3
PfSense - Routingthema LAN über pfSense to LAN in Kombination mit HAProxy + SSL
Moin!
Vermutlich für Euch Profis eine ganz einfache Sache aber ich weiß nicht wonach ich genau suchen soll ;)
Folgendes:
Ich habe eine pfSense auf der ein HAProxy läuft um z.B. vom WAN eingehende HTTPS Requests an einen HTTP Server im LAN weiter zu leiten. Dazu ist auf der pfSense / HAProxy alles schick mit SSL konfiguriert und ich komme auch von extern ohne Fehler auf die angeforderte WebSite.
Wenn ich die selbe URL nun vom LAN aus aufrufe, dann antwortet die pfSense mit ihrem eigenen self signed Zertifikat gefolgt von einer "potential rebind" warnungs pfsense website.
Wie muss ich das richtig konfigurieren damit ich logischerweise am Ende über die URL via HAProxy mit SSL auf den Server im LAN komme UND natürlich will ich auch noch über pfSense-IP:443 auf meine pfSense selbst kommen. Ich hadere gerade etwas mit self try & error damit ich mich nicht selber aussperre wenn ich 443 von der pfSense auf dem LAN "irgendwie umbiege" auf meinen Server im LAN....
Über einen kurzen Schubs in die richtige Richtung würde ich mich freuen!
Thx...
Vermutlich für Euch Profis eine ganz einfache Sache aber ich weiß nicht wonach ich genau suchen soll ;)
Folgendes:
Ich habe eine pfSense auf der ein HAProxy läuft um z.B. vom WAN eingehende HTTPS Requests an einen HTTP Server im LAN weiter zu leiten. Dazu ist auf der pfSense / HAProxy alles schick mit SSL konfiguriert und ich komme auch von extern ohne Fehler auf die angeforderte WebSite.
Wenn ich die selbe URL nun vom LAN aus aufrufe, dann antwortet die pfSense mit ihrem eigenen self signed Zertifikat gefolgt von einer "potential rebind" warnungs pfsense website.
Wie muss ich das richtig konfigurieren damit ich logischerweise am Ende über die URL via HAProxy mit SSL auf den Server im LAN komme UND natürlich will ich auch noch über pfSense-IP:443 auf meine pfSense selbst kommen. Ich hadere gerade etwas mit self try & error damit ich mich nicht selber aussperre wenn ich 443 von der pfSense auf dem LAN "irgendwie umbiege" auf meinen Server im LAN....
Über einen kurzen Schubs in die richtige Richtung würde ich mich freuen!
Thx...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 663180
Url: https://administrator.de/contentid/663180
Printed on: April 27, 2024 at 02:04 o'clock
3 Comments
Latest comment
gefolgt von einer "potential rebind" warnungs pfsense website.
Der Klassiker... Hairpin NAT bzw. NAT Reflection:https://wiki.mikrotik.com/wiki/Hairpin_NAT
Kannst du in den Advanced Settings der pfSense deaktivieren.
https://docs.netgate.com/pfsense/en/latest/nat/reflection.html
1
Moin,
den Port für das pfSense-Interface könntest du doch auch einfach ändern... Die GUI braucht ja nicht zwingend den Standard-Port...
VG
den Port für das pfSense-Interface könntest du doch auch einfach ändern... Die GUI braucht ja nicht zwingend den Standard-Port...
VG
1
Nat Reflection - das hat mir gefehlt. Ich war auf dem Trip ein zweites Frontend für HAProxy anzulegen - aber so ist's wohl korrekt. Vielen Dank für den Schubs! Ich habe das "NAT Reflection mode for port forwards" auf "disabled" gestellt - die Haken für "Enable NAT Reflection for 1:1 NAT" und "Enable automatic outbound NAT for Reflection" waren und sind an... so scheint's jetzt zu gehen!
Der andere Tip mit dem anderen Port für die pfSense würde vermutlich auch gehen - man müsste dann halt sehen was ich an Forwardings noch benötige..
Der andere Tip mit dem anderen Port für die pfSense würde vermutlich auch gehen - man müsste dann halt sehen was ich an Forwardings noch benötige..