6
HA-Proxy auf pfSense, Port 443 weitergeben ohne Zerifikat im Frontend
Hallo zusammen,
ich habe bei einem Freund ein pfSense-Setup mit HA-Proxy. Da am WAN-Interface eine IPv4 anliegt und ich mehrere interne Hosts per HTTPS erreichen möchte habe ich den HA-Proxy eingerichtet (mit einem Shared-Frontend). Die ankommenden Anfragen werden aufgrund der aufgerufenen URL (host01.lan.example.de) ausgwertet (im Frontend) und über das zugeordnete Backend auf den passenden Host geleitet. Der DNS-Eintrag beim Domainhoster für host01.lan.example.de muss natürlich passen
Das funktioniert auch alles. Die LE-Zertifikate liegen auf den Zielsystemen. Diese erreiche ich unter dem DNS-Namen iwe er beim Provider eingetragen ist auch aus dem LAN: https://host01.lan.example.de
Warum muss ich die LE-Zertifikate nochmal auf der pfSense haben und sie im Frontend zuordnen? Lässt sich das nicht so konfigurieren dass der HA-Proxyx die Anfragen auf 443 annimmt, wie gehabt die URL auswertet und auf das Zielsystem auf 443 weiterleitet. Also so wie es eine Portweiterleitung macht nur eben für mehrerer Zielsysteme? Aud dem Zielsystem ist ja ein korrekt/gültiges Zertifikat.
Ohne das sich der HA-Proxy in die Verschlüsselung "einmischt" ?
Beste Grüße
pixel24
ich habe bei einem Freund ein pfSense-Setup mit HA-Proxy. Da am WAN-Interface eine IPv4 anliegt und ich mehrere interne Hosts per HTTPS erreichen möchte habe ich den HA-Proxy eingerichtet (mit einem Shared-Frontend). Die ankommenden Anfragen werden aufgrund der aufgerufenen URL (host01.lan.example.de) ausgwertet (im Frontend) und über das zugeordnete Backend auf den passenden Host geleitet. Der DNS-Eintrag beim Domainhoster für host01.lan.example.de muss natürlich passen
Das funktioniert auch alles. Die LE-Zertifikate liegen auf den Zielsystemen. Diese erreiche ich unter dem DNS-Namen iwe er beim Provider eingetragen ist auch aus dem LAN: https://host01.lan.example.de
Warum muss ich die LE-Zertifikate nochmal auf der pfSense haben und sie im Frontend zuordnen? Lässt sich das nicht so konfigurieren dass der HA-Proxyx die Anfragen auf 443 annimmt, wie gehabt die URL auswertet und auf das Zielsystem auf 443 weiterleitet. Also so wie es eine Portweiterleitung macht nur eben für mehrerer Zielsysteme? Aud dem Zielsystem ist ja ein korrekt/gültiges Zertifikat.
Ohne das sich der HA-Proxy in die Verschlüsselung "einmischt" ?
Beste Grüße
pixel24
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41378589424
Url: https://administrator.de/contentid/41378589424
Ausgedruckt am: 05.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
Passthrough Mode mit SNI Auswertung is your friend
1
Sehe ich es richtig dass ich das nicht im Web-Frontend konfigurieren kann.
In der haproxy.cfg steht ein Hinweis man soll die Datei nicht manuell bearbeiten.
In der haproxy.cfg steht ein Hinweis man soll die Datei nicht manuell bearbeiten.
Doch kannst du, beschäftige dich einfach mal damit was "SSL Offloading" bedeutet dann weißt du auch welche Häkchen du setzen musst ...
Falls du morgen Abend noch nicht selbst drauf gekommen bist, poste ich es dir, aber hab doch erst selbst etwas Spaß 😁.
In der haproxy.cfg steht ein Hinweis man soll die Datei nicht manuell bearbeiten.
Für Ergänzungen gibt es die Advanced Section in der GUI, da brauchst du nicht manuell mit hantieren.Falls du morgen Abend noch nicht selbst drauf gekommen bist, poste ich es dir, aber hab doch erst selbst etwas Spaß 😁.
Ich werde mir das Thema genauer anschauen und versuche es hin zu bekommen. Bevor ich in die falsche Richtung gehe noch ein paar Details:
Die Konstellation um die es gerade geht ist der Jellyfin-Server. Diesen habe ich gemäß der Dokumentation inkl auf der gleichen Maschine laufendem NGINX aufgesetzt. Letztere nimmt die Anfragen auf 443 entgegen, hat gültige Zertifikate und mappt die Anfrage auf 8092 um. Das funktioniert auch ohne Probleme.
Mache ich an der pfSene ein Portforwarding mit TCP/UDP auf den Jellyfinserver läuft alles flott (von extern). Mache ich das Portforwarding raus und mache es mit dem HA-Proxy in der Form dass ich die ankommende Anfrage im Frontend entgegen nehme, mit dem gültigen Zertifikat aussatte und im Frontend an den Jellyfin-Server weiter gebe ist es von extern extrem langsam bis unbedienbar.
Ich habe bereits ein wenig recherchiert aber anscheinden ist es nicht so einfach umzusetzen (evtl. auch gar nicht) dass der HA-Proxy das genauso weitergibt (TCP/UDP) wie es die Portfreigabe tut.
Mich würde interessieren ob es überhaupt möglich ist was ich da vorhabe. Dann setze ich mich da nächste Woche dran.
Die Konstellation um die es gerade geht ist der Jellyfin-Server. Diesen habe ich gemäß der Dokumentation inkl auf der gleichen Maschine laufendem NGINX aufgesetzt. Letztere nimmt die Anfragen auf 443 entgegen, hat gültige Zertifikate und mappt die Anfrage auf 8092 um. Das funktioniert auch ohne Probleme.
Mache ich an der pfSene ein Portforwarding mit TCP/UDP auf den Jellyfinserver läuft alles flott (von extern). Mache ich das Portforwarding raus und mache es mit dem HA-Proxy in der Form dass ich die ankommende Anfrage im Frontend entgegen nehme, mit dem gültigen Zertifikat aussatte und im Frontend an den Jellyfin-Server weiter gebe ist es von extern extrem langsam bis unbedienbar.
Ich habe bereits ein wenig recherchiert aber anscheinden ist es nicht so einfach umzusetzen (evtl. auch gar nicht) dass der HA-Proxy das genauso weitergibt (TCP/UDP) wie es die Portfreigabe tut.
Mich würde interessieren ob es überhaupt möglich ist was ich da vorhabe. Dann setze ich mich da nächste Woche dran.
ok, vergiss das mit UDP. Ich habe zum testen HA-Proxy aus, Portweiterleitung nur TCP, pfSense neu gestartet (hätte ich auch früher drauf kommen könne). Damit läuft die Jellyfin-App von extern auch flott. Es liegt also spezifisch an mein HA-Proxy-Konfiguration.
So, durch drei Tage JGA hat sich das Projekt leicht verzögert.
Habe es mit ssl / https (TCP Mode) hinbekommen sodass die pfSense sich aus der Verschlüsselung raus hält. Geschwindigkeit in Jellyfin ist nun auch wieder super.
Habe es mit ssl / https (TCP Mode) hinbekommen sodass die pfSense sich aus der Verschlüsselung raus hält. Geschwindigkeit in Jellyfin ist nun auch wieder super.
