maxi1998
Goto Top

Pfsense - HAProxy - https

Hallo,

ich habe zwei virtuelle Maschinen: 1x pfsense Firewall, 1x Windows Server 2019

Am Windows Server 2019 läuft ein Webserver: http://domain.local bzw. https://domain.local
Für https habe ich ein selbst-signiertes Zertifikat am Server erstellt.

Ich möchte nun von meinem Notebook die Website, die am virtuellen Windows Server 2019 läuft, erreichen über den pfsense HAProxy.

Für http funktioniert das ohne Probleme (habe in der hosts Datei auf meinem Notebook die domain mit IP hinterlegt), ich kann die Seite im Browser aufrufen.

Rufe ich die Seite jedoch über https auf, kommt: 503 Service Unavailable

Es scheint also am selbst signierten Zertifkat zu liegen. Ist in meinem Fall unbeding ein anderes Zertifikat nötig oder gibt es da einen Workaround?

Lg und Danke

Content-ID: 5721659656

Url: https://administrator.de/contentid/5721659656

Ausgedruckt am: 01.11.2024 um 01:11 Uhr

spec1re
spec1re 29.01.2023 um 18:55:29 Uhr
Goto Top
Du musst noch im HAProxy das Cert hinterlegen (SSL Off-Loading), oder besser gleich über das ACME Paket eins erstellen lassen und einbinden.

https://www.youtube.com/watch?v=gVOEdt-BHDY

Gruß Spec
maxi1998
maxi1998 29.01.2023 um 19:21:46 Uhr
Goto Top
Danke für deine Antwort!
Folgendes Zertifikat habe ich aber im https Frontend hinterlegt:
Was passt da nicht?
certificate
spec1re
spec1re 29.01.2023 um 19:34:39 Uhr
Goto Top
Post mal deine HAProxy Front- und Backend Config für 443.
maxi1998
maxi1998 29.01.2023 um 19:50:59 Uhr
Goto Top
Frontend:

Listen address: WAN address (IPv4)
Port 443
SSL Offloading aktiv

Type: http / https (offloading)

Access Control lists:
Name: acl1
Hosts starts with: domain.local

Actions:
Use Backend
Condition acl names: acl1
backend: Name des unten angeführten Backends

Advances pass thru:
http-response set-header X-Xss-Protection 1;\ mode=block
http-response set-header X-Content-Type-Options nosniff
http-response set-header X-Robots-Tag noindex
http-response set-header X-Frame-Options SAMEORIGIN
http-response set-header Referrer-Policy same-origin

Certifiacte:
das Zertifikat das ich vorhin gesendet habe ist hier ausgewählt
Add ACL for certificate Subject Alternative Names ausgewählt

Advances ssl options:
force-tlsv12 ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256


Backend:

Address: 192.168.8.10 (IP des internen Servers) Port: 443 Encrypt (SSL): yes SSL checks: no

Health check method: Basic
spec1re
spec1re 29.01.2023 aktualisiert um 20:26:38 Uhr
Goto Top
2 Sachen:

1.
Access Control lists:
Name: acl1
Hosts starts with: domain.local

mach mal

Access Control lists:
Name: acl1
Hosts matches: domain.local

und

2.
kann die pfSense domain.local auflösen und wieso nicht domain.tld?

Ich schätze mal du hast hier ein DNS/Certname Konflikt.

Schau dir mal die Logs unter Status/Package Logs/haproxy an.

Gruß Spec
maxi1998
maxi1998 29.01.2023 um 20:42:51 Uhr
Goto Top
Danke!

1. Hab die Einstellung auf "Host Matches geändert"

2. Ja pfSense kann domain.local auflösen. Über http ist es ja kein Problem.

In den Systemlogs finde ich bzg. Destination Port 443 keine Einträge. Ich komm ja auch drauf, nur wird halt nicht der Inhalt angezeigt, sondern die FM:
503 Service Unavailable
No server is available to handle this request.


Bzgl. Zertifikat: Das selbst signierte Zertifikat hab ich auf dem Win Serv 2019 erstellt in den IIS Einstellungen.
aqui
aqui 29.01.2023 um 22:08:01 Uhr
Goto Top
NordicMike
NordicMike 30.01.2023 um 08:46:32 Uhr
Goto Top
Ich weiss nicht wie es bei pfsense ist, bei OPNsense kann man den HAproxy mitgeben, dass er beim Zugriff über https die Zertifikarte der Zielrechner ignoriert. Es reicht, wenn nur der Client ein Zertifikat sieht. Das geht bestimmt bei pfsense auch.