Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    haproxy, acme, DNS Resolver, ssl в локальной сети

    Scheduled Pinned Locked Moved Russian
    5 Posts 2 Posters 612 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      inkoff
      last edited by

      Есть pfsense.
      Есть локальные web-сервера.
      Настроена haproxy.
      Настроен acme c ssl сертификатами хранящимися на pfsense.
      Добавил настройки в DNS resolver для того, чтобы из локальной сети переопределить dns имена на локальные ip адреса локальных web-серверов (на случай когда провайдер отрубает сеть).
      В итоге в браузере всплывает предупреждение о недостоверном сертификате.
      Подскажите, как правильно настроить dns resolver, haproxy, куда еще добавить сертификаты. Или что-то исключить нужно?

      werterW 3 Replies Last reply Reply Quote 0
      • werterW
        werter @inkoff
        last edited by werter

        @inkoff said in haproxy, acme, DNS Resolver, ssl в локальной сети:

        Добавил настройки в DNS resolver для того, чтобы из локальной сети переопределить dns имена на локальные ip адреса локальных web-серверов (на случай когда провайдер отрубает сеть).

        Попробуйте не так.

        Не сработает, если сертификатов физически нет на веб-серверах в локалке. Смотрите Зы1.

        1. Сменить порт вебки пф-а на что-то типа 8080\8443.

        2. Удалите то, что в резольвере настроили.
          Проверьте, чтобы ПЕРВЫМ (единственным?) днс-ом у пол-лей был пф в сетевых настройках.
          Создайте на ЛАН правило портфорварда, где в src-ЛАН, в дст - реальное-имя-веб-сервера и редирект на локальный-ip это веб-сервера.
          Сбросьте днс-кеш на своей машине и попробуйте зайти на внешнее имя веб-сервера в браузере.

        Firewall_ NAT_ Port Forward_ Edit - Vivaldi.png

        И второе такое же для HTTPS

        Там же добавить правило принудительного редиректа всего ДНС-трафика из локалки на адрес пф:
        Firewall_ NAT_ Port Forward2.png

        Зы1. Немного подумал (полезно). Еще варианты редиректа:

        Firewall_ NAT_ Port Forward_3.png

        Еcли Haproxy слушает ВАН + localhost ( в его настройках можно указывать неск-ко интерфейсов?).

        Firewall_ NAT_ Port Forward_4.png

        Если хапрокси умеет слушать ВАН+ЛАН, то вместо 127.0.0.1 на последнем скрине указать локальный ип пфсенса.

        Возможно понадобится на ЛАН явное правило фаера для доступа из src- LAN net к локальному ип пф-а и порту, на к-ом слушает хапрокси (80, 443 \TCP)

        1 Reply Last reply Reply Quote 0
        • werterW
          werter @inkoff
          last edited by

          @inkoff
          Получилось?

          1 Reply Last reply Reply Quote 0
          • werterW
            werter @inkoff
            last edited by werter

            @inkoff
            Еще вариант ,если у вас развернута AD\LDAP.
            Это настройка split-dns на ваших dns-серверах.
            Тут https://techgenix.com/active-directory-naming/ со слов:
            In order to keep it simple, the utilization of a split-brain DNS is required.

            Ес-но, что в кач-ве 1-го ДНС-а клиенты в сети должны иметь адрес вашего локального ДНС.

            1 Reply Last reply Reply Quote 0
            • I
              inkoff
              last edited by

              @werter
              главное правило - работает не трожь. но как буду в локальной сети этого PF обязательно попробую.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.