Hinter PfSense HaProxy KeyHelp
-
Guten Abend,
ich bin gerade am überlegen ob ich mir Keyhelp (https://www.keyhelp.de/) auf einen Ubuntu Server installiere, um darauf Wordpress Seiten zu hosten und diese zu verwalten.
Jetzt ist es jedoch so, dass ich auf meiner PfSense HAProxy am laufen habe. Funktioniert das nun wenn ich den Keyhelp Server auch noch an die Pfsense hänge?
Meine Sorge ist dass die Anfragen die zu einer Wordpress Seite von Keyhelp gehen im HaProxy landen und der damit nichts anfagen kann und somit die Wordpress Seiten nicht erreichbar sind. Müsste ich dann für jede neue Wordpress Seite die Domain im Frontend des HaProxy auf die IP des KeyHelp Servers im Backend legen, damit der dann die Anfrage weiter bearbeiten kann?
Oder gibt es dazu eine andere möglichkeit/lösung? Bzw. ist mein Gedankengang soweit richtig und sinnergebend? Kann das ganze Nachteile haben wenn ich es so aufbaue?Kann mir hier jemand weiterhelfen und mir ein paar Tipps geben?
LG Leonard
-
@ileonard bitte mal einen grafischen netzwerkplan wie dein aufbau ist.
ich habe noch nicht verstanden:- wo läuft diese keyhelp, bei dir in deinem lokalen netzwerk?
ich habe bei mir mehrere seiten zuhause laufen (unterschiedliche url`s)
und die habe ich im haproxy entsprechend konfiguriert. -
@micneu Hi, danke für deine Antwort.
Ich hab dir den Plan mal angehängt. Reicht der dir so oder soll ich dir noch was ergänzen?
KeyHelp läuft bei mir simple auf einer Debian Maschine, Keyhelp bekommt eine Feste IP (10.0.0.5) Auf Keyhelp laufen ja dann quasi die Wordpress Seiten welche dann über ihre Domains/ bzw. URLs erreichbar sein werden.
Die Frage ist eben, wie gehe ich damit um, weil die Ports 80 und 443 für den HAproxy sind und damit kann ich diese ja nicht auch noch für KeyHelp nutzen richtig? Daher müsste ich ja theoretisch, den KeyHelp Server auch hinter den HAProxy hängen oder?
Ich hoffe dir bringen meine Angaben was.
LG Leonard
-
@ileonard meiner meinung doch, du kannst doch dieses kehelp über keyhelp.meinedomain.de (oder wie auch immer du es nennen willst) ansprechen und entsprechend im haproxy eine konfig anlegen.
z. b. habe ich bei mir sthome.mydomain, webdav.mydomain alles über den haproxy. die dienste dahinter laufen entweder als docker oder vm bei mir. lies dir am besten die doku zum haproxy und nutze die forum suche da wird auch einiges behandelt. damit solltest du es dann umsetzen können. (ich zähle aber immer den haproxy zum erweiterten themen der sense die mal vieleicht als einsteiger nicht unbeding gleich zu anfang machen sollte (oder man holt sich unterstützung von einem dienstleister, meine empfehlung)
-
@micneu genau, damit ich auf die Management Oberfläche von Keyhelp komme lasse ich die Domain quasi über den HAProxy laufen, aber wie sieht es aus wenn ich z.B. meine Website.de erreichen will und diese in Keyhelp läuft? Weil die Domains zeigen ja auf die die Public IP, dann würde das ganze ja aber beim HAProxy landen und garnicht zu keyhelp weiter geleitet werden. Wie kann ich dieses Problem lösen?
Grüße
-
@ileonard ? du hast das doch bei dir zuhause laufen oder nicht?
ich kenne mich mit deinem keyhelp nicht aus, keine ahnung. wie geschrieben habe ich bei mir vm's und docker container die ich so über haproxy erreichbar mache. ich habe bei mir z.b. 2 docker container auf einem linux laufen und die container lasse ich mit unterschiedlichen ports laufen so kann ich sie direkt im haproxy ansprechen. und extern sind die alle unter 80/443 zu finden. was sagt denn das forum von deinem keyhelp wie du es machen sollst? vieleicht solltest du dort mal fragen denn das ist ja kein haproxy / sense problem (meinermeinung)PS: wozu brauchst du zuhause diese keyhelp, kannst du deine webserver nicht selber konfigurieren? oder einfach vhosts mit unterschiedlichen ports, das ist doch nicht so schwer.
-
@micneu Ja, da hast du recht, ich habe meine Frage in diesem Forum schon gestellt, jedoch keine Resonanz erhalten.
-
@ileonard das habe ich mir schon gedacht das du bei solchen fragen keine antwort bekommst, oder such dir doch einen dienstleister der dich da unterstützt (das kostet halt ein wenig geld, aber danach kann ich mir vorstellen das du es umgesetzt bekommst).
-
@micneu Hmmmm ja, ich muss mal schauen. ansosnte lasse ich die Wordpress Seiten auch einfach über kleine VMs laufen und mache es dann über den HAProxy, wäre mit Keyhelp eben ganz cool gewesen weil sich damit die WP seiten hätten gut verwalten lassen können. Aber besten Dank
-
@ileonard mache es dir doch einfach, es gibt doch ein docker packet (und im privaten bereich sollten es ja nicht so viele wordpress installation sein) siehe auch hier, so kannst du jede instanz auf einem anderen port laufen lassen https://hub.docker.com/_/wordpress
-
@micneu Ja also es wären aktuell drei Stück und damit könnten es die Kunden eben gut verwalten. Gerade dann eben auch das Thema SSL Zertifikate und Domains.
