Ein HaProxy Frontend für HTTP/S und TCP
-
Hallo Forum,
ich habe HaProxy auf meiner pfsense im Einsatz und derzeit folgendes konfiguriert:
- Ein WAN-Frontend, welches auf Port 443 (hhtps) lauscht und abhängig des übermittelten Hostnames an verschiedene Backends sendet
- Ein WAN-Frontend, welches auf Port 5001 (tcp) lauscht mit einem verknüpften Backend
- Beide Frontends machen SSL Offloading für mein LE-Zertifikat, welches pfsense via acme-Script verwaltet
Jetzt meine Frage: Ich würde gerne WAN-seitig die Anfragen, die derzeit an 5001 gesendet werden, ebenfalls an 443 senden (damit ich Port 5001 WAN-seitig wieder schließen kann). Die Synology-Apps, die an Port 5001 senden, kann ich app-seitig auch an 443 senden lassen. Was mir bei dieser Sache nicht klar ist und deshalb die Frage, ist, ob man EIN WAN-Frontend (https UND tcp) auf Port 443 einrichten kann, was die derzeit beiden einzelnen Frontends (je eins für https und eins für tcp) in einem vereint? Die derzeit beiden einzelnen Frontends auf jeweils 443 setzen resultiert nämlich in einem Fehler und es wird als Lösung ein shared-Frontend empfohlen. Wäre das der richtige Weg? Ich hoffe, ich habe es verständlich beschrieben und bin gerne bereit weitere Informationen zu liefern.
Vielen Dank vorab für Eure Tipps!
-
Das was du möchtest geht leider nicht. Du kannst nur ein HTTPS Frontend, oder ein TCP Frontend mit dem Port 443 erstellen. Beides zusammen geht nicht. Es gibt zwar die Möglichkeit alles über ein TCP Frontend mit Port 443 zu betreiben, damit hast du aber nicht mehr die Möglichkeit, Let's Encrypt Zertifikate für den HAProxy auf der pfSense zu erstellen. Diese müssen dann auf den jeweiligen Backend erzeugt werden. Das TCP Frontend leidet dann alle Anfragen einfach zu den jeweiligen Backends durch.
-
@nonick said in Ein HaProxy Frontend für HTTP/S und TCP:
damit hast du aber nicht mehr die Möglichkeit, Let's Encrypt Zertifikate für den HAProxy auf der pfSense zu erstellen
wie was wo ?
wenn ich mehrere domains auf eine extIP zeigen lasse Port 443 und diese dann
auf das backend weiterreichen lasse kann ich keine LE zerts verwenden ?@beanz82
selbes Backend unterschiedliche destination ports kein problem
allerdings haben wir für jedes backend einen subdomain
also zBstoya.domain.xyz
orchid.domain.xyz
ivy.domain.xyz
rain.domain.xyzdenn
stoya lauscht auf port 443
orchid auf port 8099
ivy aud port 6615
rain auf 8080die certs kommen alle per wildCard von Lets encrypt
rennt problemlos
-
@noplan Jetzt sage mir mal wie du das bei einer reinen TCP SSL Verbindung im HAProxy machen willst. Du erkennst da nicht mal die Domain die aufgerufen wurde. Das funktioniert nur mit einem HTTPS Frontend richtig. Mit einem Wildcard Zertifikat könnte es gehen, dafür brauchst du aber eine API zum DNS.
Übrigens, der TO will beides über Port 443 betreiben, ein SSL TCP Frontend und ein HTTPS Frontend und das geht nicht. Dein Bsp. funktioniert nur über https oder ssl tcp.
-
a) eine externe IP meherer Ports rennen
das rennt mit einem https frontend
die domains kommen entweder mittels A Record auf die IP oder per dynDnsDienst auf die pfS
port forward in der pfS und fertig.
das wildcard von LE kommt mittels API sonst mit dem Manual TXT DNS Eintrag wirst schwindeling
aber auch machbar.b) er wollte auf 443 und 5001 2Stk services erreichen das geht QeD wie oben beschrieben
c) er braucht keine 2 Frontends um das zu erreichen.
d) ja er wird ein 2tes frontend brauchen um die Dinge auch über LAN verfügbar zu machen (stichwort ssl offloading)
e) tricky wird es bei multiple domains und einer externen IP auf 443 die auf backends zeigen (da häng ich zb gerade)
f) wie was wo ? wenn ich mehrere domains auf eine extIP zeigen lasse Port 443 und diese dann
auf das backend weiterreichen lasse kann ich keine LE zerts verwenden ? --> Frage noch offenlgNP
-
Er schrieb:
EIN WAN-Frontend (https UND tcp) auf Port 443 einrichten kann
Das geht eben nicht. Bei reinen HTTPS Verbindung wäre das die Standardkonfiguration eines HAProxys. Das funktioniert natürlich.
Ich hatte das gleiche Problem mit Webservern und OpenVPN Verbindung über Port 443 und HAProxy. Das eine benötigt ein HTTPS Frontend, dass andere ein TCP Frontend, was auf dem gleichen Port nicht geht. Man muss dann alles über TCP laufen lassen und eine schwindelige HAProxy Konfiguration erstellen. Mit dieser Konfiguration funktioniert dann kein ACME Client auf der pfSense.
-
Das was er haben möchte rennt hier ohne Probleme Wan und LAN seitig mit ssl offload und LE wildcards
Ja bei openVpn schaut es anders aus.
-
@noplan Du gehst von deiner Standard Konfiguration aus. es gibt aber beim erstellen des Frontend eine Auswahl.
-
Verstehts mich ned falsch aber
ZAWOS (zu welchem Zweck)
braucht er f diese Anforderung ein TCP frontend?BTW danke f Hinweis hab ich entweder verdrängt oder vergessen....
wahrscheinlich aber ignoriert. -
@noplan Das weiß ich nicht, da ich nicht weiß was er genau vor hat.
Deswegen muss ich erstmal das glauben:EIN WAN-Frontend (https UND tcp) auf Port 443 einrichten kann
Sollte sich herausstellen, dass über das Port 5001 auch nur eine HTTPS Verbindung aufgebaut werden soll dann wäre das mit einem Shared Frontend problemlos möglich.
-
Die synolog braucht nur https
Darum die Empfehlung.Haste Idee zum multiple domain auf 1 IP?(edit in neues Topic verlagert lLink neues Topic) -
Schon versucht, einfach die Syno via einem Domainnamen anszusprechen und das einfach ganz normal über dein HTTPS Frontend laufen zu lassen? Sollte nämlich problemlos gehen.
-
Die synolog braucht nur https
Auch wenn man z.B. den OpenVPN Server darauf installiert?
Das wird nichts mit http / https(offloading)Haste Idee zum multiple domain auf 1 IP?
Stehe gerade auf dem Schlauch... Aber in der Regel ist es so, wenn nur eine IP-Adresse vorhanden ist, kann man eine Unterscheidung nur über verschiedene Ports regeln.
-
@noplan said in Ein HaProxy Frontend für HTTP/S und TCP:
Haste Idee zum multiple domain auf 1 IP?
Anderes Problem - einfach neuen Thread und nicht hier reinposten, sonst blickt nachher keiner mehr durch was das eigentliche Problem ist.
-
jop erledigt !
neues topic (oder wieder ein anderes gekapert ösi like ) ;)NP
