Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfSense HAProxy als Reverse Proxy mit URL Problem

    Scheduled Pinned Locked Moved Deutsch
    17 Posts 3 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bosco
      last edited by

      Hallo zusammen, das hier wird mein erster Beitag.

      Ich habe einen pfSense HAProxy als Reverse Proxy in der pfsense laufen. eine Domain mit einiges Subdomains, dazu Let’s Encrypt Zertifikate unter pfSense (DNS-GoDaddy). Genau so wie hier: [https://sysadms.de/2018/10/pfsense-haproxy-als-reverse-proxy](link url) und hier: [https://sysadms.de/2019/03/lets-encrypt-zertifikate-unter-pfsense-dns-godaddy](link url) beschieben.
      Das läuft alles wunderbar. Jetzt zu meinem Problem:

      Wenn in der URL https://mail.boscolab.de/SOGo/input%40boscolab.de noch mal die Domain Adresse boscolab.de habe dann erhalte ich im Browser ERR_TOO_MANY_REDIRECTS.

      Das input%40boscolab.de ist für den Login im Webmail notwendig.
      Entferne ich das rechte ... boscolab.de wird die Seite geladen. Das ist nicht nur hier beim Webmail so sondern auch in anderen bereichen wenn in der URL noch mal boscolab.de auftaucht.

      Bildschirmfoto vom 2020-11-05 19-59-23.png Bildschirmfoto vom 2020-11-05 19-59-06.png

      Ich habe schon alles versucht und Foren gelesen aber ich komme einfach nicht weiter. Wie kann ich das Problem lösen?

      Danke
      Bosco

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @bosco
        last edited by

        Willkommen im Klub!

        @bosco said in pfSense HAProxy als Reverse Proxy mit URL Problem:

        das hier wird mein erster Beitag.

        Steiler Start! Bei meinem ersten Posting hier war HAProxy noch kein Thema. ☺

        @bosco said in pfSense HAProxy als Reverse Proxy mit URL Problem:

        Das input%40boscolab.de ist für den Login im Webmail notwendig.

        Für das Frontend gibt es ja eine Menge Konfigurationsmöglichkeiten, was die Übereinstimmung des Ausdrucks betrifft. Vermutlich hast du hier "Path contains" ausgewählt. Stelle das auf "Host contains" oder "Host ends" um, dann sollte das Problem weg sein.

        1 Reply Last reply Reply Quote 0
        • B
          bosco
          last edited by

          Danke für deine Antwort. :)
          Ich habe mal versucht das umzustellen auf "Host contains" oder "Host ends" , leider ohne Erfolg. Was mache ich hier falsch?

          Bei mir sieht das aktuell so aus:

          Bildschirmfoto vom 2020-11-06 09-35-00.png

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Und ich nehme an, du hast das soweit getestet, dass du sagen kannst, das Problem tritt nur mit HAProxy auf.

            Und du verwendest HTTPS Offloading in HAProxy?

            B 1 Reply Last reply Reply Quote 0
            • B
              bosco @viragomann
              last edited by

              @viragomann Ich habe keine andere Möglichkeit das zu testen. Ich bin mir aber sehr sicher das es der HAProxy ist.

              Ja ich habe im Frontend HTTP / HTTPS (offloading) eingestellt.

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Ist dein Webserver / deine Webapplikation dahinter etwa so konfiguriert, dass sie HTTP auf HTTPS umleitet?
                Dann würde sich die Sache im Kreis drehen und könnte zu solchen Fehlern im Browser führen.

                B 1 Reply Last reply Reply Quote 1
                • B
                  bosco @viragomann
                  last edited by

                  @viragomann Ich habe den Fehler gefunden! Du hast mich auf die richtige Lösung gebracht, es war die Umleitung im HAProxy!

                  Ich habe im Frontend HTTP die Regel umgestellt auf Host matches. Vorher hatte ich Path ends with eingestellt.

