PfSense HAProxy icm een VPN tunnel

woensdag 15 mei 2019 11:40

Acties:

0 Henk 'm!

Topicstarter

Ik heb al heel veel gegoogled maar niet het antwoord kunnen vinden, Allereerst mijn situatie:

- ESXi server met diverse servers incl PfSense VM
- VPN tunnel naar hostingprovider omdat ik via ziggo geen vast IP adres heb, mijn domeinnaam is gekoppeld aan deze tunnel

Ik draai een aantal servers die vanaf buiten bereikbaar moeten zijn, waaronder mijn mailserver. Dat werkt allemaal prima via de tunnel. Maar ik wil e.e.a. beter regelen en afschermen met behulp van HAProxy zodat ik via de URL op de juiste server uit kom en via 443. In PfSense heb ik de volgende interfaces:

- LAN
- WAN (ziggo modem)
- VPN (vaste tunnel naar hoster via WAN)

Ik ben wat aan het testen geweest en krijg de proxy wel werkend op WAN, maar ik kan in de frontend bij listen address niet kiezen voor VPN, heb al geprobeerd om het virtual IP op te geven van de VPN, maar dan kan HAproxy niet binden met 80 (als testpoort).

Bedoeling is dus dat HAProxy luistert naar de VPN. Is dat eigenlijk wel mogelijk?

woensdag 15 mei 2019 11:51

Acties:

0 Henk 'm!

CyBeR

💩

Ja, maar je moet wellicht '*' opgeven (alle interfaces), evt. met een alternatieve poort. Dit is overigens geen HAProxy probleem maar een probleem in de interface die je gebruikt om dat in te stellen.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 15 mei 2019 12:12

Acties:

0 Henk 'm!

Stimpy68

Topicstarter

@CyBeR Ja, het is misschien een aparte config die ik heb en dat maakt het wat lastiger

Dat werkt inderdaad! $_/-\o_$ (soms is het zo simpel, maar dacht blijkbaar even niet verder).

Nu even verder testen om 443 aan de gang te krijgen met SSL offloading....

woensdag 15 mei 2019 13:35

Acties:

0 Henk 'm!

Stimpy68

Topicstarter

Nu ik poort 80 werkend heb icm LetsEncrypt wil ik 443 aan gaan pakken, ik gebruik MailCow als mailserver, als je naar de URL gaat van de mailserver, mail.server.com bijv kom je op de admin interface uit ipv van webmail client, dat is leuk voor intern, maar extern wil je deze niet open hebben en zo heb je nog een paar webpagina's van MailCow die je niet naar buiten open wilt hebben.
Een request vanaf de tunnel naar mail.server.com moet dus terechtkomen op mail.server.com/SoGo (liefst met SSL offloading in pfsense, zodat deze alles regelt).
Als ik nu bedenk dat de FrontEnd in HAProxy luistert op "*" dan ga ik er van uit dat ik ook intern dus niet meer op die andere interfaces ga komen (tenzij ik ip adres gebruik), klopt dat?

Ben redelijk thuis in netwerken, maar (reverse) proxies zijn dingen die voor mij een beetje lastig zijn, zeker in combinatie met mijn setup

woensdag 15 mei 2019 13:41

Acties:

0 Henk 'm!

BSOD baby

Je kunt via HAproxy gewoon zelf acties (ACL's) maken voor zulke doorverwijzingen.
Zo kun je instellen dat een request vanuit IP x verwezen kan worden naar domein X etc.
Ook is SSL offloading geen probleem.

Handigste lijkt me om alle requests op port 80 door te verwijzen naar HTTPS:
https://www.thawes.com/20...sense-haproxy-http-https/

Ik zou je aanraden om de officiële documentatie door te nemen, daar staat bijna alles in

donderdag 16 mei 2019 21:42

Acties:

0 Henk 'm!

Stimpy68

Topicstarter

Ik heb nu vrijwel alles voor elkaar, domeinnamen komen uit op de juiste interne servers met SSL offloading

Zit nu nog met 1 ding waar ik niet uit kom, en of het eigenlijk wel mogelijk is, ben al 2 dagen aan het googlen, maar kan niet echt een duidelijk antwoord vinden.

Ik gebruik MailCow suite als mailserver, deze komt standaard uit op de admin pagina van de suite en niet op de webmail client (/SOGo), tevens zijn er nog wat andere pagina's die ik van buiten niet benaderbaar wil hebben. Ergo: als ik naar https://mail.domein.x ga, dan moet ik uitkomen op mailserver.intern/SOGo/ en niet op de admin pagina.

Binnen MailCow zelf is dit lastig te regelen, dus wilde ik het via HAProxy regelen.

donderdag 16 mei 2019 22:09

Acties:

0 Henk 'm!

CyBeR

💩

Dat kan HAProxy prima, de vraag is alleen of jouw configuratieinterface 't kan instellen.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 17 mei 2019 12:59

Acties:

0 Henk 'm!

Stimpy68

Topicstarter

@CyBeR Dat weet ik ook nog niet, ben er inmiddels achter dat je het als een rewrite action in de backend moet neerzetten? Met een regular expression , maar dat is not my cup of tea

vrijdag 17 mei 2019 17:02

Acties:

0 Henk 'm!

Frogmen

Vraagje vindt het op zich een leuk setup hoor, maar even de realiteit, hoe vaak is jouw IP adres van Ziggo in al die tijd al gewijzigd?
Ik draai al heel wat tijd servers ook op andere plaatsen maar heb er nog nooit last van gehad. Nog sterker na een verhuizing (had Telfort toen) binnen dezelfde stad was mijn IP adres nog steeds hetzelfde.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zaterdag 18 mei 2019 10:50

Acties:

0 Henk 'm!

Stimpy68

Topicstarter

@Frogmen Op zich heb je gelijk, is pas een aantal malen gebeurd, maar ik doe het ook omdat Ziggo poorten blokkeert, ik wil gewoon de vrijheid hebben om te doen wat ik wil zonder de beperkingen van Ziggo, en tuurlijk zijn er workarounds. En het werkt gewoon prima. Ieder zijn keus toch?

zaterdag 18 mei 2019 11:42

Acties:

0 Henk 'm!

Frogmen

Snap ik maar heb nog nooit gemerkt dat Ziggo poorten blokkeert (weet van KPN in het verleden poort 25 en misschien doet Ziggo dat nog maar verder niet. Weet wel dat het jet meer moeite kost om je mailserver vooral ook trusted tekrijgen zodat je uitgaande mail niet geblokkeerd wordt, maar dat staat los van je provider.
Anders gezegd ik had een andere weg bewandelt dan een VPN tunnel, vindt het geen mooie oplossing, maar dat is slecht een mening.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

Pagina: 1

Reageer

Onderwerpen