Sempolice redirect haproxy o squidreverse proxy
-
@kiokoman ciao e grazie . Ma se i certificati sono già presenti sui server , si può fare ciò che hai scritto ?
-
@frankz
credo di si, personalmente trovo più comodo gestire i certificati in un punto solo e lasciare i server in backend sulla porta 80 non ho mai provato in altri modi, in pratica lascio che sia haproxy a gestire la comunicazione ssl con i client (https), mentre la comunicazione coi server in backend avviene in http -
@kiokoman grazie per il tuo intervento , proverò a fare dei test .
-
@kiokoman Ciao , ieri ho iniziato a provare la configurazione , ma mi trovo in difficoltà . Dove posso trovare un esempio semplice per quello che ho richiesto ? Grazie .
-
@frankz
questo ad esempio
https://gainanov.pro/eng-blog/linux/installing-haproxy-pfsense/
ad occhio sta facendo la tua stessa cosa -
@kiokoman Grazie soprattutto per la tua gentilezza . Proverò a seguire quanto indicato nel blog
-
Ciao, io uso haproxy con la configurazione che cerchi. se non riesci, fammi sapere che potrei probabilmente aiutarti.
-
@ciclopeblu ciao , allora occultando i nomi dei tuoi server riesci a mandarmi degli screen shot ? Se possibile chiaramente ! Grazie in anticipo
-
Se parly un po' di inglese, questa e' una guida perfetta:
https://www.youtube.com/watch?v=bU85dgHSb2E
In pratica io ho una configuazione come questa:
1 dominio: test.com
3 sottodomini:
- server1.test.com
server2.test.com
server3.test.com
quando un utente si collega in uno dei sottodomini, ad esempio https://server1.test.com (porta 443 quindi) il traffico e' inoltrato al server1:86 (porta 86 per intenderci)
- server1.test.com
-
@ciclopeblu Non è quello che fa per me . I certificati li ho già sui server , ha proxy e pfsense non devono gestire loro i certificati .
-
@frankz Ma se i certificati sul singolo server sono corretti per il dominio non vedo perche' non dovrebbe funzionare. Ci sono opzioni per l' "offlloading" dei certificati, hai provato?
-
@ciclopeblu Ho visto che nel video fa riferimento a haproxy let'encrypt . Quello che ho chiesto e richiedo è semplice ovvero che haproxy deve solo smistare https e 80 suoi server in base all'url sorgente che in parole povere è semplice es. se da internet digito https://www.1primoserver.ddns.net la chiamat andrà al primo server e cosi a seguire senza variare alcuna porta tcp interna che rimangono per i seerver 80 e 443 . In sintesi una specie di dnat 1:1 entra https e arrviva https in base all'url .
-
@ciclopeblu Ciao , volevo solo farti una domanda :
A prescindere che i certificati siano sui server , diamo per scontato che pfsense deve avere almeno un certificato sel valido ? oppure quello autogenerato va bene ? -
Continuo a provare ma niente da fare . Pare che il problema sia legato al DNS . Lo schema iìn allegato , mostra i server in LAN con il proprio nome fqdn .
Pfsense si occupa di registrare dai dns dinamici questi nomi , e tramite l'opzione di dns override , li ho inserirti per poterli raggiungere dalla LAN . Quindi se esempio provo a digitare https://myserver.fqdn , anche se effettivamente il suo hostname in wan è valido , tramite LAN e override dell'host lo raggiungo in LAN . Il problema si verifica che dalla wan il nome fqdn si ferma al pfsense , perchè è sempre lui stesso (1 ip 4 hostname dinamici ) . Qualcuno mi ha detto che occorre separare la gestione dei dns per haproxy , ma non so come fare !
-
@frankz
hai provato a impostare i dns su settings di haproxy?
Global DNS resolvers for haproxy
se hai registrato i domini su "dns resolver" e dici ad haproxy di usare solo quello dovrebbe perlomeno risolvere quelle macchine -
@kiokoman ciao se lo schema è chiaro, come imposto i dns a cui fai riferimento? Potresti farmi un esempio? Grazie
-
@frankz
no, non capisco il problema e non mi è chiaro cosa intendi per host dinamici.haproxy ha due sezioni, una frontend e una backend
il frontend, che è quella che si presenta e comunica coi client intercetta il nome host e reindirizza la comunicazione al server interno che hai indicato nel backend
nel backend crei il server mettendo l'ip interno della lan, se vuoi usare il home host interno della lan sul backend devi assicurarti che dns resolver lo riconosca e dire a haproxy di usare 127.0.0.1 come unico dns server
un altro errore comune è quella di fare un port forward sul firewall invece che aprire semplicemente la porta con destinazione "this firewall"
̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
Please do not use chat/PM to ask for help
we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
Don't forget to Upvote with the 👍 button for any post you find to be helpful. -
@kiokoman Innanzitutto grazie per aver risposto . Quindi per il dns metto 127.0.0.1 nelle global entry del dns ( e porta 53 ) ?
-
@kiokoman Comunque ho fatto una prova con un server zabbix nella rete e funziona , ma lo raggiungo senza il suo nome di fqdn e riscritto da dnsresolver del dominio reale .
Esempio funzionante :
backend
active
zabbix
Address+Port:
192.168.3.197
80
no
nofrontend wan 4381 no ssl
ACL zabbix
Host matches:
primoserver.ddns.net
Use Backend
See below
zabbixQuesta configurazione funziona , ma quello che desidero e raggiungere gli altri 4 server di un cluster , e in configurazione virtualhost .
quindi il cluster solo 1 ip ha 4 server definiti come virtualhost . Ho inserito come nomi di virtualhost i ddns che ho a disposizione , quindi come scritta dall'esempio se cambio l'ip del backend e da internet digito http://primoserver.ddns.net:4381 non funziona in quanto pfsense gestisci lui i ddns e malgrado il dns resolver override punta sul quel nome con ip interno , quindi accessibile anche dalla lan .
So che sembra articolato , ma l'unico modo per il quale cerco di farti capire è questo diversamente dovrei parlartene , ma ciò potrebbe considerarsi invadenza . -
Ho trovato questo vecchio post che descrive la mia realtà . Ma è vecchio e incompleto . Inoltre basato su workarround
https://forum.netgate.com/post/124464
