Configuration HAProxy en Reverse Proxy + Management pfSense



  • Bonjour,

    Dans un cadre personnel, j'ai fais récemment l'acquisition d'un serveur dédié en ligne afin de pouvoir héberger différents sites/applications (ma bande passante ne me permettant pas de les rendre accessibles de manière convenable). Ayant une unique adresse IP, et après avoir parcouru pas mal de sites, j'ai opté pour la mise en place de pfSense pour faire office de point d'accès à mes VM et faire office de reverse proxy.

    Je souhaiterais pouvoir utiliser le port 80 pour accéder à différents sites/applications tout en réservant un DNS pour manager mon serveur pfSense. Pour le moment, j'arrive sans problème à router différents DNS sur plusieurs machines mais quand il s'agit de faire pointer le DNS dédié à pfSense, ça se complique (en fait j'i une erreur 503).
    En fait, j'ai l'impression que ce qui pose problème, c'est que je lui demande de redirigé les requêtes du port 80 sur lui-même (j'ai essayé via son IP LAN et sur 127.0.0.1) mais j'ai un doute car je n'ai pas de code 310 (Too Many Redirects).

    Architecture :

    • Serveur Dédié Online.net avec VMware ESXi avec IP Publique
    • VM pfSense avec 2 cartes réseaux (WAN + LAN)
      – WAN configuré avec une IP Failover (différente de l'IP du serveur physique)
      -- LAN sur lequel se trouve les autres VM
      -- Firewall : 1 Règle sur le port 80 configuré en "any to any"
      -- Packages : Bind, Cron, Haproxy, Open-VM-Tools, Shellcmd, Syslog-NG
    • 2 VM avec serveur apache sur lequel sont redirigés 2 DNS différents pour 2 applications différentes
    • 1 VM avec interface graphique qui me permet de configurer pfSense via l'interface Web

    Le problème : Impossible d'accéder à l'interface de pfSense depuis internet quand HAProxy est activé (erreur 503) alors que la redirection sur les autres applications fonctionne bien (J'ai bien accès à pfSense si je désactive HAProxy).

    J'espère que je vous ai fourni suffisamment d'information pour vous permettre d'aider et vous remercie d'avance pour l'aide que vous pourriez m'apporter (je désespère un peu ^^).

    Cordialement,Florian



  • Bonjour,

    deux pistes:

    • changer le port du WebConfigurator (Menu System\advanced)
    • desactiver la règle de redirection automatique 80 -> 443 pour le webconfigurator (Menu System\advanced)


  • Par ailleurs, c'est peut-être une bonne idée de ne pas autoriser l'accès à l'interface pfSense, quel que soit le port choisi, depuis internet.
    La plateforme va se faire attaquer en permanence.

    A la limite avec une règle qui autorise ta seule IP si tu as une IP fixe (ou un DynDNS) mais idéalement un tunnel VPN te permettra d'accéder à pfsense depuis le LAN  ;)



  • La facilité est d'autoriser l'accès à l'interface web de pfSense depuis l'extérieur (via un NAT port forward).

    La solution la plus sûre, à recommander, est, de créer un vpn (par exemple OpenVpn) et d'administrer via l'interface web avec l'ip interne.


Log in to reply