HA-Proxy auf pfSense, Port 443 weitergeben ohne Zerifikat im Frontend
Hallo zusammen,
ich habe bei einem Freund ein pfSense-Setup mit HA-Proxy. Da am WAN-Interface eine IPv4 anliegt und ich mehrere interne Hosts per HTTPS erreichen möchte habe ich den HA-Proxy eingerichtet (mit einem Shared-Frontend). Die ankommenden Anfragen werden aufgrund der aufgerufenen URL (host01.lan.example.de) ausgwertet (im Frontend) und über das zugeordnete Backend auf den passenden Host geleitet. Der DNS-Eintrag beim Domainhoster für host01.lan.example.de muss natürlich passen
Das funktioniert auch alles. Die LE-Zertifikate liegen auf den Zielsystemen. Diese erreiche ich unter dem DNS-Namen iwe er beim Provider eingetragen ist auch aus dem LAN: https://host01.lan.example.de
Warum muss ich die LE-Zertifikate nochmal auf der pfSense haben und sie im Frontend zuordnen? Lässt sich das nicht so konfigurieren dass der HA-Proxyx die Anfragen auf 443 annimmt, wie gehabt die URL auswertet und auf das Zielsystem auf 443 weiterleitet. Also so wie es eine Portweiterleitung macht nur eben für mehrerer Zielsysteme? Aud dem Zielsystem ist ja ein korrekt/gültiges Zertifikat.
Ohne das sich der HA-Proxy in die Verschlüsselung "einmischt" ?
Beste Grüße
pixel24
ich habe bei einem Freund ein pfSense-Setup mit HA-Proxy. Da am WAN-Interface eine IPv4 anliegt und ich mehrere interne Hosts per HTTPS erreichen möchte habe ich den HA-Proxy eingerichtet (mit einem Shared-Frontend). Die ankommenden Anfragen werden aufgrund der aufgerufenen URL (host01.lan.example.de) ausgwertet (im Frontend) und über das zugeordnete Backend auf den passenden Host geleitet. Der DNS-Eintrag beim Domainhoster für host01.lan.example.de muss natürlich passen
Das funktioniert auch alles. Die LE-Zertifikate liegen auf den Zielsystemen. Diese erreiche ich unter dem DNS-Namen iwe er beim Provider eingetragen ist auch aus dem LAN: https://host01.lan.example.de
Warum muss ich die LE-Zertifikate nochmal auf der pfSense haben und sie im Frontend zuordnen? Lässt sich das nicht so konfigurieren dass der HA-Proxyx die Anfragen auf 443 annimmt, wie gehabt die URL auswertet und auf das Zielsystem auf 443 weiterleitet. Also so wie es eine Portweiterleitung macht nur eben für mehrerer Zielsysteme? Aud dem Zielsystem ist ja ein korrekt/gültiges Zertifikat.
Ohne das sich der HA-Proxy in die Verschlüsselung "einmischt" ?
Beste Grüße
pixel24
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41378589424
Url: https://administrator.de/contentid/41378589424
Ausgedruckt am: 05.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
Passthrough Mode mit SNI Auswertung is your friend
Doch kannst du, beschäftige dich einfach mal damit was "SSL Offloading" bedeutet dann weißt du auch welche Häkchen du setzen musst ...
Falls du morgen Abend noch nicht selbst drauf gekommen bist, poste ich es dir, aber hab doch erst selbst etwas Spaß 😁.
In der haproxy.cfg steht ein Hinweis man soll die Datei nicht manuell bearbeiten.
Für Ergänzungen gibt es die Advanced Section in der GUI, da brauchst du nicht manuell mit hantieren.Falls du morgen Abend noch nicht selbst drauf gekommen bist, poste ich es dir, aber hab doch erst selbst etwas Spaß 😁.