Configurazione base su Cloud Aruba



  • Ciao a tutti,

    questo è il mio primo post sul forum e spero mi perdonerete se farò domande banali, ma sono alle prime armi anche con pfsense.

    Situazione:
    Sto provando a installare un template con pfSense sul Cloud di Aruba per usarlo come unico canale di comunicazione tra il mondo esterno e gli altri server virtualizzati interni al cloud Aruba e collegati a pfSense su rete interna.

    Per quanto riguarda pfSense è installato con WAN impostata su IP pubblico. Attraverso un DNS esterno ho associato i record del dominio e della posta all'ip pubblico assegnatomi da Aruba:

    elaidon.com.            600 A 185.56.9.232
    mail.elaidon.com. 600 A 185.56.9.232
    elaidon.com.         600 MX 10 mail.elaidon.com

    alla macchina pfSense ho assegnato:

    hostname = firewall
    domainname = elaidon.com
    dns 1° = 8.8.8.8
    dns 2° = 8.8.4.4
    IP address = 185.56.9.232/24
    Gateway = 185.56.9.1
    LAN IP Address = 10.0.0.1/24

    Poi ho abilitato il servizio DHCP con range 10.0.0.150-10.0.0.254 in modo da poter assegnare numeri più  bassi in modo statico

    Per accedere al panello Web ho impostato connessione HTTPS e cambiato la porta di default a 25701 inoltre ho cambiato le credenziali dell'amministratore.

    Fino a qui tutto bene. La macchina funziona e riesco ad accedere a pfSense.

    Mail Server:
    A questo punto era mia intenzione nella sottorete locale provare ad inserire un server di posta basato su centos 7 e zimbra e un server web.

    Il server di posta ha le seguenti impostazioni:

    IP statico = 10.0.0.25/24
    Gateway = 10.0.0.1
    Server DNS 1 = 10.0.0.25
    Server DNS 2 = 10.0.0.1

    Disabilitato accesso root alla shell e modificato porta di accesso di default. Quella nuova è aperta in modo permanente su firewalld.

    A questo punto ho aperto su firewalld di centos tutte le porte di gestione della posta e di Zimbra (o almeno credo tutte):
    80, 443, 25, 110, 143, 389, 465, 993, 995, 7071, 7025, 53

    A questo punto sono entrato nel pannello di amministrazione di pfSense e ho impostato 2 alias:
    MailServer 10.0.0.25
    WebServer 10.0.0.10

    Quindi nella sezione NAT ho abilitato tutte le porte elencate prima verso il MailServer.

    Ho anche abilitato il DNS Forwarder:
    host: mail
    domain: elaidon.com
    ip address: 10.0.0.25

    A questo punto ho riavviato pfSense e installato Zimbra su MailServer seguendo le varie procedure.

    Dopo un pò di peripezie sono riuscito a far funzionare il server di posta in modalità multidominio e accedere dall'esterno al pannello di amministrazione e al client di posta dei singoli utenti.

    PROBLEMA:
    A questo punto volevo creare il server web ma mi sono trovato di fronte ad un problema che non riesco a risolvere.
    In pratica io vorrei fare in modo che quando gli utenti richiedono l'indirizzo webmail.elaidon.com pfSense invii la richiesta al server sulla porta 10.0.0.25 mentre se cercano per esempio www.elaidon.com (o altri domini) vengono indirizzati verso il server 10.0.0.10.

    Ho letto che per riuscirci dovrei installare un reverse proxy e che pfSense ne supporta due molto noti, squid e haproxy.
    Ho provato ad instradare le richieste verso il mail server o il web server con squid ma senza successo in quanto tutto le richieste venivano inoltrare sempre al mailserver.
    Inoltre ho letto che haproxy dovrebbe essere molto performante e quindi non riuscendo con squid volevo provarci con haproxy, ma non trovo da nessuna parte una guida all'interfaccia di haproxy interna a pfsense e non so come configurarlo.

    Ecco il perchè di tutto questo mio post.
    Vorrei sapere se qualcuno sa indicarmi una guida seria su come impostare haproxy per instradare richieste in base ai vari server della sottorete in base al dominio o sottodominio, o in alternativa se una tale guida non esiste (è giorni che la cerco online, ma ho trovato solo cose frammentarie che non spiegano bene il perchè delle impostazioni) chiedo a qualche anima pia di illuminarmi su come posso riuscire in questa operazioni.

    Grazie a tutti
    Lorenzo



  • Ciao, solo un workaround,
    per il mailserver sarebbe meglio che aprissi anche la porta 587 ( mail submission ) e chiudessi la 80 lasciando solo la 443 a rispondere con la richiesta di autenticazione degli utenti, non vorrai mica che i tuoi utenti inviino in chiaro le credenziali vero?  :o
    la porta 80 libera invece puoi inoltrarla direttamente al web server e ti togli tutte le problematiche legate a un reverse proxy, o devi aver disponibile anche la 443 per dei semplici siti web?
    Ciao



  • ciao Gadan,

    in realtà ho bisogno di avere liberà anche la porta 443 per il server web. Grazie per il suggerimento sulla porta 80, in effetti con zimbra ho impostato di default la connessione ssl e non possono connettersi senza crittografia ma avevo lasciato la regola firewall aperta. La 587 in effetti non l'avevo aperta e ora ho sistemato.

    Mi resta il problema che anche per il server devo poter usare connessioni normali o ssl.

    Sai suggerirmi come impostare haproxy?



  • Ciao,
    purtroppo non ho mai usato haproxy, io ho sempre avuto a disposizione molteplici IP pubblici, se non hai fretta magari nel weekend gioco un po' con il mio privato per vedere se riesco a farlo andare come vorresti tu

    Ciao!