                  Bildschirmfoto vom 2020-11-06 13-32-31.png

                  Danke! :)

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    Ah schade, jetzt wollte ich gerade lösen 😛

                    Egal, erstmal ebenfalls willkommen @bosco. Und dein Hinweis war deine Fehlermeldung ;) Redirection Loops sind sehr sehr häufig auf falsche Konfiguration des Proxies in Verbindung mit dem Backend zurückzuführen. Du schreibst ggf. was am Proxy um, was im Backend wieder umgeschrieben wird, was einen neuen Request auslöst, der wieder umgeschrieben ... you get the drift 😉

                    Wenn der Host im Backend nicht mitbekommt, dass etwas schon umgeschrieben wurde und das dann nochmal macht, kann es zu solchen Loops kommen. Einfacher Test ist dann von außen sowas zu nutzen:

                    https://httpstatus.io/

                    Dort die URL rein und schauen was passiert. Da sieht man dann (auch sehr genau mit HTTP headern etc.), was genau umgeschrieben wird und ggf. von wem :)

                    Cheers
                    \jens

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    B 2 Replies Last reply Reply Quote 1
                    • B
                      bosco @JeGr
                      last edited by

                      @JeGr Danke für deine Erläuterung! :) Die Testseite werde ich mir anschauen. Habe aber noch einen kleinen Fehler in den Einstellungen gefunden. Dieser zeigt sich nur wenn ich die Domain ohne www. aufrufe, hier sollte die Weiterleitung auf ein backend erfolgen, ist aber gerade kaputt und ich sehe einen Loop. :)

                      1 Reply Last reply Reply Quote 0
                      • B
                        bosco @JeGr
                        last edited by

                        @jegr Nach einiger Zeit konnte ich das letzte Problem noch nicht lösen.
                        Wenn ich die Adresse boscolab.de ohne www. und ohne blog. eingebe, dann soll es eine Weiterleitung auf blog.boscolab.de geben. Das klappt leider nicht...
                        Sinnvoll wäre das bei Eingabe von www.boscolab.de und boscolab.de die Adresse getauscht wird zu blog.boscolab.de, also nicht einfach eine Weiterleitung an das backend sonder Adresse austauschen.

                        Die aktuellen Einstellungen sehen so aus:

                        Bildschirmfoto vom 2020-12-18 10-29-14.png

                        Wie mache ich das richtig?

                        Danke
                        Bosco

                        JeGrJ 1 Reply Last reply Reply Quote 0
                        • JeGrJ
                          JeGr LAYER 8 Moderator @bosco
                          last edited by

                          @bosco Hö? Backend? ACLs? Die ACLs und die Umleitungen werden doch auf dem Frontend definiert? Oder sollen das nur Redirects sein? Was ist denn dann eingestellt? Klapp doch mal das Plus auf, so sieht man ja nichts?

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          B 1 Reply Last reply Reply Quote 0
                          • B
                            bosco @JeGr
                            last edited by

                            @jegr Das Plus kann ich nicht aufklappen!
                            Hier ist noch mal meine aktuelle aktuelle Einstellung:

                            www.bosclab.de -> läuft auf backend: blog.boscolab.de, Adresse bleibt aber www.
                            blog.boscolab.de -> läuft auf backend: blog.boscolab.de
                            boscolab.de -> soll auf backend blog.boscolab.de laufen, geht aber nicht...

                            Nun soll es aber so werden:

                            www.bosclab.de -> Adresse austauschen zu: blog.boscolab.de
                            blog.boscolab.de -> läuft auf backend: blog.boscolab.de
                            boscolab.de -> Adresse austauschen zu: blog.boscolab.de

                            Ich weiß nicht was ich falsch mache!

                            Bildschirmfoto vom 2020-12-22 16-19-03.png
                            Bildschirmfoto vom 2020-12-22 16-19-29.png
                            Bildschirmfoto vom 2020-12-22 16-21-23.png
                            Bildschirmfoto vom 2020-12-22 16-22-21.png

                            JeGrJ 1 Reply Last reply Reply Quote 0
                            • JeGrJ
                              JeGr LAYER 8 Moderator @bosco
                              last edited by

                              @bosco Ich verstehe deine Backends nicht. Kannst du die mal genauer posten? Und was versuchst du mit den ACLs im Backend? Alles was ich da sehe ist dass du nur NOCH Mal das gleiche Backend auswählst was für mich keinen Sinn macht.

