Unbound eingerichtet -> geht -> NICHT in HAPRoxy eingerichtet
2. homeassistant.TLD.de -> Lets Encrypt über ACME eingerichtet,
KEINE
Umleitung im Adguard sowie Unbound, ABER im HAProxy eingerichtet -> geht aber die ÖFFENTLICHE IP, auch wenn ich im LAN bin und
https://homeassistant.TLD.de
aufrufe
2a. homeassistant.TLD.de -> Lets Encrypt über ACME eingerichtet,
Umleitung
im Adguard sowie/oder Unbound
eingerichtet
, ABER im HAProxy eingerichtet -> wenn ich
https://homeassistant.TLD.de
aufrufe außerhalb meines Netzwerkes aufrufe geht es, innerhalb nicht. Es kommt keine Verbindung zur Website.
Wie kann ich eine Subdomain (homeassistant.TLD.de) umleiten, WENN DIESE IM HAPROXY EINGERICHTET IST? Was muss ich als Umleitungs-IP im Adguard und/oder Unbound eingeben? Probiert habe ich schon die Netzwerkadresse von der Firewall (127.0.0.1, vom Unbound (Upstream von Adguard 10.0.80.1 -> Adguard hat die 10.0.80.2) und die Netzwerkadresse wo der Homeassistant sitzt 10.0.60.1. Die Proxy Netzwerke habe ich auch in der configuration.yaml in Home Asssistant gesetzt. Bis jetzt alles ohne Erfolg.
Sind weitere Firewallregeln erforderlich?
Irgendwas mache ich noch falsch, oder habe die falschen Einstellungen.
Danke für eure erneute Hilfe.
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1597
Karma: 176
Re: HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht
«
Reply #4 on:
April 21, 2024, 08:40:42 am »
Natürlich geht es über die öffentliche IP. Aber diese IP existiert nur auf der OPNsense, genauso wie alle internen IPs. Alle Anfragen nehmen den kürzesten Weg. Und der ist nicht zum Provider raus und wieder rein. Nein, es bleibt intern in der OPNsense.
Logged
Hardware:
DEC740
Ronny1978
Jr. Member
Posts: 87
Karma: 0
Re: HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht
«
Reply #5 on:
April 21, 2024, 08:45:09 am »
Okay, nochmals danke. Also brauche ich für alle Domain, die im HAProxy eingetragen sind, keine Umleitung einrichten, korrekt?
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1597
Karma: 176
Re: HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht
«
Reply #6 on:
April 21, 2024, 08:51:37 am »
https://de.m.wikipedia.org/wiki/Split-DNS
Das ist das konzept, was du die ganze Zeit im Kopf hast. Es ist richtig, wenn eine Domain /verschiedene/ Ziele hat, je nachdem ob du intern oder extern bist.
Das kommt durch NAT. Bei IPv6 braucht man es z.B. gar nicht mehr.
Du hast z.B. extern als Ziel deinen Router, aber intern willst du als Ziel direkt einen deiner Server haben, ohne den Router (weil der nicht weiß - ohne NAT Reflection - wo er die Anfrage hinschicken soll.)
Aber in deinem Fall, hat die OPNsense immer die richtige IP für deinen Service, weil /kein/ NAT passiert. Der HA Proxy hört direkt auf der externen IP Adresse, egal von wo aus die Anfrage kommt, und leitet es direkt weiter, ohne NAT.
Du musst also nichts umschreiben. Das DNS umschreiben muss man nur, wenn der Dienst nicht erreichbar wäre. Er ist es aber.
Das Split DNS bräuchtest du, wenn der HA Proxy auf einem Server hinter der OPNsense läuft und die OPNsense dahin ein NAT macht. Dann wäre intern das Ziel nämlich der HA Proxy auf dem anderen Server, was unterschiedliche DNS Records für intern und extern zur Folge hätte.
Da alles aber auf der OPNsense ist und die deine öffentliche IP hat, hast du diese ganzen Probleme umschifft.
«
Last Edit: April 21, 2024, 08:53:37 am by Monviech
»
Logged
Hardware:
DEC740
Ronny1978
Jr. Member
Posts: 87
Karma: 0
Re: HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht
«
Reply #7 on:
April 21, 2024, 08:53:15 am »
👌
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
HAProxy + Lets Encrypt + Umleitung in Adguard/Unbound -> Hilfe gesucht