  • Guarda saresti davvero gentilissimo…perché io su sta cosa mi sto spaccando la testa da 3 settimane ma senza guide utili in giro non ne vengo fuori!!!

    Grazie  :D



  • If i understand/translate correctly you want to host 2 or more websites behind one public-ip ? Perhaps this 'example' will help..? https://forum.pfsense.org/index.php?topic=93766.msg527268#msg527268



  • PiBa perfect, you are right!
    Now I study your guide and try it!

    The only unique difference is that I am trying to divide traffic for domains on the webservers and the traffic for the mail server.

    Thank you!



  • @PiBa:

    If i understand/translate correctly you want to host 2 or more websites behind one public-ip ? Perhaps this 'example' will help..? https://forum.pfsense.org/index.php?topic=93766.msg527268#msg527268

    Hi PiBa,

    I cannot reach the goal.
    In the Frontend area, in External address, in Listen address, you inserted: 192.168.0.111.
    What is this IP?

    Because I created a Virtual IP like Alias IP with internal IP 10.0.0.100 then I used this IP where you inserted 192.168.0.111. Is it right?

    Finally I create a rule for firewall where:
    soure = *
    port = *
    Destination = 10.0.0.100
    Port = 80 (HTTP)
    Gateway = *
    Queue = none

    But when I try to navigate to url www.elaidon.com I get pfSense anwers.

    Any Idea?



  • The frontend should listen on the ip where the domain name points to, so with one public ip 'External address' should probably be set to 'wan address'. In my case i was 'testing' it all on my local network so used a local listenip as well when i created the example..

    The firewall rule on the wan should allow access from any:any to destination: wan-ip:80 .

    As for the pfsense webgui i would change its port to a custom port.. So in some case haproxy is not running for whatever reason people dont get to your webgui.. Perhaps also disable the webgui redirect in pfsense advanced settings..



  • I do not understand what do you mean here:

    "The firewall rule on the wan should allow access from any:any to destination: wan-ip:80"

    Sorry, what is "wan-ip"?



  • Sorry its called 'WAN-Address' in the firewall rule edit page.. 'ip' v.s. 'address' are the same in my networking dictionary ;).
    The rule will allow access to your public-ip port 80 on the wan interface.



  • Ciao, ho visto che sei riuscito a trovare la guida, purtroppo su haproxy mi sono arenato, oggi ero un po' lesso e non avevo voglia di studiare.
    ce l'hai fatta alla fine?

    Ciao!



  • Ciao Gadan,

    no per ora non sono riuscito.

    Ora posto tutta la configurazione e vediamo se PiBa mi sa dire dove sia il problema…



  • @PiBa:

    Sorry its called 'WAN-Address' in the firewall rule edit page.. 'ip' v.s. 'address' are the same in my networking dictionary ;).
    The rule will allow access to your public-ip port 80 on the wan interface.

    Hi PiBa,

    I reach the goal to route two domains to two different servers in the internal LAN.
    But now I have another big problem.

    On a server I have installed Zimbra mail server. Its admin panel connects usually on https://xxx.xxx.xxx.xx:7071.
    I tryed to figure out how to setup an ssl connection…but I did not reach the target.
    Please, may you help me again? Any suggestions?

    Thank you
    Lorenzo



  • riciao,
    due domande :
    hai voglia di postare come hai risolto che potrebbe servire a qualcun altro?
    sei proprio sicuro di voler lasciare esposto il pannello di controllo di zimbra a chiunque? Io ci arriverei via VPN, la crei in dieci minuti e almeno non corri rischi
    Ciao!  :)



  • For the question if you want a 'configuration' panel available from outside that is certainly something to consider if you want to setup a vpn connection for such things..

    As for the question about using 'https' on the frontend to multiple https backends i have updated the 'example' a bit on how that can be done. https://forum.pfsense.org/index.php?topic=93766.msg527268#msg527268



  • @gadan:

    riciao,
    due domande :
    hai voglia di postare come hai risolto che potrebbe servire a qualcun altro?
    sei proprio sicuro di voler lasciare esposto il pannello di controllo di zimbra a chiunque? Io ci arriverei via VPN, la crei in dieci minuti e almeno non corri rischi
    Ciao!  :)

    Ciao Gadan. Si più tardi oppure in serata posterò le info che ho raccolto io su come far funzionare un mail server Zimbra usando HAProxy dietro pfSense.
    E'  una configurazione "che funziona" che però è diverso dal dire che è una configurazione che funziona bene. Nel senso che ho fatto svariate prove, la maggior parte delle quali con una certa logica. Poi alcune basate su ipotesi più azzardate. Cmq sta sera posto tutto.

    Sono molto interessato a sapere come accedere al pannello di amministrazione di Zimbra via VPN in modo da evitare l'accesso al pubblico. Mi sai indicare un esempio?



  • @Elaidon:

    Sono molto interessato a sapere come accedere al pannello di amministrazione di Zimbra via VPN in modo da evitare l'accesso al pubblico. Mi sai indicare un esempio?

    Ciao,
    per impostare una VPN puoi seguire questa guida, https://www.highlnk.com/2013/12/configuring-openvpn-on-pfsense/
    A seconda delle regole che imposti sul firewall tu puoi, dopo aver effettuato l'autenticazione ed essertti connesso via VPN, essere proprio in rete con le macchine che stanno dietro ( mail e webserver)  e raggiungere qualunque porta abbiano aperta per l'amministrazione e con qualunque protocollo.
    con OpenVPN puoi addirittura dare regole e indirizzamento IP personalizzati a seconda dell'utente che accede, cioè potresti voler far accedere al pannello di controllo di zimbra un utente che però non deve andare a toccare il webserver o viceversa….
    una domanda che release e che piattaforma usi ( i386 o amd64) ?
    Ciao!