Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    HA-Proxy & ACME, wie läuft die Verbindung

    Scheduled Pinned Locked Moved Deutsch
    15 Posts 4 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pixel24 @nonick
      last edited by

      @nonick Die pfSense ist auch der Einwahlrouter ins Internet. Habe ich dann nicht immer NAT?

      nonickN 1 Reply Last reply Reply Quote 0
      • nonickN
        nonick @pixel24
        last edited by nonick

        @pixel24 said in HA-Proxy & ACME, wie läuft die Verbindung:

        Die pfSense ist auch der Einwahlrouter ins Internet. Habe ich dann nicht immer NAT?

        Über IPv4 ja, über IPv6 normalerweise nicht. Das hat aber nichts mit dem HAProxy zu tun. Dieser sitzt direkt auf deinem WAN Interface und wird über die öffentliche IPv4 / IPv6 Adresse angesprochen.

        Man sollte zwischen eingehenden und ausgehenden NAT bei IPv4 unterscheiden. Bei ausgehenden Verbindungen hat man ja immer NAT.

        Eine normale Portweiterleitung wäre eingehendes NAT, vom Internet (öffentliche IP-Adresse) zu deinem Server (private IP-Adresse). Dort wäre NAT-Reflection -> Pure NAT notwendig, wenn auch von intern auf den Server zugegriffen werden soll (DNS Überschreibung wäre in dem Fall aber die bessere Lösung). Mit einem HAProxy umgeht man das ganze, da dieser immer nur über seine öffentlichen IP-Adresse angesprochen wird.

        Portweiterleitung -> Zugriff vom öffentlichen Netz direkt auf eine private IPV4 Adresse.
        HAProxy -> Zugriff vom öffentlichen Netz direkt auf die öffentliche IPv4 Adresse am WAN Interface, um die anschließende Verteilung zum jeweiligen Server kümmert sich der HAProxy selbst (dazu sind auch keine Firewall Regeln notwendig).

        Netgate 6100

        1 Reply Last reply Reply Quote 1
        • V
          viragomann @pixel24
          last edited by

          @pixel24
          Ich versuche das noch einmal etwas zu differenzieren.

          Grundsätzlich lauscht die pfSense auf allen ihren zugewiesenen IPs und der Zugriff darauf kann von allen Interfaces erfolgen.
          D.h. du kannst bspw. auch vom internen Gastnetz die WAN-IP ansprechen, wenn es, wie üblich, da eine Regel gibt die Zugriff auf alle öffentlichen IPs erlaubt.
          Daher könnte so auch das Web-Interface der pfSense vom Gastnetz erreicht werden, wenn es auf einem erlaubten Port lauscht.

          Mit NAT ist hier die Portweiterleitung von der WAN IP auf eine interne gemeint. Die NAT-Regel ist allerdings auf dem WAN Interface definiert. Du kannst zwar von intern auf die WAN-IP zugreifen, allerdings fehlt dir da die NAT-Regel, die dich auf den internen Zielhost weiterleitet.
          Da kommt NAT Reflection ins Spiel. Es macht nichts anderes als die NAT-Regel auf allen internen Interfaces abzubilden, ohne die Regel in der Admin-Oberfläche darzustellen.

          Der HAproxy ist aber einfach auf die WAN-IP gebunden. Wenn du diese IP von intern ansprichst, kommst du auf den Proxy und damit auf deine interne Webseite.

          1 Reply Last reply Reply Quote 1
          • P
            pixel24
            last edited by

            Ja, ich denke so hatte ich es auch immer verstanden. Mein interner Groupwareserver auf welchen ich per HTTPS / 443 zugreifen möchte hat intern die 192.168.xx.6 und den FQH com01.intern.lan. Für dieses Dienst habe ich auf dem externen Webserver welcher die Domain (meinedomain.de) verwaltet eine Subdomain gw.meinedomain.de eingerichtet und den A-Record auf die WAN-IP (feste) der pfSense gesetzt. Der HA-Proxy löst die ankommende Anfrage auf https://gw.meinedomain.de auf und leitet sie auf 192.168.xx.6.

            Da ich mehrere Hosts im LAN habe die über HTTPS/444 von extern erreichbar sein sollen habe ich dieses Szenario mit mehren Subdomains wiederholt. Das würde mit einer Portweiterleitung ja so nicht funktionieren.

            Ich dachte immer das NAT-Reflection nun dafür verantwortlich ist dass ich vom internen LAN aus den Dienst ebenfalls unter https://gw.meinedomain.de ansprechen kann anstatt über https://com01.intern.lan

            JeGrJ 1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator @pixel24
              last edited by

              @pixel24 said in HA-Proxy & ACME, wie läuft die Verbindung:

              Da ich mehrere Hosts im LAN habe die über HTTPS/444 von extern erreichbar sein sollen habe ich dieses Szenario mit mehren Subdomains wiederholt. Das würde mit einer Portweiterleitung ja so nicht funktionieren.

