OT?: Ports blockieren ausser 443, 80, 8080 - gibt's einen Grund?
-
Gibt es irgendwo eine verständliche Anleitung für HAproxy? (ich meine das Paket für pfSense).
Das LoadBalancing brauche ich ja eigentlich nicht, nur den Proxy. Allerdings finde ich es äusserst schwer verständlich, was da an Terminologie in der GUI d'rin ist. Mir fehlen da die Grundlagen …
Danke
E -
auf webserver1 habe ich:
das ist völlig wurscht :) und noch dazu nicht richtig ;) In der Konfiguration auf deinem Webserver machst du überhaupt keine Umleitung, der weiß nämlich nix davon.
mytest.mydomain.com
mytest2.mydomain.com
mytest3.mydomain.com
…sollen alle auf die gleiche IP (deiner externen LAN IP) zeigen. Das kannst du in deinem Providertool auch reinbasteln. Wenn es gut ist, kannst du da auch (bspw.) *.dev.mydomain.com reinmachen, dann kannst du alles mögliche statt dem * schreiben und musst nicht immer nen neuen A Record eintragen. Aber egal.
Dann wirfst du HAProxy oder Squid oder auch Apache Reverse Proxy auf deine pfSense. Bei HaProxy definierst du entsprechend ein Frontend (auf welche IP und welchen Port soll haproxy hören) und ein Backend (an welche/n Server soll er Sachen verteilen). Um mehrere Hosts auf das gleiche Backend zu schicken, legst du einfach weitere Frontends an, wählst gleiche IP/Port aus und den Haken bei Shared Frontends rein (soweit ich mich recht erinnere). Dann in jedem Frontend unter ACLs einen Eintrag machen mit "Host matches:" und dort die Domain die er erfassen soll, also bspw. mytest2.mydomain.com
Für jeden Host ein Frontend mit ACL und dann sollte das fluppen.
-
… das macht's jetzt schon klarer (die Variante mit HAproxy würde ich nehmen).
Die Einträge habe ich gemacht.
Allerdings stehe ich komplett auf dem Schlauch wenn ich lese:"NOTE: You must add a firewall rule permitting access to this frontend!"
Mir ist kompett schleierhaft, wie die Regel aussehen muss ...
Sorry für meine Dummheit.
E
-
Je nachdem auf welcher IP und welchem Port dein HAProxy lauscht musst eben dort eine Regel einrichten.
Wenn er z.B. auf dem WAN Interface auf dem Port 80 lauscht musst du hierfür eine Regel anlegen die das erlaubtSource Any| Dest. IP -> Wan IP | Dest Port -> 80
-
(Vielleicht sollte man einen neuen Thread aufmachen?)
Sorry - ich bekomm's nicht hin:
Nach den Hinweisen von JeGr habe ich ein Frontend definiert:
- "Listen address" => meine externe IP-Adresse Port 80
ACL => Host contains "mytest.mydomain.com"
und ein Backend:
- "Forwardto" => interne IP-Adresse vom mytest (192.168.0.251) und Port 80
Ausserdem noch die Regel auf dem WAN Interface:
Source Any| 192.168.0.251 -> externe IP-Adresse| Port 80 -> 80
Wenn ich versuche mytest.mydomain.com aufzurufen bekomme ich nur einen TimeOut.
Sollte aber doch klappen?
Gruss
E - "Listen address" => meine externe IP-Adresse Port 80
-
Okay ich gebe zu die Regel war doof beschrieben ;)
hier nochmal die Regel die auf dem WAN Interface (also das auf welchem deine externe IP-Adresse liegt)ID Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP * * WAN Adress 80 * noneWAN Adress wäre dann bei dir deine externe IP-Adresse
auch mal versuchen von extern zu testen nicht das es da Probleme gibt weil du auch hinter der selben Firewall sitzt die Proxy macht
-
… ich weiss, ich nerve langsam, aber ich weiss nicht mehr weiter:
Die Regel habe ich lt. Angabe formuliert.
Im HA-Frontend habe ich die externe IP eingetragen (WAN VIP for CARP config) mit Port 80
in der ACL steht "myserver1" -> Host contains: myserver1.mydomain.comIm HA-Backend steht:
Name "test", Forwardto "Address + Port" Address: 192.168.xx.xxx Port: 80Alles Weitere habe ich gelassen wie's ist (das meiste leer).
Ein Ping auf myserver1.mydomain.com bringt die (richtige) externe IP-Adresse (die providerseitige Weiterleitung stimmt also).
Das Logging habe ich auf dem HAproxy aktiviert - allerdings kommt ausser "Proxy test startet" (bzw. stopped) nichts weiter an.
Die Eingabe von myserver1.mydomain.com (von einem externen Rechner) endet mit einem Timeout.
Woran kann's denn noch liegen?
Gruss
E -
wie sieht denn der Hacken "WebGUI redirect Disable webConfigurator redirect rule " unter System: Advanced bei dir aus?
kannst du mal einen Screenshot der Regeln machen die du erstellt hast?
-
die Checkbox bei WebGUI redirect ist nicht aktiviert!
Regeln gibt's relativ viele. (Ich habe einige Portforwardings eingestellt - eben die möchte ich ja ersetzen!)
Allerdings habe ich diese immer zum Testen deaktiviert. (Was die Testerei nicht eben einfacher macht …).Stimmen denn die Einstellungen die ich beim HAproxy gemacht habe grundsätzlich?
Gruss
E -
zum HA Proxy kann ich leider nicht viel sagen. Die Regeln wären da erst mal wichtiger.
Mit dem NAT ist so eine Sache da sollten vorher die States der PfSense mal gelöscht werden.
Wenn das Ding schon produktiv ist kannst du das natürlich nicht so einfach machen. -
Mit dem NAT ist so eine Sache da sollten vorher die States der PfSense mal gelöscht werden.
… vielleicht ist das ein Ansatz? Kann man das Löschen manuell anstossen, oder muss die pfSense dazu booten?
E
-
auf der Startseite steht "Show states" und dort dann "Reset state"
-
Obwohl Die Niederlande recht nur ein unoffizieller Bundesland von Deutschland sind ( ;D ) betreure Ich mich immer noch darum das mein Deutsch so slecht ist. Wir hatten es damals nur vor 1 Jahr verplichtet im Mittelschule, und Ich habe mich so schnell wie moglich davon getrennt weil die Lehrerin so ein komplette Arsch war.
War vielleicht nicht wirklich ein gutes Idee, weil Ich gerne mehr von obenstehendes verstanden hatte :-[
( ;D ;D ;D )
-
wenn Du sagen kannst, was (sprachlich) unverständlich ist, kann ich gerne versuchen, es verständlicher zu formulieren!
E
-
Hat es bei dir denn nun geklappt?
-
Kann ich erst morgen (Feiertag!) ausprobieren.
Ich geb' auf jeden Fall Bescheid.
Danke
E
-
Hat es bei dir denn nun geklappt?
das Löschen der states hilft beim Testen.
Im Prinzip funktioniert's nun auch (zumindest bei den ersten Tests!) für mehrere (interne Server), die auf Port 80 lauschen.
Ich bin noch am Probieren (Redundanz, etc.) und melde mich wieder!
Gruss/Danke
E