Hinter PfSense HaProxy KeyHelp
-
@micneu genau, damit ich auf die Management Oberfläche von Keyhelp komme lasse ich die Domain quasi über den HAProxy laufen, aber wie sieht es aus wenn ich z.B. meine Website.de erreichen will und diese in Keyhelp läuft? Weil die Domains zeigen ja auf die die Public IP, dann würde das ganze ja aber beim HAProxy landen und garnicht zu keyhelp weiter geleitet werden. Wie kann ich dieses Problem lösen?
Grüße
-
@ileonard ? du hast das doch bei dir zuhause laufen oder nicht?
ich kenne mich mit deinem keyhelp nicht aus, keine ahnung. wie geschrieben habe ich bei mir vm's und docker container die ich so über haproxy erreichbar mache. ich habe bei mir z.b. 2 docker container auf einem linux laufen und die container lasse ich mit unterschiedlichen ports laufen so kann ich sie direkt im haproxy ansprechen. und extern sind die alle unter 80/443 zu finden. was sagt denn das forum von deinem keyhelp wie du es machen sollst? vieleicht solltest du dort mal fragen denn das ist ja kein haproxy / sense problem (meinermeinung)PS: wozu brauchst du zuhause diese keyhelp, kannst du deine webserver nicht selber konfigurieren? oder einfach vhosts mit unterschiedlichen ports, das ist doch nicht so schwer.
-
@micneu Ja, da hast du recht, ich habe meine Frage in diesem Forum schon gestellt, jedoch keine Resonanz erhalten.
-
@ileonard das habe ich mir schon gedacht das du bei solchen fragen keine antwort bekommst, oder such dir doch einen dienstleister der dich da unterstützt (das kostet halt ein wenig geld, aber danach kann ich mir vorstellen das du es umgesetzt bekommst).
-
@micneu Hmmmm ja, ich muss mal schauen. ansosnte lasse ich die Wordpress Seiten auch einfach über kleine VMs laufen und mache es dann über den HAProxy, wäre mit Keyhelp eben ganz cool gewesen weil sich damit die WP seiten hätten gut verwalten lassen können. Aber besten Dank
-
@ileonard mache es dir doch einfach, es gibt doch ein docker packet (und im privaten bereich sollten es ja nicht so viele wordpress installation sein) siehe auch hier, so kannst du jede instanz auf einem anderen port laufen lassen https://hub.docker.com/_/wordpress
-
@micneu Ja also es wären aktuell drei Stück und damit könnten es die Kunden eben gut verwalten. Gerade dann eben auch das Thema SSL Zertifikate und Domains.
-
@ileonard ich nutze zuhause auch ssl und domains (2). und mache es wie ja schon beschrieben. wenn du schreibst es ist für kunden, scheint es ja für eine firma zu sein dann müsste doch budget vorhanden sein für einen dienstleister der dich unterstützt. ich kenne mich mit dem keyhelp nicht aus und jetzt damit auseinander setzen habe ich keine lust (ich bin ja in genug foren unterwegs)
-
@micneu Jo, Firma ist frisch gegründet und ich bin Azubi. Aber ich werde mich da selbst reinfuchsen :)
-
@micneu Bzw. wäre die Lösung evenutell wenn ich für KeyHelp über einen anderen Port im HAproxy gehe also z.B. Port 444?
-
@ileonard
Ich verstehe nicht, wo da das Problem ist. KeyHelp kenne ich zwar ebenfalls nicht, aber das wird wohl auch den bekannten Bedingungen im Netzwerk unterliegen.So wie ich es verstehe, ist KeyHelp ein Web-Dienst zum generieren und betreiben von Webseiten. Dann hat wohl das Management-Webinterface und jede darauf laufende Webseite einen Hostnamen und allesamt lauschen auf Port 443 bzw. 80.
