haproxy e varie acl
-
Sto scrivendo molti post :)
Come da titolo ho haproxy su pfsense e vorrei esporre i miei servizi:
Management ESXI
zoneminder
qnap nas
unifi controller
domoticafino ad ora funziona solo quello per la domotica senca alcun problema, tutti gli altri ho vari errori.
partendo da zoneminder, arrivo sulla login (che si mostra senza intefaccia grafica) e più di la non va.
sul nas ricevo "401 unauthorized"
su esxi mi si apre una pagina log di browser (non quella di esxi) e non succede nulla.
sul frontend ho messo le acl per tutti nel seguente modo:
acl
Path ends with -- /nas/
action
use backendl'unica differenza è che il default backend è quello della domotica e funziona egregiamente.
-
@manustar non so come hai fatto le configurazioni Nat (secondo me li le porte sono da sistemare) ma non è più sicuro lavorare con un VPN piuttosto che esporre i propri server?
-
@federicop le porte ho inserito quelle che utilizzano i servizi, 8443 per unifi, 8095 zoneminder, 443 esxi, 8082 qnap, 8123 domotica.
la vpn già la utilizzo ma capita molto spesso che non posso collegarmi per vari blocchi sui client e l'accesso web sarebbe l'ideale.
-
@manustar secondo me hai qualche sulla configurazione NAT. se descrivi cosa hai configurato forse capisco meglio.
Comunque ripeto.... EVITA l'esposizione esterna o quantomento monta SNORT o Suricata -
@federicop in NAT non ho nulla configurato, ho esposto la 443 sulla wan dove è associato un ddns con certificato let's encrypt. faccio uno schema di HAproxy:
FRONTEND HTTPS
porta loopback 9433 (la 443 sta su openvpn)- ACL per i vari servizi e come parametro ho inserito "path ends with"
/nome_servizio/ - BACKEND di default è la domotica che risponde direttamente
"https:\miodominio.com"
tutti gli altri dovrebbero rispondere a "https:\miodonio.com\nome_servizio"
- ACL per i vari servizi e come parametro ho inserito "path ends with"
-
@manustar scusa ma se non hai configurato nulla sulla NAT/PortForward come fai a digitare dall'esterno l'indirizzo esatto della macchina che vuoi raggiungere?
mi spiego se devi raggiungere il QNAP cosa digiti dall'esterno?
in teoria dovresti digitare tuoippubblico:8082 giusto?
se non configuri la NAT/PortForward pfsense come fa a sapere che alla porta 8082 corrisponde l'ip interno del QNAP?e non capisco perchè usi la 443 per openvpn... secondo me hai un po di caos nella configurazione.
Io farei cosi:
Firewall/NAT/PortForward nuovo Rules
TCP/UDP - surce * dest WAN adress
destination portrange https (443)
redirect target IP (ip esxi)Firewall/Rules (dovrebbe creartela in automatico se non lo fa metto)
interfaccia WAN
surce *
destination sigle host or alias (ip esxi)
destination port range HTTP (443)questo lo ripeterei per le varie porte e i vari server da esporre.
ecco perchè non capisco come fai a usare la stessa porta 443 su due server (openvpn - esxi).ovviamente questa è la configurazione semplice... poi dovresti lavorare sulle regole, su eventuale "camuffamento porte" per scansione ip, e configurare un IPS/IDS, perchè quando esponi le tue macchine all'esterno è piuttosto pericoloso.
eventualmente valuta l'ipotesi di mettere una macchina virtuale in esxi come ubuntu o win e poi apri solo la connessione remota (desktop remoto) verso quella macchina mettendola in DMZ con relative regole che bloccano il traffico verso la lan. (un eventuale buco della tua rete limiterebbe i danni alla macchina e alla dmz senza raggiungere la LAN).
-
@federicop openvpn sulla 443 perchè così soffre meno i blocchi dei firewall aziendali.
utilizzando haproxy devo aprire sulla wan solo la 443 (utilizzata per openvpn) e configurare haproxy sull'interfaccia di loopback porta 9443.
haproxy ti evita di fare nat e portforwarding, io mi collego al mio ip pubblico (o ddns) e atterro su haproxy, il quale ha delle acl configurate in base ai backend (nel caso qnap 192.168.1.50 su porta 8082) quindi se io digito "ilmioindirizzo/qnap/" haproxy mi dovrebbe girare la chiamata al qnap.
è simile ai bilanciatori, tu esponi un ip e lui smista il carico sui vari server privati.
-
@manustar said in haproxy e varie acl:
haproxy
ok non conosco haproxy quindi a questo punto non so esserti di aiuto.
le poche volte che apro server esterni faccio differentemente. -
@manustar
tutto sta nel capire la logica di funzionamento di haproxy che sembra complicata ma in realtà è più semplice di quello che sembra.innanzitutto servirebbero i log di zoneminder (che non so cosa sia) per capire cosa succede.
sul nas ricevi 401 ... sei sicuro che la pagina 401 arrivi dal nas e non dal server di domotica?
su esxi ti apre una pagina di log .. arriva dal server di domotica?li bisogna capire se haproxy riconosce le tue acl perchè se non le rileva o non corrispondono per qualche motivo di default rimanda tutte le richieste al server di domotica visto che è il default backend. esporre esxi sul web è abbastanza da suicidio comunque
-
@kiokoman effettivamante esxi era solo per test e sinceramente mi interessa poco.
zoneminder è un nvr ma anche li posso anche rinunciare e andare in vpn.
a questo punto opto per la sola domotica su haproxy.
da quello che vedo le acl vengono riconosciute perchè cambiando il link non attesso più sul server di domotica.
-
@manustar hai provato a cambare browser? mi è capitato che qnap con firefox non funzionasse e con Chrome si.....
-
@federicop si ne ho provati svariati e il risultato non cambia
