Reverse Proxy https

manelnight

Buenos días,

necesito configurar un pfsense para que funcione como reverse proxy para https. Detras del firewall tengo dos vm que quiero que puedan generar sus propios certificados con letsencrypt (VM Nextcloud y VM Onlyoffice).

Existe algun forma de poder configurar PFSENSE para que redirija el tráfico del puerto 443 a los puertos 443 de los dos servidores y así poder hacer funcionar letsecnrypt en cada servidor?

He visto algun manual y por lo que veo se puede configurar pfsense para que solicite los certificados a Letsencrypt pero lo que quiero es que los propios servidores detrás del firewall sean los que lo solicitan.

Saludos,
Manel

lucasll

Hola.
Yo en estos casos instalo el paquete en pfsense de HAProxy.

manelnight

@lucasll Sabes de algun manual donde indique los pasos para un novato? entiendo que al configurarlo como indicas tu quien pide los certificados a letsencrypt es el propio pfsense y entonces los servidores destino no se configuran con https sinó con http?

Saludos

lucasll

@manelnight
Hola.
Haproxy soporta conexiones http, https y tcp. En https es Haproxy quien tiene los certificados. En tcp son los servidores quienes tienen el certificado. Tu caso sería tcp y así es más sencillo de configurar haproxy.

manelnight

@lucasll los manuales que he visto hablan de http y https. Seria realizar una configuración como uno de esos manuales pero indicando TCP en vez de HTTPS? tienes algun link de ejemplo?

lucasll

@manelnight

Hola.
No tengo ningún tutorial. Pero aquí están los pasos:

INSTALAR HAPROXY

• SYSTEM - PACKAGE MANAGER - AVAILABLE PACKAGES - buscar HAPROXY
• Aparecen 2: haproxy y haproxy-devel.
• En haproxy, clic INSTALL.
• Clic CONFIRM.
• Comienza instalación.
• Al finalizar, clic INSTALLED PACKAGES.
• Aparece haproxy.

ARRANQUE INCIAL

• SERVICES - HAPROXY
• Clic SETTINGS.
• Clic ENABLE HAPROXY
• Clic SAVE. (Al final de la página)
• Hay que cumplimentar campos inicilamente.
• MAXIMUM CONNECTIONS: 10000
• INTERNAL STATS PORT: 2200
• Clic SAVE.
• Clic APPLY CHANGES.
• Ya está arrancado.
• Clic STAFSFS para mostrar estadísticas. No hay aún configurados servidores, pero debe cargar

CONFIGURACIÓN DE EJEMPLO

Ejemplo:

• balaceador de ip WAN a 2 servidores en la LAN

  • servidor 1: 192.168.59.1
  • servidor 2: 192.168.59.2

• SERVICES - HAPROXY

• Clic BACKEND

• Clic ADD

• NAME: backend1

• SERVER LIST --> clic "flecha" para agregar primer servidor

  • MODE: active
  • NAME: servidor1
  • ADDRESS: 192.168.59.1
  • PORT: 443
  • clic "flecha" para agregar segundo servidor

• HEALTH CHECK METHOD: http. Puedes cambiar a otro según lo necesites.

• Clic SAVE

• Clic APPLY CHANGES.

• Clic FRONTEND

• Clic ADD

• NAME: frontal1

• EXTERNAL ADDRESS:

  • LISTEN ADDRESS: WAN ADDRESS
  • PORT: 443
  • TYPE: TCP. Importante, es el modo de haproxy: tcp, http o https. En tu caso tcp.

• DEFAULT BACKEND: backend1. Definido en pasos anteriores, son los servidores de la lan

• Clic SAVE

• Clic APPLY CHANGES.

• Clic STAFSFS para mostrar estadísticas.

LOGS

• Para tener logs:
  • Logging - Remote syslog host - /var/run/log
  • En fronted --> Detailed logging
  • En backend --> Log checks
• Logs:
  • STATUS - SYSTEM LOGS - PACKAGES - HAPROXY