                              Frontend verteilt nach Regeln/ACLs auf Backends. Wenn du doch Backends für www, meet, pad etc. schon hast (laut Liste) macht die ACL Sammlung in einem Backend keinen Sinn mehr für mich. Es landen ja schon nur Zugriffe im Backend die da hinsollen, also kein Grund da nochmal irgendwas zu filtern.

                              ACL und Actions im Backend lohnen sich für mich nur dann, wenn du bspw. Redirecten willst. Was IMHO genau das ist, was du mit boscolab.de -> blog.boscolab.de machen willst. Ergo schickst du beide (ohne www und blog) auf das Blog Backend.
                              Im Blog Backend kannst du dann eine ACL reinbauen, die Host Match auf boscolab.de (ohne prefix) macht und DA dann als Action kein Backend nimmt (du bist doch schon im Backend!), sondern einen Redirect(!) macht auf https://blog.boscolab.de

                              Dann wird https://boscolab.de auf https://blog.boscolab.de umgeleitet und gut.

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              B 1 Reply Last reply Reply Quote 0
                              • B
                                bosco @JeGr
                                last edited by

                                @jegr Sachen wie meet, pad und co. laufen alle korrekt.

                                Also es geht nur um ein Backend, das ist blog.boscolab.de. ACL soll aber folgendes sein:

                                blog.boscolab.de
                                boscolab.de
                                www.boscolab.de

                                Ziel soll immer das gleiche backend sein. Aktuell ist das noch nicht so. Genau wie du geschrieben hast soll es nur Redirect auf blog.boscolab.de sein. Genau das bekomme ich nicht hin.

                                JeGrJ 1 Reply Last reply Reply Quote 0
                                • JeGrJ
                                  JeGr LAYER 8 Moderator @bosco
                                  last edited by

                                  @bosco said in pfSense HAProxy als Reverse Proxy mit URL Problem:

                                  Aktuell ist das noch nicht so. Genau wie du geschrieben hast soll es nur Redirect auf blog.boscolab.de sein. Genau das bekomme ich nicht hin.

                                  Genau das habe ich dir oben geschrieben. Im Backend von Blog einfach NUR den Redirect eintragen, alles andere ist unnötig da.

                                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                  B 1 Reply Last reply Reply Quote 0
                                  • B
                                    bosco @JeGr
                                    last edited by

                                    @jegr Ich habe das jetzt mit www.boscolab.de geschafft und ein redirect auf blog.boscolab.de gemacht. Hier war der bereich rule: code 301 location https://blog.boscolab.de entscheidend, das musste ich erst verstehen das hier die Angabe von code u.s.w. wichtig ist.

                                    Allerdings klappt das mit boscolab.de ohne präfix nicht. Was mache ich hier falsch?

                                    Bildschirmfoto vom 2020-12-26 10-39-03.png

                                    Oder ist hier der Fehler in der Access Control lists?

                                    Bildschirmfoto vom 2020-12-26 10-46-44.png

                                    JeGrJ 1 Reply Last reply Reply Quote 0
                                    • JeGrJ
                                      JeGr LAYER 8 Moderator @bosco
                                      last edited by

                                      @bosco Nochmal die Frage: Die Screenshots sind aus dem Backend? Vom blog Backend? Dann haben da wie gesagt die anderen ACLs nichts drin zu suchen weil die da durch die Frontend Zuweisung eh nie ankommen würden?

                                      Im Frontend wird boscolab.de ohne irgendwas auch auf das Blog Backend geschickt? Oder woanders hin?

                                      Nochmal zum Verständnis:

                                      dein Frontend(!) weist eine ACL via Host match zu. Diese ACL wird dann in der Aktion (immer noch im Frontend) selektiert und wählt dann nach deiner Angabe ein BACKend aus. In diesem Backend kommen dann auch NUR Zugriffe an, die vorher schon durch die Selektion auch dahin geschickt werden. Darum schreibe ich die ganze Zeit dass deine ACLs und Actions im BACKend für alles was NICHT in dieses Backend gehört sinnfrei sind, weil sie eh nie ausgeführt werden!

                                      Also würde ich erstmal die Backends soweit bereinigen, dass da nur drinsteht was da auch sein muss und dann nochmal im Frontend die Zuweisung von boscolab.de checken, ob das auch definitiv auf das blog backend geschickt wird und dort ankommt. Dann sollte der Redirect auch greifen. :)

                                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.