pixel24
Goto Top

HA-Proxy auf pfSense, Port 443 weitergeben ohne Zerifikat im Frontend

Hallo zusammen,

ich habe bei einem Freund ein pfSense-Setup mit HA-Proxy. Da am WAN-Interface eine IPv4 anliegt und ich mehrere interne Hosts per HTTPS erreichen möchte habe ich den HA-Proxy eingerichtet (mit einem Shared-Frontend). Die ankommenden Anfragen werden aufgrund der aufgerufenen URL (host01.lan.example.de) ausgwertet (im Frontend) und über das zugeordnete Backend auf den passenden Host geleitet. Der DNS-Eintrag beim Domainhoster für host01.lan.example.de muss natürlich passen

Das funktioniert auch alles. Die LE-Zertifikate liegen auf den Zielsystemen. Diese erreiche ich unter dem DNS-Namen iwe er beim Provider eingetragen ist auch aus dem LAN: https://host01.lan.example.de

Warum muss ich die LE-Zertifikate nochmal auf der pfSense haben und sie im Frontend zuordnen? Lässt sich das nicht so konfigurieren dass der HA-Proxyx die Anfragen auf 443 annimmt, wie gehabt die URL auswertet und auf das Zielsystem auf 443 weiterleitet. Also so wie es eine Portweiterleitung macht nur eben für mehrerer Zielsysteme? Aud dem Zielsystem ist ja ein korrekt/gültiges Zertifikat.

Ohne das sich der HA-Proxy in die Verschlüsselung "einmischt" ?

Beste Grüße
pixel24

Content-ID: 41378589424

Url: https://administrator.de/contentid/41378589424

Ausgedruckt am: 05.11.2024 um 19:11 Uhr

12168552861
12168552861 18.03.2024 aktualisiert um 10:54:07 Uhr
Goto Top
pixel24
pixel24 18.03.2024 um 21:54:11 Uhr
Goto Top
Sehe ich es richtig dass ich das nicht im Web-Frontend konfigurieren kann.

In der haproxy.cfg steht ein Hinweis man soll die Datei nicht manuell bearbeiten.
12168552861
12168552861 18.03.2024 aktualisiert um 22:28:41 Uhr
Goto Top
Zitat von @pixel24:

Sehe ich es richtig dass ich das nicht im Web-Frontend konfigurieren kann.
Doch kannst du, beschäftige dich einfach mal damit was "SSL Offloading" bedeutet dann weißt du auch welche Häkchen du setzen musst ...
In der haproxy.cfg steht ein Hinweis man soll die Datei nicht manuell bearbeiten.
Für Ergänzungen gibt es die Advanced Section in der GUI, da brauchst du nicht manuell mit hantieren.

Falls du morgen Abend noch nicht selbst drauf gekommen bist, poste ich es dir, aber hab doch erst selbst etwas Spaß 😁.
pixel24
pixel24 21.03.2024 um 14:24:25 Uhr
Goto Top
Ich werde mir das Thema genauer anschauen und versuche es hin zu bekommen. Bevor ich in die falsche Richtung gehe noch ein paar Details:

Die Konstellation um die es gerade geht ist der Jellyfin-Server. Diesen habe ich gemäß der Dokumentation inkl auf der gleichen Maschine laufendem NGINX aufgesetzt. Letztere nimmt die Anfragen auf 443 entgegen, hat gültige Zertifikate und mappt die Anfrage auf 8092 um. Das funktioniert auch ohne Probleme.

Mache ich an der pfSene ein Portforwarding mit TCP/UDP auf den Jellyfinserver läuft alles flott (von extern). Mache ich das Portforwarding raus und mache es mit dem HA-Proxy in der Form dass ich die ankommende Anfrage im Frontend entgegen nehme, mit dem gültigen Zertifikat aussatte und im Frontend an den Jellyfin-Server weiter gebe ist es von extern extrem langsam bis unbedienbar.

Ich habe bereits ein wenig recherchiert aber anscheinden ist es nicht so einfach umzusetzen (evtl. auch gar nicht) dass der HA-Proxy das genauso weitergibt (TCP/UDP) wie es die Portfreigabe tut.

Mich würde interessieren ob es überhaupt möglich ist was ich da vorhabe. Dann setze ich mich da nächste Woche dran.
pixel24
pixel24 21.03.2024 um 14:44:18 Uhr
Goto Top
ok, vergiss das mit UDP. Ich habe zum testen HA-Proxy aus, Portweiterleitung nur TCP, pfSense neu gestartet (hätte ich auch früher drauf kommen könne). Damit läuft die Jellyfin-App von extern auch flott. Es liegt also spezifisch an mein HA-Proxy-Konfiguration.
pixel24
pixel24 26.03.2024 um 17:05:55 Uhr
Goto Top
So, durch drei Tage JGA hat sich das Projekt leicht verzögert.

Habe es mit ssl / https (TCP Mode) hinbekommen sodass die pfSense sich aus der Verschlüsselung raus hält. Geschwindigkeit in Jellyfin ist nun auch wieder super.