@roesh @jimp

I added another new CARP VIP, but the interface stays DOWN ?

@ivan-70 Have a read through https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html. There is a section on outbound NAT.

@huud
Try Status > Filter Reload.
Had a similar issue yesterday as I had a pass rule removed before, and this solved it.

@viragomann

I am going over our entire topic and my settings and documenting them so that I don't get lost in what has been done.

The question below was answered by another user at the beginning of the topic.

Even if I haven't put pfbackup on the network yet, the GW CARP VIP should work?

@cs_l
No. I prefer a unique VHID for each CARP VIP though, but for proper function they only have to be unique within an layer 2 network.

@viragomann

Status > DHCP Leases

Pool Status
7c9ddad5-07aa-4d91-ac82-fbaf5ca332b7-image.png

It is now as "recover state". Regardless if I put pfbackup on the network, with Failover peer IP configured, it is still in "recover state".

@jaredadams
An http frontend doesn't accept IP addresses for comprehensible reasons.
This might only work in tcp mode.

@viragomann

Good, so this is the way it should work then, then i can stop suspecting this was related to the issues at hand, thx !

@alcamar said in HAProxy Weiterleitung zum nextcloud-Server:

Kann das hier dokumentieren, falls es ähnliche unbedarfte wie mich in Zukunft gibt.

Warum nicht? Nachdem der Threadtitel schon darauf hinweist, könnten Leute das finden.

Allerdings ist deine Konstellation wohl eher eine Seltenheit. Wie gesagt, üblicherweise läuft ein Webserver heutzutage nicht in einem virtuellen Verzeichnis.
Wenn HAproxy würde ich alle Anfragen einfach weiterleiten lassen und den Rest den Backendserver machen lassen. Dafür gibt es jede Menge Anleitungen.

Ich kämpfe aber noch mit Zertikaten beim CALdav. Eigentlich müsste nur die pfsense Zertifikate jonglieren, oder?

So wäre es wünschenswert. Funktioniert leider nicht immer. Ich weiß aber nicht, wie das bei Nextcloud ist. Meine betreibe ich nicht hinter einem Proxy.

Aber bezüglich DAV und HAproxy habe ich schon Threads gesehen. Aber ich denke, hier würdest du mit den beiden Suchbegriffen im Netz rascher brauchbare Ergebnisse finden als hier.
Die könnte man dann auf die Konfiguration in der pfSense GUI "übersetzen".

Deinen Punkt hinsichtlich Sicherheit des Ports 443 habe ich mir für die nächsten Überlegungen vorgemerkt.

Wenn du es geschafft hast, dass HAproxy die Anfragen in das virtuelle Verzeichnis von Nextcloud leitet und keine anderen zulässt, sollte es soweit eh sicher sein. Abgesehen natürlich, dass dir klar sein muss, dass die Nextcloud im Internet steht und damit ordentliche Zugangspasswörter braucht und aktuell gehalten werden muss.

@mrpete Well, there you go. No CARP VIP no status.

If you have MASTER/MASTER then you need to fix the layer 2 between that interface on both nodes.

And here's something from the log...

DHCPDISCOVER from d0:94:66:4b:51:b6 via vtnet9: peer holds all free leases

Thanks all for the suggestions. Digging into it...