3
HaProxy PfSense
Hallo zusammen,
ich habe aktuell als Reverse Proxy den SQUID laufen.
Jetzt habe ich eine Webanwendung auf einem IIS die sich mit dem Squid Reverse Proxy nicht verträgt (Error 302, Loginform wird andauernd neu geladen).
Daraufhin wollte ich den HAProxy mal ausprobieren, komme aber auf auf keinen grünen Zweig. Vielleicht könnte jemand sagen wo mein Problem liegt.
1. FW Regel Allow * to "virtuelle WAN IP" (Das Setup ist ein CARP Cluster)
2. Backend angelegt TEST
Serverlist:
10.10.10.10 Port 80
10.10.10.10 Port 443 (SSL)
3. Frontend erstellt
External Address
WAN IP Port 80
WAN IP Port 443
ACL
Host matches beispiel.domain.de
Default Backend TEST
Auf dem IIS Server findet ein Rewrite von HTTP zu HTTPS statt. Rufe ich die HTTP Seite auf wird auch auf die HTTPS Seite umgeleitet. Dann bleibt aber alles weiß.
Manche Browser geben die Meldung auf, dass keine Sichere Verbindung hergestellt wurde. Ich bin mir also nicht mal sicher, dass ich in der HTTPS Abfrage wirklich auf dem IIS lande.
Vielleicht gibt es hier ja einen Denkanstoß..
lg
Theo
ich habe aktuell als Reverse Proxy den SQUID laufen.
Jetzt habe ich eine Webanwendung auf einem IIS die sich mit dem Squid Reverse Proxy nicht verträgt (Error 302, Loginform wird andauernd neu geladen).
Daraufhin wollte ich den HAProxy mal ausprobieren, komme aber auf auf keinen grünen Zweig. Vielleicht könnte jemand sagen wo mein Problem liegt.
1. FW Regel Allow * to "virtuelle WAN IP" (Das Setup ist ein CARP Cluster)
2. Backend angelegt TEST
Serverlist:
10.10.10.10 Port 80
10.10.10.10 Port 443 (SSL)
3. Frontend erstellt
External Address
WAN IP Port 80
WAN IP Port 443
ACL
Host matches beispiel.domain.de
Default Backend TEST
Auf dem IIS Server findet ein Rewrite von HTTP zu HTTPS statt. Rufe ich die HTTP Seite auf wird auch auf die HTTPS Seite umgeleitet. Dann bleibt aber alles weiß.
Manche Browser geben die Meldung auf, dass keine Sichere Verbindung hergestellt wurde. Ich bin mir also nicht mal sicher, dass ich in der HTTPS Abfrage wirklich auf dem IIS lande.
Vielleicht gibt es hier ja einen Denkanstoß..
lg
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 355450
Url: https://administrator.de/contentid/355450
Printed on: April 18, 2024 at 18:04 o'clock
3 Comments
Latest comment
Moin,
bitte prüfe deine Konfiguration mit diesem Blogartikel. Dieser hat bei mir im August wunderbar funktioniert.
Gruß,
Dani
bitte prüfe deine Konfiguration mit diesem Blogartikel. Dieser hat bei mir im August wunderbar funktioniert.
Gruß,
Dani
Tach Dani,
genau diesen Guide habe ich genutzt. Leider lässt sich das anscheinend nicht auf den https Zugriff übertragen. Ich habe noch eine Weile gesucht und fahre jetzt mit folgenden Einstellungen:
1. Separate Frontends für http/https Zugriff
- Das SSL Frontend ist Type ssl/https. Die ACL basiert auf der Server Name Extension.
- Das HTTP Frontend ist Type http. Die ACL basiert auf dem Host
2. Da das Frontend ssl/https anscheinend die X Forward Option nicht unterstützt, musste ich in den Backends "Use Client-IP to backend servers" nutzen. Leider läuft dann der process auf root. Da ich für Logs aber die Client IP benötige, komm ich da wohl nicht drumrum. Achtung hier....wie dort groß geschrieben ist es nach dieser Änderung nicht mehr möglich den Server von woanders auf die verwendeten Ports anzusprechen. Ich habe im IIS zwei zusätzliche Bindungen eingerichtet und entsprechend andere Ports im HAProxy definiert.
Ist dann wohl gelöst.
lg
Theo
genau diesen Guide habe ich genutzt. Leider lässt sich das anscheinend nicht auf den https Zugriff übertragen. Ich habe noch eine Weile gesucht und fahre jetzt mit folgenden Einstellungen:
1. Separate Frontends für http/https Zugriff
- Das SSL Frontend ist Type ssl/https. Die ACL basiert auf der Server Name Extension.
- Das HTTP Frontend ist Type http. Die ACL basiert auf dem Host
2. Da das Frontend ssl/https anscheinend die X Forward Option nicht unterstützt, musste ich in den Backends "Use Client-IP to backend servers" nutzen. Leider läuft dann der process auf root. Da ich für Logs aber die Client IP benötige, komm ich da wohl nicht drumrum. Achtung hier....wie dort groß geschrieben ist es nach dieser Änderung nicht mehr möglich den Server von woanders auf die verwendeten Ports anzusprechen. Ich habe im IIS zwei zusätzliche Bindungen eingerichtet und entsprechend andere Ports im HAProxy definiert.
Ist dann wohl gelöst.
lg
Theo
Hallo der Beitrag ist schon etwas älter, leider funktioniert der Link oben von Dani nicht.
Der HA Proxy läuft, ich kann auch meinen Server ansprechen, aber bei mir lauschen die auf meinedomain.de/nextcloud und meinedomain.de/tomcat und beide auf dem Port 443. Daher kann ich zur Zeit nur jeweils einen zur Zeit ansprechen, was muss ich hier beim Frontend einstellen?
Ziel ist es die Zertifikate aus der PFsense zu nutzen.
danke! der Horst
Wie würde das bei Haproxy aussehen?
beim Squid habe ich immer ^https://meinedomain.de/nextcloud/.*$ genutzt.
Der HA Proxy läuft, ich kann auch meinen Server ansprechen, aber bei mir lauschen die auf meinedomain.de/nextcloud und meinedomain.de/tomcat und beide auf dem Port 443. Daher kann ich zur Zeit nur jeweils einen zur Zeit ansprechen, was muss ich hier beim Frontend einstellen?
Ziel ist es die Zertifikate aus der PFsense zu nutzen.
danke! der Horst
Wie würde das bei Haproxy aussehen?
beim Squid habe ich immer ^https://meinedomain.de/nextcloud/.*$ genutzt.
