OPNsense/Reverse-Proxy

Aus Foxwiki

topic kurze Beschreibung

Beschreibung

Warum ein Reverse-Proxy?

Der Reverse-Proxy entscheidet für an ihn gerichtete Anfragen, ob und an wen er diese Weiterleitet.

Sofern man nur einen Dienst von außen zugänglich machen möchte (z. B. die Nextcloud), könnte man auch den einfacheren Weg wählen und im Router mit entsprechend NAT-Regeln (z. B. für die Ports 80 und 443) arbeiten.

Im Schulnetzkonzept gibt es aber gute Gründe dafür, einen Reverse-Proxy einzusetzen:

  • Es gibt mehrere Dienste, die von außen über die gleichen Ports zugänglich sein sollen (z. B. Nextcloud, Collabora, Passwort-Service), sodass NAT-Regeln hierfür nicht ausreichen.
  • Der Reverse-Proxy wird im Schulnetzkonzept auch dafür eingesetzt, für Anfragen die dazu passenden Zertifikate bereitzustellen. Dies entlastet den dahinter liegenden Webserver (z. B. den der Nextcloud) enorm.
  • Der Reverse-Proxy wird auch für Anfragen von innerhalb des Schulnetzes verwendet, sodass Dienste wie die Nextcloud auch von dort verschlüsselt über ihren vollqualifizierten Domänennamen erreichbar sind und intern und nicht über das Internet geroutet werden.

Installation

Installation und Konfiguration des HAProxy-Plugins

Der Reverse-Proxy mit Namen HAProxy muss zunächst installiert werden:

System / Firmware / Plugins / os-haproxy → Install

Anschließend muss der HAProxy aktiviert werden:

Services / HAProxy / Settings / Service Settings

  • Haken bei: Enable HAProxy

Einrichtung virtueller IPs und zugehöriger Namen (Aliases) für den HAProxy

Um zwischen Anfragen an den HAProxy unterscheiden zu können, die ausschließlich von intern (lan) oder von intern und extern (lan_wan) zulässig sind, werden zwei virtuelle LAN-IP-Adressen benötigt, auf denen der HAProxy lauschen kann:

Firewall / Virtual IPs / Settings → Add

1. Virtual IP (HAProxy-Interface für interne und externe Anfragen)

  • Mode: IP Alias
  • Interface: LAN_SERVER
  • Address: 10.1.100.2/32
  • Description: HAProxy_lan_wan

2. Virtual IP (HAProxy-Interface ausschließlich für interne Anfragen)

  • Mode: IP Alias
  • Interface: LAN_SERVER
  • Address: 10.1.100.3/32
  • Description: HAProxy_lan

Zusätzlich werden für beide IP-Adressen Alias-Namen in Opnsense hinterlegt, auf die später zugegriffen wird:

Firewall / Aliases → Add

1. Alias (HAProxy-Interface für interne und externe Anfragen)

  • Name: HAProxy_lan_wan
  • Type: Host(s)
  • Content: 10.1.100.2

2. Alias (HAProxy-Interface ausschließlich für interne Anfragen)

  • Name: HAProxy_lan
  • Type: Host(s)
  • Content: 10.1.100.3

Anwendungen

Fehlerbehebung

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Konfiguration

Dateien

Sicherheit

Dokumentation

RFC

Man-Pages

Info-Pages

Siehe auch

Links

Projekt-Homepage

Weblinks

Einzelnachweise

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5
Abgerufen von „https://wiki.foxtom.de/index.php?title=OPNsense/Reverse-Proxy&oldid=44211