Ein HaProxy Frontend für HTTP/S und TCP

noplan

@nonick said in Ein HaProxy Frontend für HTTP/S und TCP:

damit hast du aber nicht mehr die Möglichkeit, Let's Encrypt Zertifikate für den HAProxy auf der pfSense zu erstellen

wie was wo ?

wenn ich mehrere domains auf eine extIP zeigen lasse Port 443 und diese dann
auf das backend weiterreichen lasse kann ich keine LE zerts verwenden ?

@beanz82
selbes Backend unterschiedliche destination ports kein problem
allerdings haben wir für jedes backend einen subdomain
also zB

stoya.domain.xyz
orchid.domain.xyz
ivy.domain.xyz
rain.domain.xyz

denn

stoya lauscht auf port 443
orchid auf port 8099
ivy aud port 6615
rain auf 8080

die certs kommen alle per wildCard von Lets encrypt

rennt problemlos

nonick

@noplan Jetzt sage mir mal wie du das bei einer reinen TCP SSL Verbindung im HAProxy machen willst. Du erkennst da nicht mal die Domain die aufgerufen wurde. Das funktioniert nur mit einem HTTPS Frontend richtig. Mit einem Wildcard Zertifikat könnte es gehen, dafür brauchst du aber eine API zum DNS.

Übrigens, der TO will beides über Port 443 betreiben, ein SSL TCP Frontend und ein HTTPS Frontend und das geht nicht. Dein Bsp. funktioniert nur über https oder ssl tcp.

noplan

@nonick

a) eine externe IP meherer Ports rennen

das rennt mit einem https frontend
die domains kommen entweder mittels A Record auf die IP oder per dynDnsDienst auf die pfS
port forward in der pfS und fertig.
das wildcard von LE kommt mittels API sonst mit dem Manual TXT DNS Eintrag wirst schwindeling
aber auch machbar.

b) er wollte auf 443 und 5001 2Stk services erreichen das geht QeD wie oben beschrieben

c) er braucht keine 2 Frontends um das zu erreichen.

d) ja er wird ein 2tes frontend brauchen um die Dinge auch über LAN verfügbar zu machen (stichwort ssl offloading)

e) tricky wird es bei multiple domains und einer externen IP auf 443 die auf backends zeigen (da häng ich zb gerade)

f) wie was wo ? wenn ich mehrere domains auf eine extIP zeigen lasse Port 443 und diese dann
auf das backend weiterreichen lasse kann ich keine LE zerts verwenden ? --> Frage noch offen

lgNP

nonick

Er schrieb:

EIN WAN-Frontend (https UND tcp) auf Port 443 einrichten kann

Das geht eben nicht. Bei reinen HTTPS Verbindung wäre das die Standardkonfiguration eines HAProxys. Das funktioniert natürlich.

Ich hatte das gleiche Problem mit Webservern und OpenVPN Verbindung über Port 443 und HAProxy. Das eine benötigt ein HTTPS Frontend, dass andere ein TCP Frontend, was auf dem gleichen Port nicht geht. Man muss dann alles über TCP laufen lassen und eine schwindelige HAProxy Konfiguration erstellen. Mit dieser Konfiguration funktioniert dann kein ACME Client auf der pfSense.

noplan

Das was er haben möchte rennt hier ohne Probleme Wan und LAN seitig mit ssl offload und LE wildcards

Ja bei openVpn schaut es anders aus.

nonick

@noplan Du gehst von deiner Standard Konfiguration aus. es gibt aber beim erstellen des Frontend eine Auswahl.

noplan

Verstehts mich ned falsch aber
ZAWOS (zu welchem Zweck)
braucht er f diese Anforderung ein TCP frontend?

BTW danke f Hinweis hab ich entweder verdrängt oder vergessen....
wahrscheinlich aber ignoriert.

nonick

@noplan Das weiß ich nicht, da ich nicht weiß was er genau vor hat.
Deswegen muss ich erstmal das glauben:

EIN WAN-Frontend (https UND tcp) auf Port 443 einrichten kann

Sollte sich herausstellen, dass über das Port 5001 auch nur eine HTTPS Verbindung aufgebaut werden soll dann wäre das mit einem Shared Frontend problemlos möglich.

noplan

Die synolog braucht nur https
Darum die Empfehlung.

Haste Idee zum multiple domain auf 1 IP? (edit in neues Topic verlagert lLink neues Topic)

JeGr

Schon versucht, einfach die Syno via einem Domainnamen anszusprechen und das einfach ganz normal über dein HTTPS Frontend laufen zu lassen? Sollte nämlich problemlos gehen.

nonick

@noplan

Die synolog braucht nur https

Auch wenn man z.B. den OpenVPN Server darauf installiert? Das wird nichts mit http / https(offloading)

Haste Idee zum multiple domain auf 1 IP?

Stehe gerade auf dem Schlauch... Aber in der Regel ist es so, wenn nur eine IP-Adresse vorhanden ist, kann man eine Unterscheidung nur über verschiedene Ports regeln.

JeGr

@noplan said in Ein HaProxy Frontend für HTTP/S und TCP:

Haste Idee zum multiple domain auf 1 IP?

Anderes Problem - einfach neuen Thread und nicht hier reinposten, sonst blickt nachher keiner mehr durch was das eigentliche Problem ist.

noplan

jop erledigt !
neues topic (oder wieder ein anderes gekapert ösi like ) ;)

NP