Ein HaProxy Frontend für HTTP/S und TCP
-
@noplan Jetzt sage mir mal wie du das bei einer reinen TCP SSL Verbindung im HAProxy machen willst. Du erkennst da nicht mal die Domain die aufgerufen wurde. Das funktioniert nur mit einem HTTPS Frontend richtig. Mit einem Wildcard Zertifikat könnte es gehen, dafür brauchst du aber eine API zum DNS.
Übrigens, der TO will beides über Port 443 betreiben, ein SSL TCP Frontend und ein HTTPS Frontend und das geht nicht. Dein Bsp. funktioniert nur über https oder ssl tcp.
-
a) eine externe IP meherer Ports rennen
das rennt mit einem https frontend
die domains kommen entweder mittels A Record auf die IP oder per dynDnsDienst auf die pfS
port forward in der pfS und fertig.
das wildcard von LE kommt mittels API sonst mit dem Manual TXT DNS Eintrag wirst schwindeling
aber auch machbar.b) er wollte auf 443 und 5001 2Stk services erreichen das geht QeD wie oben beschrieben
c) er braucht keine 2 Frontends um das zu erreichen.
d) ja er wird ein 2tes frontend brauchen um die Dinge auch über LAN verfügbar zu machen (stichwort ssl offloading)
e) tricky wird es bei multiple domains und einer externen IP auf 443 die auf backends zeigen (da häng ich zb gerade)
f) wie was wo ? wenn ich mehrere domains auf eine extIP zeigen lasse Port 443 und diese dann
auf das backend weiterreichen lasse kann ich keine LE zerts verwenden ? --> Frage noch offenlgNP
-
Er schrieb:
EIN WAN-Frontend (https UND tcp) auf Port 443 einrichten kann
Das geht eben nicht. Bei reinen HTTPS Verbindung wäre das die Standardkonfiguration eines HAProxys. Das funktioniert natürlich.
Ich hatte das gleiche Problem mit Webservern und OpenVPN Verbindung über Port 443 und HAProxy. Das eine benötigt ein HTTPS Frontend, dass andere ein TCP Frontend, was auf dem gleichen Port nicht geht. Man muss dann alles über TCP laufen lassen und eine schwindelige HAProxy Konfiguration erstellen. Mit dieser Konfiguration funktioniert dann kein ACME Client auf der pfSense.
-
Das was er haben möchte rennt hier ohne Probleme Wan und LAN seitig mit ssl offload und LE wildcards
Ja bei openVpn schaut es anders aus.
-
@noplan Du gehst von deiner Standard Konfiguration aus. es gibt aber beim erstellen des Frontend eine Auswahl.
-
Verstehts mich ned falsch aber
ZAWOS (zu welchem Zweck)
braucht er f diese Anforderung ein TCP frontend?BTW danke f Hinweis hab ich entweder verdrängt oder vergessen....
wahrscheinlich aber ignoriert. -
@noplan Das weiß ich nicht, da ich nicht weiß was er genau vor hat.
Deswegen muss ich erstmal das glauben:EIN WAN-Frontend (https UND tcp) auf Port 443 einrichten kann
Sollte sich herausstellen, dass über das Port 5001 auch nur eine HTTPS Verbindung aufgebaut werden soll dann wäre das mit einem Shared Frontend problemlos möglich.
-
Die synolog braucht nur https
Darum die Empfehlung.Haste Idee zum multiple domain auf 1 IP?(edit in neues Topic verlagert lLink neues Topic) -
Schon versucht, einfach die Syno via einem Domainnamen anszusprechen und das einfach ganz normal über dein HTTPS Frontend laufen zu lassen? Sollte nämlich problemlos gehen.
-
Die synolog braucht nur https
Auch wenn man z.B. den OpenVPN Server darauf installiert?
Das wird nichts mit http / https(offloading)Haste Idee zum multiple domain auf 1 IP?
Stehe gerade auf dem Schlauch... Aber in der Regel ist es so, wenn nur eine IP-Adresse vorhanden ist, kann man eine Unterscheidung nur über verschiedene Ports regeln.
-
@noplan said in Ein HaProxy Frontend für HTTP/S und TCP:
Haste Idee zum multiple domain auf 1 IP?
Anderes Problem - einfach neuen Thread und nicht hier reinposten, sonst blickt nachher keiner mehr durch was das eigentliche Problem ist.
-
jop erledigt !
neues topic (oder wieder ein anderes gekapert ösi like ) ;)NP
