Pfsense - HAProxy - https

Hallo,

ich habe zwei virtuelle Maschinen: 1x pfsense Firewall, 1x Windows Server 2019

Am Windows Server 2019 läuft ein Webserver: http://domain.local bzw. https://domain.local
Für https habe ich ein selbst-signiertes Zertifikat am Server erstellt.

Ich möchte nun von meinem Notebook die Website, die am virtuellen Windows Server 2019 läuft, erreichen über den pfsense HAProxy.

Für http funktioniert das ohne Probleme (habe in der hosts Datei auf meinem Notebook die domain mit IP hinterlegt), ich kann die Seite im Browser aufrufen.

Rufe ich die Seite jedoch über https auf, kommt: 503 Service Unavailable

Es scheint also am selbst signierten Zertifkat zu liegen. Ist in meinem Fall unbeding ein anderes Zertifikat nötig oder gibt es da einen Workaround?

Lg und Danke

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 5721659656

Url: https://administrator.de/contentid/5721659656

Ausgedruckt am: 23.11.2024 um 16:11 Uhr

8 Kommentare

Neuester Kommentar

Du musst noch im HAProxy das Cert hinterlegen (SSL Off-Loading), oder besser gleich über das ACME Paket eins erstellen lassen und einbinden.

https://www.youtube.com/watch?v=gVOEdt-BHDY

Gruß Spec

Danke für deine Antwort!
Folgendes Zertifikat habe ich aber im https Frontend hinterlegt:
Was passt da nicht?

Post mal deine HAProxy Front- und Backend Config für 443.

Frontend:

Listen address: WAN address (IPv4)
Port 443
SSL Offloading aktiv

Type: http / https (offloading)

Access Control lists:
Name: acl1
Hosts starts with: domain.local

Actions:
Use Backend
Condition acl names: acl1
backend: Name des unten angeführten Backends

Advances pass thru:
http-response set-header X-Xss-Protection 1;\ mode=block
http-response set-header X-Content-Type-Options nosniff
http-response set-header X-Robots-Tag noindex
http-response set-header X-Frame-Options SAMEORIGIN
http-response set-header Referrer-Policy same-origin

Certifiacte:
das Zertifikat das ich vorhin gesendet habe ist hier ausgewählt
Add ACL for certificate Subject Alternative Names ausgewählt

Advances ssl options:
force-tlsv12 ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Backend:
Address: 192.168.8.10 (IP des internen Servers) Port: 443 Encrypt (SSL): yes SSL checks: no

Health check method: Basic

2 Sachen:

1.
Access Control lists:
Name: acl1
Hosts starts with: domain.local

mach mal

Access Control lists:
Name: acl1
Hosts matches: domain.local

und

2.
kann die pfSense domain.local auflösen und wieso nicht domain.tld?

Ich schätze mal du hast hier ein DNS/Certname Konflikt.

Schau dir mal die Logs unter Status/Package Logs/haproxy an.

Gruß Spec

Danke!

1. Hab die Einstellung auf "Host Matches geändert"

2. Ja pfSense kann domain.local auflösen. Über http ist es ja kein Problem.

In den Systemlogs finde ich bzg. Destination Port 443 keine Einträge. Ich komm ja auch drauf, nur wird halt nicht der Inhalt angezeigt, sondern die FM:
503 Service Unavailable
No server is available to handle this request.

Bzgl. Zertifikat: Das selbst signierte Zertifikat hab ich auf dem Win Serv 2019 erstellt in den IIS Einstellungen.

Hinweise zur Verwendung der Domäne .local in DNS und mDNS

Ich weiss nicht wie es bei pfsense ist, bei OPNsense kann man den HAproxy mitgeben, dass er beim Zugriff über https die Zertifikarte der Zielrechner ignoriert. Es reicht, wenn nur der Client ein Zertifikat sieht. Das geht bestimmt bei pfsense auch.

Frage Linux Firewall Windows Server

Mehr von maxi1998

VPN-Verbindung- Internetgeschwindigkeit extrem gedrosseltmaxi1998 - 3 Kommentare

Packet Tracer - Layer 3 Switch VLANsmaxi1998 - 4 Kommentare

Roaming Profile - Ordnerumleitungmaxi1998 - 8 Kommentare

Firewall - Router - DMZmaxi1998 - 13 Kommentare

Heiß diskutiert