4
Konfiguration HAProxy PFSense - mehrere Dienste durch verschiedene Ports bei selber IP anbieten
Hallo Zusammen,
ich versuche grade den EMM-Server in der lokalen Installation der Firma AppTec zum laufen zu bringen.
Dazu müssen zumindest für Android Geräte die Ports 443, 8080 und 8081 aus dem Internet erreichbar sein, um Smartphones einzuspielen.
Kurze Infos zum Aufbau: Die PFSense agiert als Firewall und Router, HAProxy läuft als Dienst ebenfalls mit, der EMM-Server steht virtualisiert in der DMZ und läuft auf dem Image was AppTec mitliefert, basierend auf Debian9. Der Host ist per DNS-Namen erreichbar, der auf die WAN-IP der PFSense zeigt. Ebenfalls wurde ein Zertifikat mit dem hinterlegten DNS-Eintrag bei einem Zertifikatsaussteller gekauft.
Bei der Konfiguration mussten lediglich die Zertifikate hochgeladen werden und der Lizenzschlüssel, ebenfalls hat der Server eine statische IP aus dem Netz der DMZ bekommen.
Die entsprechenden Ports wurden auf der WAN-Schnittstelle natürlich geöffnet und per Alias als Regel hinterlegt.
Da später noch einige andere Dienste auf 443 angeboten werden sollten, klang es nach Recherche am vernünftigsten dies mit HAProxy zu regeln.
Die Installation vom HAProxy funktionierte hierbei auf den ersten Blick recht erfolgreich, das Problem ist leider nur, dass die Dienste auf den Ports 8080 und 8081 nicht erreichbar sind. 443 klappt, das Webinterface des Servers ist aus dem Internet erreichbar.
Nach zahlreichen Konfigurationen und Änderungen ist es mir leider noch immer nicht gelungen die benötigten Ports 8080 und 8081 erreichbar zu machen und hoffe hier auf Hilfe
Der DNS-Name ist natürlich im Screenshot geändert worden und es sind nur jene für die Konfiguration des Frontends und der Backends für 443 und 8080 hinterlegt.
Ich habe schon mehrere Konfigurationen getestet (mehrere Frontends/Backends), jedoch leider alles ohne Erfolg
Besten Dank im Voraus für jede Hilfe.
Als Beiwerk noch die Konfiguration des HAProxy:
Frontend:
Backends:
Für 8080:
Für 443:
ich versuche grade den EMM-Server in der lokalen Installation der Firma AppTec zum laufen zu bringen.
Dazu müssen zumindest für Android Geräte die Ports 443, 8080 und 8081 aus dem Internet erreichbar sein, um Smartphones einzuspielen.
Kurze Infos zum Aufbau: Die PFSense agiert als Firewall und Router, HAProxy läuft als Dienst ebenfalls mit, der EMM-Server steht virtualisiert in der DMZ und läuft auf dem Image was AppTec mitliefert, basierend auf Debian9. Der Host ist per DNS-Namen erreichbar, der auf die WAN-IP der PFSense zeigt. Ebenfalls wurde ein Zertifikat mit dem hinterlegten DNS-Eintrag bei einem Zertifikatsaussteller gekauft.
Bei der Konfiguration mussten lediglich die Zertifikate hochgeladen werden und der Lizenzschlüssel, ebenfalls hat der Server eine statische IP aus dem Netz der DMZ bekommen.
Die entsprechenden Ports wurden auf der WAN-Schnittstelle natürlich geöffnet und per Alias als Regel hinterlegt.
Da später noch einige andere Dienste auf 443 angeboten werden sollten, klang es nach Recherche am vernünftigsten dies mit HAProxy zu regeln.
Die Installation vom HAProxy funktionierte hierbei auf den ersten Blick recht erfolgreich, das Problem ist leider nur, dass die Dienste auf den Ports 8080 und 8081 nicht erreichbar sind. 443 klappt, das Webinterface des Servers ist aus dem Internet erreichbar.
Nach zahlreichen Konfigurationen und Änderungen ist es mir leider noch immer nicht gelungen die benötigten Ports 8080 und 8081 erreichbar zu machen und hoffe hier auf Hilfe
Der DNS-Name ist natürlich im Screenshot geändert worden und es sind nur jene für die Konfiguration des Frontends und der Backends für 443 und 8080 hinterlegt.