              Vermute du meinst 443 :)

              Das würde mit einer Portweiterleitung ja so nicht funktionieren.

              Richtig, ein PortForward kann nur IP weiterleiten, aber nicht differenzieren.

              @pixel24 said in HA-Proxy & ACME, wie läuft die Verbindung:

              Ich dachte immer das NAT-Reflection nun dafür verantwortlich ist dass ich vom internen LAN aus den Dienst ebenfalls unter https://gw.meinedomain.de ansprechen kann anstatt über https://com01.intern.lan

              Das ist auch umgangssprachlich so. Da gehts aber nicht direkt um NAT oder nicht, sondern um Regellogik. Dein Portforward von extern gilt normalerweise NUR GENAU auf dem WAN wenn etwas von extern auf die externe IP ankommt und wird - ebenfalls NUR dann - nach innen geschickt. Kommt dein Client von innen jetzt mit der externen IP, landet er auf der Sense, auf dem äußeren Interface und ... ja versauert da. Denn der Forward ist ja auf dem WAN definiert und nicht auf dem LAN. Du kommst dann aber vom LAN.

              NAT Reflection fügt nun quasi jedem Port Forwarding automatisch noch weitere Regeln zu, die von allen anderen Interfaces aus weitere Redirects machen auf die entsprechende interne IP. Damit bekommt der Request dann die richtige Richtig. Prinzipiell könntest du die Regel selbst bauen und 1:1 die gleiche Regel wie mit dem WAN Interface nochmal bauen fürs LAN - dann hättest du dir manuell den Forward quasi gebaut.

              Ob du intern den Dienst über deine externe Domain oder nicht ansprechen kannst liegt übrigens überhaupt nicht bei NAT, sondern beim DNS ;) Wenn du intern deinen DNS Resolver von der sense nutzt und dir dann dort einen Host Override für dein gw.meinedomain.de auf die interne IP setzt (man spricht von Split DNS weil du dann intern eine andere Antwort als extern erhältst) brauchst du auch kein NAT Reflection, sondern kommst ohne durch und baust die Verbindung direkt mit dem richtigen System ohne 3-Ecken dazwischen auf :)

              Cheers

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              P 1 Reply Last reply Reply Quote 1
              • P
                pixel24 @JeGr
                last edited by

                @jegr said in HA-Proxy & ACME, wie läuft die Verbindung:

                Vermute du meinst 443 :)

                Jeb ✌

                @jegr said in HA-Proxy & ACME, wie läuft die Verbindung:

                NAT Reflection fügt nun quasi jedem Port Forwarding automatisch noch weitere Regeln zu, die von allen anderen Interfaces aus weitere Redirects machen auf die entsprechende interne IP. Damit bekommt der Request dann die richtige Richtig. Prinzipiell könntest du die Regel selbst bauen und 1:1 die gleiche Regel wie mit dem WAN Interface nochmal bauen fürs LAN - dann hättest du dir manuell den Forward quasi gebaut.

                Ja ok, verstanden ... zumindest hoffe ich das.

                @jegr said in HA-Proxy & ACME, wie läuft die Verbindung:

                Ob du intern den Dienst über deine externe Domain oder nicht ansprechen kannst liegt übrigens überhaupt nicht bei NAT, sondern beim DNS ;) Wenn du intern deinen DNS Resolver von der sense nutzt und dir dann dort einen Host Override für dein gw.meinedomain.de auf die interne IP setzt (man spricht von Split DNS weil du dann intern eine andere Antwort als extern erhältst) brauchst du auch kein NAT Reflection, sondern kommst ohne durch und baust die Verbindung direkt mit dem richtigen System ohne 3-Ecken dazwischen auf :)

                Ja, hier tun sich dann ernsthafte Wissenslücken auf die es zu schließen gilt. Wie ich intern den DNS Resolver von der pfSense nutze kann ich nur vermuten :-( Ich konfiguriere am lokalen DNS-Server (Univention) die pfSense als "externer DNS" ?

                with best

                JeGrJ 1 Reply Last reply Reply Quote 0
                • P
                  pixel24
                  last edited by

                  This post is deleted!
                  1 Reply Last reply Reply Quote 0
                  • P
                    pixel24
                    last edited by pixel24

                    Ich denke ich muss mich zuerst mit dem Thema DNS beschäftige und nachfolgend mit HA-Proxy.

                    Ich habe hier eine Testumgebung und eine frisch installierte pfSense.

                    Ebenfalls habe ich das Handbuch zum Thema konsultiert.

                    Während der Installation bzw. dem nach-gelagerten Setup habe ich als Domain mein lokale Domain 'intern.lan' sowie den dafür zuständigen lokalen DNS-Server (UCS-Server) mit seiner IP '192.168.xx.5' konfiguriert. Zusätzlich habe ich noch einen DNS vom Provider (Vodafone) als Secondary DNS Server: 80.69.100.230 gesetzt.