-
@ileonard ich nutze zuhause auch ssl und domains (2). und mache es wie ja schon beschrieben. wenn du schreibst es ist für kunden, scheint es ja für eine firma zu sein dann müsste doch budget vorhanden sein für einen dienstleister der dich unterstützt. ich kenne mich mit dem keyhelp nicht aus und jetzt damit auseinander setzen habe ich keine lust (ich bin ja in genug foren unterwegs)
-
@micneu Jo, Firma ist frisch gegründet und ich bin Azubi. Aber ich werde mich da selbst reinfuchsen :)
-
@micneu Bzw. wäre die Lösung evenutell wenn ich für KeyHelp über einen anderen Port im HAproxy gehe also z.B. Port 444?
-
@ileonard
Ich verstehe nicht, wo da das Problem ist. KeyHelp kenne ich zwar ebenfalls nicht, aber das wird wohl auch den bekannten Bedingungen im Netzwerk unterliegen.So wie ich es verstehe, ist KeyHelp ein Web-Dienst zum generieren und betreiben von Webseiten. Dann hat wohl das Management-Webinterface und jede darauf laufende Webseite einen Hostnamen und allesamt lauschen auf Port 443 bzw. 80.
Nachdem du aber nur eine öffentliche IP hast, auf welche aber schon HAproxy die beiden Ports belegt, müssten alle KeyHelp-Seiten natürlich durch den Proxy gehen.Der HAproxy bietet doch, soweit ich weiß, die Möglichkeit ein Default-Backend (oder so ähnlich) zu definieren. D.h. jeder Hostname, für den er keine explizite Konfiguration hat, wird an dieses Default-Backend weitergeleitet.
Das könntest du doch nutzen, um alles übrige auf KeyHelp zu leiten.
Alternativ kannst du aber jede KeyHelp-Webseite + Management im HAproxy Frontend festlegen und diese auf KeyHelp weiterleiten. -
@viragomann ich stimmer dir nicht zu, du kannst nach meinem wissen keine hostnamen als backend angeben im haproxy, und das müsste er ja umd auf die kunden webseiten zu kommen.
- wie sollen die zertifikate von den webseiten in den haproxy/sense kommen?
-
@micneu said in Hinter PfSense HaProxy KeyHelp:
du kannst nach meinem wissen keine hostnamen als backend angeben im haproxy, und das müsste er ja umd auf die kunden webseiten zu kommen.
War keine Rede davon. Vielmehr von einem gemeinsamen Backend für das KeyHelp-Paket:
Alles Webseiten + die App zum Generieren solcher laufen nach meinem Verständnis auf einem Host und einer IP-Port Kombination. So zeigt es auch die Grafik.Alternativ könnten für alle Hostnamen im Frontend eingerichtet werden. Aber ich wiederhole mich hier nur, das steht auch schon oben so.
Ich verstehe die Einwende nicht.wie sollen die zertifikate von den webseiten in den haproxy/sense kommen?
Die müssten auf der pfSense natürlich importiert werden, wie sonst auch.
-
@micneu nein, Hostnamen gehen nicht. Ich müsste jede Domain die für eine Website ist auf die IP vom Keyhelp Server zeigen lassen.
Die Zertifikate müsste man ja wie gehabt in der Sense hinterlegen und dann noch einmal in KeyHelp.
-
@ileonard said in Hinter PfSense HaProxy KeyHelp:
Die Zertifikate müsste man ja wie gehabt in der Sense hinterlegen und dann noch einmal in KeyHelp.
Warum das denn? Wenn HAproxy die SSL Verbindung terminiert braucht der Server dahinter kein öffentlich gültiges Zert zu haben. Klar, ist schön, muss aber nicht. Müsste nicht mal SSL sprechen, denn das übernimmt gegenüber dem Client ja HAproxy für ihn - dafür ist er ja da.
Und ob das im Bild jetzt irgendwelche wurstigen Webserver 01/02/03 sind die am "HAproxy hängen" oder ob das irgendein ISP-haumichblau-machsdireinfach Server ist
ist doch für HAproxy völlig egal. Ich weiß zwar nicht, wie in einem netz mit 192.168.4.x plötzlich eine 10.0.0.5 auftaucht (eigenes Netzsegment der pfSense dann?) aber für den HAProxy ist das einfach nur noch ein weiteres Backend das er bedient. Solang das richtig eingerichtet ist, ist dem der Server egal. Er braucht die Zerts zum Ausliefern und die Info, was er mit "kundendomain1, kundendomain2, wordpress3, etc." anfangen soll. Also per Host Header weiterreichen aufs Backend. Ende Gelände 
Aber dann sollte man sich vielleicht einfach überlegen, ob man - wenn man schon irgendein ISP Wartungsdings Server bauen möchte für Kunden - diesen dann nicht mit ner eigenen IP betreibt. Und dann eben notfalls noch ne zusätzliche IP oder nen Anschluß ranholt. "Mal eben" so nebenbei auf der kleinen Leitung noch nen Server zu hosten haben schon viele gedacht, die es dann zerlegt hat. Wenn das irgendein halbwegs ernstes Business werden soll, sollte man das von Anfang an auch so aufziehen und ernst nehmen und entsprechend bauen und nicht quick & dirty reinhauen. Das beißt einen später beim Wachsen wenns gut läuft nämlich ordentlich in den Allerwertesten.
Cheers
