theoberlin
Goto Top

HaProxy PfSense

Hallo zusammen,

ich habe aktuell als Reverse Proxy den SQUID laufen.

Jetzt habe ich eine Webanwendung auf einem IIS die sich mit dem Squid Reverse Proxy nicht verträgt (Error 302, Loginform wird andauernd neu geladen).

Daraufhin wollte ich den HAProxy mal ausprobieren, komme aber auf auf keinen grünen Zweig. Vielleicht könnte jemand sagen wo mein Problem liegt.

1. FW Regel Allow * to "virtuelle WAN IP" (Das Setup ist ein CARP Cluster)
2. Backend angelegt TEST

Serverlist:
10.10.10.10 Port 80
10.10.10.10 Port 443 (SSL)

3. Frontend erstellt


External Address
WAN IP Port 80
WAN IP Port 443

ACL
Host matches beispiel.domain.de

Default Backend TEST

Auf dem IIS Server findet ein Rewrite von HTTP zu HTTPS statt. Rufe ich die HTTP Seite auf wird auch auf die HTTPS Seite umgeleitet. Dann bleibt aber alles weiß.

Manche Browser geben die Meldung auf, dass keine Sichere Verbindung hergestellt wurde. Ich bin mir also nicht mal sicher, dass ich in der HTTPS Abfrage wirklich auf dem IIS lande.

Vielleicht gibt es hier ja einen Denkanstoß..

lg
Theo

Content-Key: 355450

Url: https://administrator.de/contentid/355450

Printed on: June 21, 2024 at 19:06 o'clock

Member: Dani
Dani Nov 20, 2017 at 16:27:47 (UTC)
Goto Top
Moin,
bitte prüfe deine Konfiguration mit diesem Blogartikel. Dieser hat bei mir im August wunderbar funktioniert.


Gruß,
Dani
Member: theoberlin
theoberlin Nov 21, 2017 at 15:27:08 (UTC)
Goto Top
Tach Dani,

genau diesen Guide habe ich genutzt. Leider lässt sich das anscheinend nicht auf den https Zugriff übertragen. Ich habe noch eine Weile gesucht und fahre jetzt mit folgenden Einstellungen:

1. Separate Frontends für http/https Zugriff

- Das SSL Frontend ist Type ssl/https. Die ACL basiert auf der Server Name Extension.
- Das HTTP Frontend ist Type http. Die ACL basiert auf dem Host

2. Da das Frontend ssl/https anscheinend die X Forward Option nicht unterstützt, musste ich in den Backends "Use Client-IP to backend servers" nutzen. Leider läuft dann der process auf root. Da ich für Logs aber die Client IP benötige, komm ich da wohl nicht drumrum. Achtung hier....wie dort groß geschrieben ist es nach dieser Änderung nicht mehr möglich den Server von woanders auf die verwendeten Ports anzusprechen. Ich habe im IIS zwei zusätzliche Bindungen eingerichtet und entsprechend andere Ports im HAProxy definiert.

Ist dann wohl gelöst.

lg
Theo
Member: horstvogel
horstvogel Dec 29, 2018 updated at 15:54:06 (UTC)
Goto Top
Hallo der Beitrag ist schon etwas älter, leider funktioniert der Link oben von Dani nicht.

Der HA Proxy läuft, ich kann auch meinen Server ansprechen, aber bei mir lauschen die auf meinedomain.de/nextcloud und meinedomain.de/tomcat und beide auf dem Port 443. Daher kann ich zur Zeit nur jeweils einen zur Zeit ansprechen, was muss ich hier beim Frontend einstellen?
Ziel ist es die Zertifikate aus der PFsense zu nutzen.


danke! der Horst

Wie würde das bei Haproxy aussehen?
beim Squid habe ich immer ^https://meinedomain.de/nextcloud/.*$ genutzt.

1 (2)