                    Per Default ist der DNS-Resolver der pfSense ja im 'Resolver mode' um Problemen mit nicht vorhanden oder falsch konfigurierten loaklen DNS-Servern vorzubeugen. Wenn ich das Handbuch hier richtig interpretiere ist es sinnvoll unter: Dienste -> DNS-Weiterleitung den 'Forward Mode' zu aktivieren. Vorher den REsolver-Mode deaktivieren

                    Hier habe ich ebenfalls eine Host-Überschreibung hinzugefügt:

                    Host:       gw
Domäne:     meinedomain.de
IP:         192.168.xx.6

                    Wenn ich nun von einem Client im Testlan:

                    dig gw.meinedomain.de

                    erhalte ich vom lokal DNS die LAN-IP mit externem Domain-Suffix, also:

                    gw.meinedomain.de    192.168.xx.6

                    Das schein nun also korrekt zu sein wenn ich es soweit richtig verstanden. habe

                    Beste Grüße
                    pixel24

                    JeGrJ 1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator @pixel24
                      last edited by

                      @pixel24 said in HA-Proxy & ACME, wie läuft die Verbindung:

                      Ja, hier tun sich dann ernsthafte Wissenslücken auf die es zu schließen gilt. Wie ich intern den DNS Resolver von der pfSense nutze kann ich nur vermuten :-( Ich konfiguriere am lokalen DNS-Server (Univention) die pfSense als "externer DNS" ?

                      Warum "externer DNS"? Jeder Rechner braucht nen DNS. Welchen du einträgst liegt an dir. Wenn du ne interne DNS Zone aufbauen willst weil mehrere Geräte macht es Sinn einen internen DNS zu führen/füttern. Das kann man mit dem DNS der Sense problemlos machen.

                      Und da der caching etc. macht, macht es ja Sinn wenn alle internen Clients ihr DNS nicht einfach in die Welt rauströten, sondern das an die pfSense schicken, die das dann für sie auflöst (resolver mode, nicht forwarding mode) und ihnen antwortet. Als Edge Device direkt am Rand des lokalen Netzes zum Internet macht das am meisten Sinn.

                      Und wenn alle internen Kisten dann eh die Sense als DNS haben, kann man dort dann auch problemlos DNS Einträge überschreiben oder via DNS Blocklisting mit pfBlockerNG bspw. eben rausblocken (Werbeblocking, Porn-Filter, etc. blah) :)

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator @pixel24
                        last edited by

                        @pixel24 said in HA-Proxy & ACME, wie läuft die Verbindung:

                        Dienste -> DNS-Weiterleitung den 'Forward Mode' zu aktivieren. Vorher den REsolver-Mode deaktivieren

                        Nein. Warum solltest du das?

                        @pixel24 said in HA-Proxy & ACME, wie läuft die Verbindung:

                        Per Default ist der DNS-Resolver der pfSense ja im 'Resolver mode' um Problemen mit nicht vorhanden oder falsch konfigurierten loaklen DNS-Servern vorzubeugen.

                        Und weil es einfach Sinn macht DNS ordentlich zu "resolven" statt stumpf zu forwarden? :)

                        @pixel24 said in HA-Proxy & ACME, wie läuft die Verbindung:

                        Während der Installation bzw. dem nach-gelagerten Setup habe ich als Domain mein lokale Domain 'intern.lan' sowie den dafür zuständigen lokalen DNS-Server (UCS-Server) mit seiner IP '192.168.xx.5' konfiguriert. Zusätzlich habe ich noch einen DNS vom Provider (Vodafone) als Secondary DNS Server: 80.69.100.230 gesetzt.

                        Das macht für mich keinen Sinn. Warum sollte die pfSense einen Server "hinter" ihr im LAN für DNS fragen, der dann wieder im Netz nach DNS fragt? Das ist doch Ping-Pong?
                        Und als 2. DNS einen Provider Server (die notorisch anfällig sind mal nicht zu laufen) der deine interne Domain nicht kennt zu nutzen bringt auch eher wenig :)

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        JeGrJ 1 Reply Last reply Reply Quote 1
                        • JeGrJ
                          JeGr LAYER 8 Moderator @JeGr
                          last edited by

                          Zum Thema DNS Hiearchie siehe auch

                          https://forum.netgate.com/post/1023560

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 0
                          • P
                            pixel24
                            last edited by

                            Ok, den Forward-Mode deaktiviert und dort die Host-Überschreibung gelöscht. Den Resolver-Mode wieder aktiviert und dort die Host-Überschreibung hinzugefügt.

                            In den Allgemeinen Einstellungen die beiden DNS-Server entfernt.

                            Mit dig vom Client aus die gw.meinedomain.de abegfragt. Als Ergebnis erhalte ich die LAN-IP.

                            So sollte es nun passen

                            1 Reply Last reply Reply Quote 0
                            • P
                              pixel24
                              last edited by

                              This post is deleted!
                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.