Nachdem du aber nur eine öffentliche IP hast, auf welche aber schon HAproxy die beiden Ports belegt, müssten alle KeyHelp-Seiten natürlich durch den Proxy gehen.Der HAproxy bietet doch, soweit ich weiß, die Möglichkeit ein Default-Backend (oder so ähnlich) zu definieren. D.h. jeder Hostname, für den er keine explizite Konfiguration hat, wird an dieses Default-Backend weitergeleitet.
Das könntest du doch nutzen, um alles übrige auf KeyHelp zu leiten.
Alternativ kannst du aber jede KeyHelp-Webseite + Management im HAproxy Frontend festlegen und diese auf KeyHelp weiterleiten. -
@viragomann ich stimmer dir nicht zu, du kannst nach meinem wissen keine hostnamen als backend angeben im haproxy, und das müsste er ja umd auf die kunden webseiten zu kommen.
- wie sollen die zertifikate von den webseiten in den haproxy/sense kommen?
-
@micneu said in Hinter PfSense HaProxy KeyHelp:
du kannst nach meinem wissen keine hostnamen als backend angeben im haproxy, und das müsste er ja umd auf die kunden webseiten zu kommen.
War keine Rede davon. Vielmehr von einem gemeinsamen Backend für das KeyHelp-Paket:
Alles Webseiten + die App zum Generieren solcher laufen nach meinem Verständnis auf einem Host und einer IP-Port Kombination. So zeigt es auch die Grafik.Alternativ könnten für alle Hostnamen im Frontend eingerichtet werden. Aber ich wiederhole mich hier nur, das steht auch schon oben so.
Ich verstehe die Einwende nicht.wie sollen die zertifikate von den webseiten in den haproxy/sense kommen?
Die müssten auf der pfSense natürlich importiert werden, wie sonst auch.
-
@micneu nein, Hostnamen gehen nicht. Ich müsste jede Domain die für eine Website ist auf die IP vom Keyhelp Server zeigen lassen.
Die Zertifikate müsste man ja wie gehabt in der Sense hinterlegen und dann noch einmal in KeyHelp.
-
@ileonard said in Hinter PfSense HaProxy KeyHelp:
Die Zertifikate müsste man ja wie gehabt in der Sense hinterlegen und dann noch einmal in KeyHelp.
Warum das denn? Wenn HAproxy die SSL Verbindung terminiert braucht der Server dahinter kein öffentlich gültiges Zert zu haben. Klar, ist schön, muss aber nicht. Müsste nicht mal SSL sprechen, denn das übernimmt gegenüber dem Client ja HAproxy für ihn - dafür ist er ja da.
Und ob das im Bild jetzt irgendwelche wurstigen Webserver 01/02/03 sind die am "HAproxy hängen" oder ob das irgendein ISP-haumichblau-machsdireinfach Server ist
ist doch für HAproxy völlig egal. Ich weiß zwar nicht, wie in einem netz mit 192.168.4.x plötzlich eine 10.0.0.5 auftaucht (eigenes Netzsegment der pfSense dann?) aber für den HAProxy ist das einfach nur noch ein weiteres Backend das er bedient. Solang das richtig eingerichtet ist, ist dem der Server egal. Er braucht die Zerts zum Ausliefern und die Info, was er mit "kundendomain1, kundendomain2, wordpress3, etc." anfangen soll. Also per Host Header weiterreichen aufs Backend. Ende Gelände 
Aber dann sollte man sich vielleicht einfach überlegen, ob man - wenn man schon irgendein ISP Wartungsdings Server bauen möchte für Kunden - diesen dann nicht mit ner eigenen IP betreibt. Und dann eben notfalls noch ne zusätzliche IP oder nen Anschluß ranholt. "Mal eben" so nebenbei auf der kleinen Leitung noch nen Server zu hosten haben schon viele gedacht, die es dann zerlegt hat. Wenn das irgendein halbwegs ernstes Business werden soll, sollte man das von Anfang an auch so aufziehen und ernst nehmen und entsprechend bauen und nicht quick & dirty reinhauen. Das beißt einen später beim Wachsen wenns gut läuft nämlich ordentlich in den Allerwertesten.
Cheers