Ich habe schon mehrere Konfigurationen getestet (mehrere Frontends/Backends), jedoch leider alles ohne Erfolg
Besten Dank im Voraus für jede Hilfe.
Als Beiwerk noch die Konfiguration des HAProxy:
Frontend:
Backends:
Für 8080:
Für 443:
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 595240
Url: https://administrator.de/contentid/595240
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
ohne jetzt näher einzusteigen. Wieso muss 8080 uns 8081 auch über HaProxy laufen? Oben schreibst du, dass nur port 443 von mehreren Diensten genutzt werden soll.
Gruß
Spirit
ohne jetzt näher einzusteigen. Wieso muss 8080 uns 8081 auch über HaProxy laufen? Oben schreibst du, dass nur port 443 von mehreren Diensten genutzt werden soll.
Gruß
Spirit
Hi,
Ich dachte ehrlich gesagt, dass es so am einfachsten wäre, um später leichter bei weiteren Konfigurationen den Überblick zu behalten.
Wenn du da ne andere Idee oder Vorgehensweise hast, bin ich gespannt. Meinst du eventuell eine Portweiterleitung?
Mich würde trotzdem auch interessieren wie das mit dem HAPROXY ginge, da ich gerne dazu lerne.
Ich dachte ehrlich gesagt, dass es so am einfachsten wäre, um später leichter bei weiteren Konfigurationen den Überblick zu behalten.
Wenn du da ne andere Idee oder Vorgehensweise hast, bin ich gespannt. Meinst du eventuell eine Portweiterleitung?
Mich würde trotzdem auch interessieren wie das mit dem HAPROXY ginge, da ich gerne dazu lerne.
Hi,
ist nach einem Jahr vielleicht eine Lösung des Problems gefunden worden? Stehe gerade vor der gleichen Aufgabe.
Beste Grüße
ist nach einem Jahr vielleicht eine Lösung des Problems gefunden worden? Stehe gerade vor der gleichen Aufgabe.
Beste Grüße
Hallo @Siegfried36,
ja, die Lösung ist gefunden und lag an mangelnden Netzwerkkenntnissen und der Arbeitsweise eines HA Proxys. Einen HAProxy verwendest du insbesondere sofern du mehrere HTTP-, oder HTTPS-Dienste von außen erreichbar machen willst, die den selben Port nutzen, jedoch nur eine öffentliche IP-Adresse zur Verfügung stehen hast. Selbstverständlich sind noch andere Szenarien wie beispielsweise Loadbalancing denkbar sowie bestimmte Sicherheitsmechanismen mit denen man filtern und schützen will.
Lange Rede kurzer Sinn: Die in diesem Falle weiteren Dienste auf den Ports 8080 und 8081 waren Ports, die zur Gerätekonfiguration zwar per HTTP kommunizierten jedoch in keinster Weise auf dem HAProxy laufen mussten, sondern per Portweiterleitung direkt auf den MDM-Server weitervermittelt werden konnten, da sie ja anderen Ports genutzt haben.
LG
ja, die Lösung ist gefunden und lag an mangelnden Netzwerkkenntnissen und der Arbeitsweise eines HA Proxys. Einen HAProxy verwendest du insbesondere sofern du mehrere HTTP-, oder HTTPS-Dienste von außen erreichbar machen willst, die den selben Port nutzen, jedoch nur eine öffentliche IP-Adresse zur Verfügung stehen hast. Selbstverständlich sind noch andere Szenarien wie beispielsweise Loadbalancing denkbar sowie bestimmte Sicherheitsmechanismen mit denen man filtern und schützen will.
Lange Rede kurzer Sinn: Die in diesem Falle weiteren Dienste auf den Ports 8080 und 8081 waren Ports, die zur Gerätekonfiguration zwar per HTTP kommunizierten jedoch in keinster Weise auf dem HAProxy laufen mussten, sondern per Portweiterleitung direkt auf den MDM-Server weitervermittelt werden konnten, da sie ja anderen Ports genutzt haben.
LG
