ha proxy config

Started by pille, May 08, 2026, 03:52:51 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 08, 2026, 03:52:51 PM Last Edit: May 08, 2026, 04:00:46 PM by pille
hello all
ich habe ein mir unlösbares problem und bräuchte ein paar ideen

habe ein ha proxy auf opn. neustes update.
dahinter ein paar vms. einen fuer eine remote software und eines fuer relution. relution ist eine mdm software. und hier liegt das problem.
von aussen mdm.domain.com öffnet sich die login page vom relution. weiter komme ich nicht. das heisst im umgehtschluss das die verbidung zum Relution VM grundsaetzlich funktioniert. nach der username und passwort eingabe, kommt ein kurzer progress balken und das wars. ein debug im IE zeigt keine fehler. die Logs vom HA sehen auch sauber aus.
wärend die selbe konfiguration auf dem remote software vm funktioniert.
public server: IP:443, mdm.domain.com:443, certificate fuer mdm.domain.com erstellt und eingebunden. mit einem SNI relution.servername.domain.cloud (fuer den internen server, muss gesetzt werden, ohne gibts gleich eine misskonfiguration zurück).
der interne server hoert auf relution.servername.domain.cloud und funktioneirt einwandfrei.
ich habe keine ahnung wo ich die fehlersuche weiter machen soll. das einzige was ich mir noch vorstellen kann, das es an relution liegt aber dann sollte das login schon nicht erscheinen.
irgendwelche tips wie ich das eingrenzen kann ?
danke allen
May 08, 2026, 04:21:59 PM #1
Starte mal den Browser Debugger, dann siehst Du eventuell schon das Problem.

Oft geht eins von folgenden Dingen schief:

1. Der Backend-Server erzeugt absolute Links auf Ressourcen, in Deinem Fall also relution.servername.domain.cloud, weil er den externen Namen nicht kennt. Es kann also geschickt sein, den internen Namen auf den externen zu ändern. Bei Relution geht das angeblich, indem man den Parameter relution.server.externalURL setzt.

2. Der interne Server bekommt den Aufrufer nicht richtig mit - aufgrund des Application Layer Proxys sieht er ja nur Zugriffe von der OpnSense IP, nicht die wirkliche Aufrufer IP. Der normale Weg zur Lösung besteht normalerweise darin, die Aufrufer IP in einem HTTP-Header mitzugeben, das wären dann Dinger wie X-Forwarded-Proto und X-Forwarded-For oder Forwarded (RFC7239) und X-Real-IP. Der Backend-Server muss aber in der Lage sein, diese Header auszuwerten.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 450 up, Bufferbloat A+
Print
Go Up Pages1
User actions