Mit HA-Proxy die Zertifikate der Server benutzen



  • Hallo zusammen,

    ich bin neu bei PFsense und werde gerade von den Einstellungen erschlagen ;)
    Soweit habe ich alles hinbekommen, leider scheitere ich an der Konfiguration des HA-Proxy.

    Folgendes habe ich:

    Internet -> DynDns -> PFsense -> mehrere virtuelle Server

    Auf den Servern laufen verschiedene Dienste wie FileRun, Bitwarden, Wordpress usw....
    Da ich nur eine IP-Adresse habe, ist jeder einzelne Server über Port 443 und eine Subdomain erreichbar.

    Jeder dieser Server hat sein eigenes Let's Encrypt Zertifikat und verlängert dieses auch selbstständig.
    Ist es möglich, über HA-Proxy jeden Server zu erreichen ohne dass die PFsense ein Zertifikat übergibt?!

    Ich möchte eigentlich erreichen, dass die PFsense meine https Anfrage an den jeweiligen Server weitergibt und dieser dann "sein" Zertifikat liefert.

    Ist das möglich? Hat das jemand im Einsatz.
    Wenn ja, kann mir jemand verraten wie ich das konfiguriere 😁

    Schonmal vielen Dank im voraus!


  • LAYER 8 Moderator

    @Wireguard said in Mit HA-Proxy die Zertifikate der Server benutzen:

    Ist es möglich, über HA-Proxy jeden Server zu erreichen ohne dass die PFsense ein Zertifikat übergibt?!

    Ja über ein HTTPS Frontend, statt einem HTTP+Termination Frontend. Daran erkennbar, dass dann weiter unten im Frontend KEINE Sektion mit SSL Auswahl mehr ist, wo du das Zertifikat auswählst das ausgeliefert wird. Mach ich zwar nicht/ungern, weil das dann heißt dass jede Domain das selbst machen muss (Mixbetrieb geht nicht), aber klar, kann man einstellen.

    6c867cda-3bfa-49b8-a03d-f144741234a8-image.png

    Hier ist die Stelle im Frontend. Wichtig ist, dass du dein Frontend für "Port 443" machst, KEIN SSL Offloading anhakst und weiter unten beim Typ auch den SSL/HTTPS TCP Mode nutzt. Dann wird das eigentlich ein reiner TCP Loadbalancer bzw. es wird auf Layer 4 weitergeleitet und das Zert kommt vom Server selbst. Ende Banane ;)

    Cheers
    \jens



  • Vielen Dank, Ich werde es mir anschauen.



  • @JeGr said in Mit HA-Proxy die Zertifikate der Server benutzen:

    Ja über ein HTTPS Frontend, statt einem HTTP+Termination Frontend. Daran erkennbar, dass dann weiter unten im Frontend KEINE Sektion mit SSL Auswahl mehr ist, wo du das Zertifikat auswählst das ausgeliefert wird. Mach ich zwar nicht/ungern, weil das dann heißt dass jede Domain das selbst machen muss (Mixbetrieb geht nicht), aber klar, kann man einstellen.

    Was genau meinst Du mit Mixbetrieb?
    Ungern weil ein Sicherheitsproblem?

    Ich stehe genau vor dem gleichen Problem:
    1x IPv4 und dahinter zwei Server welche beide auf 443 lauschen.

    Je nach Domain sub1.example.com bzw. sub2.example.com soll es dann auf Server1 oder Server2 gehen.



  • Hallo,

    ich habe es nun so konfiguriert

    Backend

    2020-10-09 10_24_10-Window.png

    Frontend

    2020-10-09 10_25_59-Window.png

    Geholfen hat mir unter anderem das

    https://blog.briantruscott.ca/how-to-serve-multiple-domains-from-a-single-public-ip-using-haproxy-on-pfsense/

    Jeder meiner Server holt sich seine eigenen Zertifikate per Certbot. Die PFsense wiederum holt sich ihre Zertifikate selbst per Acme. Ist alle 3 Monate 10 Minuten Aufwand. Für mich passt die Lösung so bis ich Zeit finde mich tiefergehend damit zu beschäftigen.

    Falls du noch Hilfe brauchst, sag Bescheid.

    Grüße



  • Danke für die Screenshots, ich sehe schon irgednwann muss man anfangen sonst komme ich da nicht weiter :)



  • Sieht schwerer aus als es ist ;)

    Wie gesagt wenn ich helfen kann lass es mich wissen.

    Viel Glück.



  • @Wireguard
    vielen Dank für die Hilfe.

    Ich werde das Abends/Nachts mal mit einem Server probieren.
    Im Moment ist eine NAT Regel vorhanden weil derzeit noch 1 IPv4 IP auf ein Server zeigt, die muss dafür auch weg.

    Vor allem geht es mir in erster Linie darum kein Mist in Form von einem Sicherheitsproblem zu bauen, für alles andere habe ich Gedult ;)


  • LAYER 8 Moderator

    @slu said in Mit HA-Proxy die Zertifikate der Server benutzen:

    Was genau meinst Du mit Mixbetrieb?
    Ungern weil ein Sicherheitsproblem?
    Ich stehe genau vor dem gleichen Problem:
    1x IPv4 und dahinter zwei Server welche beide auf 443 lauschen.
    Je nach Domain sub1.example.com bzw. sub2.example.com soll es dann auf Server1 oder Server2 gehen.

    Mixbetrieb: Man kann nicht mit dem gleichen Frontend einmal TLS annehmen und terminieren und einmal Layer4 annehmen und weiterreichen (ohne die TLS Verbindung zu terminieren). Gemischt geht nicht. Man kann nur eins von beidem. Eigentlich will man meistens eh terminieren, dann kann man die Zertifikate auch auf der Sense handlen und muss nicht auf jedem Client damit rumkaspern.

    Und dein Problem ist das einfachste und schnellste was man anlegen kann :) Sei froh ;)


Log in to reply