ak-47.2
Goto Top

Konfiguration HAProxy PFSense - mehrere Dienste durch verschiedene Ports bei selber IP anbieten

Hallo Zusammen,

ich versuche grade den EMM-Server in der lokalen Installation der Firma AppTec zum laufen zu bringen.
Dazu müssen zumindest für Android Geräte die Ports 443, 8080 und 8081 aus dem Internet erreichbar sein, um Smartphones einzuspielen.

Kurze Infos zum Aufbau: Die PFSense agiert als Firewall und Router, HAProxy läuft als Dienst ebenfalls mit, der EMM-Server steht virtualisiert in der DMZ und läuft auf dem Image was AppTec mitliefert, basierend auf Debian9. Der Host ist per DNS-Namen erreichbar, der auf die WAN-IP der PFSense zeigt. Ebenfalls wurde ein Zertifikat mit dem hinterlegten DNS-Eintrag bei einem Zertifikatsaussteller gekauft.
Bei der Konfiguration mussten lediglich die Zertifikate hochgeladen werden und der Lizenzschlüssel, ebenfalls hat der Server eine statische IP aus dem Netz der DMZ bekommen.

Die entsprechenden Ports wurden auf der WAN-Schnittstelle natürlich geöffnet und per Alias als Regel hinterlegt.

Da später noch einige andere Dienste auf 443 angeboten werden sollten, klang es nach Recherche am vernünftigsten dies mit HAProxy zu regeln.

Die Installation vom HAProxy funktionierte hierbei auf den ersten Blick recht erfolgreich, das Problem ist leider nur, dass die Dienste auf den Ports 8080 und 8081 nicht erreichbar sind. 443 klappt, das Webinterface des Servers ist aus dem Internet erreichbar.

Nach zahlreichen Konfigurationen und Änderungen ist es mir leider noch immer nicht gelungen die benötigten Ports 8080 und 8081 erreichbar zu machen und hoffe hier auf Hilfeface-smile

Der DNS-Name ist natürlich im Screenshot geändert worden und es sind nur jene für die Konfiguration des Frontends und der Backends für 443 und 8080 hinterlegt.
Ich habe schon mehrere Konfigurationen getestet (mehrere Frontends/Backends), jedoch leider alles ohne Erfolgface-sad

Besten Dank im Voraus für jede Hilfe.

Als Beiwerk noch die Konfiguration des HAProxy:

Frontend:

1
2
3
4
5

Backends:

Für 8080:

7
6
8

Für 443:

9
10

Content-Key: 595240

Url: https://administrator.de/contentid/595240

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 11.08.2020 um 22:25:01 Uhr
Goto Top
Moin,

ohne jetzt näher einzusteigen. Wieso muss 8080 uns 8081 auch über HaProxy laufen? Oben schreibst du, dass nur port 443 von mehreren Diensten genutzt werden soll.

Gruß
Spirit
Mitglied: AK-47.2
AK-47.2 11.08.2020 um 23:38:23 Uhr
Goto Top
Hi,

Ich dachte ehrlich gesagt, dass es so am einfachsten wäre, um später leichter bei weiteren Konfigurationen den Überblick zu behalten.

Wenn du da ne andere Idee oder Vorgehensweise hast, bin ich gespannt. Meinst du eventuell eine Portweiterleitung?

Mich würde trotzdem auch interessieren wie das mit dem HAPROXY ginge, da ich gerne dazu lerne.
Mitglied: Siegfried36
Siegfried36 27.11.2021 um 17:48:15 Uhr
Goto Top
Hi,

ist nach einem Jahr vielleicht eine Lösung des Problems gefunden worden? Stehe gerade vor der gleichen Aufgabe.

Beste Grüße
Mitglied: AK-47.2
AK-47.2 08.12.2021 um 10:01:49 Uhr
Goto Top
Hallo @Siegfried36,

ja, die Lösung ist gefunden und lag an mangelnden Netzwerkkenntnissen und der Arbeitsweise eines HA Proxys. Einen HAProxy verwendest du insbesondere sofern du mehrere HTTP-, oder HTTPS-Dienste von außen erreichbar machen willst, die den selben Port nutzen, jedoch nur eine öffentliche IP-Adresse zur Verfügung stehen hast. Selbstverständlich sind noch andere Szenarien wie beispielsweise Loadbalancing denkbar sowie bestimmte Sicherheitsmechanismen mit denen man filtern und schützen will.

Lange Rede kurzer Sinn: Die in diesem Falle weiteren Dienste auf den Ports 8080 und 8081 waren Ports, die zur Gerätekonfiguration zwar per HTTP kommunizierten jedoch in keinster Weise auf dem HAProxy laufen mussten, sondern per Portweiterleitung direkt auf den MDM-Server weitervermittelt werden konnten, da sie ja anderen Ports genutzt haben.

LG