Search

Lucas 17.04.2017 - 19:52

Zwei Protonet-Boxen an einem DSL-Anschluss

Hallo ihr Lieben,

ich hatte schon ein Support-Ticket erstellt und die Frage auch in der Facebook-Gruppe gepostet. Es macht aber wohl Sinn, dass ich die Frage auch hier stelle, weil ich bisher nicht DIE Antwort bekommen habe … zumindest keine Laien-Antwort 🙂

Wir wollen unsere beiden Boxen weiterhin an einem Standort betreiben, brauchen jetzt also für zwei Subdomains eine entsprechende Weiterleitung. Ergänzungen mit Ports in den Domains kommen wegen der Usability nicht in Frage.

Was wir also brauchen!?

Eine möglichst unaufregende Proxy-Lösung. Sie darf auch was kosten, sollte aber nicht zu aufwändig in der Wartung sein.

Wie macht ihr das? Habt ihr Vorschläge?

Danke schonmal aus Oldenburg

Lucas

5 answers

rdb 04.05.2017 - 17:09

Ich sehe zwei Möglichkeiten, eine die garantiert funktioniert und eine eventuelle.

Zunächst die, die garantiert funktioniert. Diese setzt auf Hardwareseite eine professionelle Firewall (z.B. OPNsense) und ein DSL-Modem voraus, auf Softwareseite Portweiterleitungen für angefragten Domain-Namens.

Damit kann man definitiv protonet1.domain.de und protonet2.domain.de auf die gleiche IP des Internetanschlusses weiterleiten.
Natürlich über einen dyndns-account, z.B. bei spdyn.de (oder eine feste IP, falls vorhanden).
Die Boxen bekommen dann einen Alias in der Firewall, z.B. Box1 und Box2. Die OPNsense erkennt dann anhand der Paketheader, welche der Boxen angefragt wurde und leitet die Pakete an die Box1 oder Box2 weiter.

Nun die eventuelle Lösung, die auch mit einem handelsüblichen Router-Modem (z.B. FritzBox/Speedport) möglich sein sollte, aber durch den Einsatz eines HTTP-Proxies mit Portmapper (z.B. feste-ip.net)

Damit würde man wieder die zwei Subdomains anlegen, die dann einen CNAME-Eintrag erhielten.
Einer davon kann direkt auf die spdyn-Adresse zeigen, der andere zeigt auf eine feste-ip.net-adresse.

Von diesem feste-ip-Host könnte man dann einen HTTP(S)-Proxy auf die spdyn-Adresse schalten, die auf den Router zeigt.
Der HTTP-Proxy würde in diesem Fall die HTTPS-Anfrage auf dem Standard-Port 443 entgegennehmen, an den Port 444 auf dem Router weiterleiten und DIESER würde dann die Weiterleitung von Port 444 auf Port 443 an die zweite Box vornehmen.

Letztere Lösung habe ich nicht getestet – drum eventuelle Lösung. Als Admin wäre mir das auch zu wackelig. Ich würde unter allen Umständen immer Möglichkeit 1 wählen.

Markus Badberg (Protonet Support) 05.05.2017 - 13:20

Moin, ich habe eine Lösung, für die ein HAproxy erforderlich ist.Der Aufwand ist nicht sehr hoch, man sollte schon aber mal ein bisschen in der Linux Konsole gearbeitet haben.Ansonsten sieht das so aus, dass man 1x DynDNS oder eine feste öffentliche IP benötigt.Wenn man eine eigene Domain hat, kann man nun beliebig viele Subdomains als CNAMES einrichten, die auf die DynDNS Adresse zeigen.Auf dem heimischen Router muss nur die Portweiterleitung von Port 80 und 443 auf den HAproxy erfolgen. Der Rest passiert in der HAproxy Konfiguration. Wenn alles eingerichtet ist, kann man ganz normal über Let’s Encrypt auf der Protonetbox das Zertifikat erstellen.Diese Lösung ist sehr stabil und hochflexibel. ? Vorteil an dieser Lösung ist übrigens, dass SSL funktioniert und durchgereicht wird, dass heißt, man erspart sich die Zertifikatseinbindung auf dem HAproxy und die Verbindung bleibt von Ende-zu-Ende verschlüsselt.Als Hostrechner für den HAproxy kann man eigentlich so alles nehmen, sei es ein RPi oder eine VM oder einen anderen freien Rechner, der natürlich 24/7 laufen sollte.Die Formatierung verarscht mich hier gerade ein wenig.Hier nochmal der Link zum Beispiel auf meiner Seite:http://badberg-online.com/2017/05/01/haproxy-mit-mehreren-domains-und-ssl/

LitServ 08.07.2019 - 13:52

Zuallererst einmal ein ganz herzliches Dankeschön an Sie, Markus Badberg für die Lösung mit einem Raspberry Pi und haproxy. Am Wochenende habe ich mich an die Realisierung gemacht für zwei alte Protonet Maya hinter meinem DSL Anschluss mit FritzBox 7580 als Router.

Denn bisher konnte ich nur eine Maya mittels DDNS und Port-Weiterleitung erreichen. Und damit war auch nur für eine Maya ein Zertifikat per Letsencrypt möglich.
Bei dieser Gelegenheit auch Dank für die Lösung, Letsencrypt weiter nutzen zu können durch Ihren Hinweis auf ein update der config resp. den Letsencrypt-Client.

Ihre Anleitung bzw. Ihre Beispiel haproxy.cfg muss jedoch erweitert werden, um ein Zertifikat von Letsencrypt mit dem neuen Letsencrypt-Client erhalten zu können: Die haproxy.cfg muss so ergänzt werden, dass auch einfacher http-Traffic (Port 80) auf die jeweilige Maya geleitet wird. Eigentlich trivial, auch wenn ich lange brauchte, das zu erkennen.

Weiterhin: Da mein Provider für DDNS es nicht zuließ, mittels CNAME weitere SubDomaines hinzuzufügen, habe ich einen anderen gewählt, bei dem das möglich ist. Damit muss ich an zwei Provider die Aktualisierung der IP-Adresse übermitteln. Das geht jedoch nicht mit einer FritzBox. So habe ich auf dem RasPi gleich noch einen DDNS-Client installiert und konfiguriert. Jetzt kann ich mit den neuen Adressen auf die beiden Mayas und der alten auf eine der beiden Mayas zugreifen. Im letzteren Fall wird natürlich ein Zertifikatsfehler moniert; man kann in einigen Browsern eine Ausnahme einrichten…

Ich habe das ganze hier geschrieben, um Ihnen Dank zu sagen und um anderen Anregungen zu geben.

protonet-user 19.05.2017 - 7:47

Moin zusammen, das mit der Raspberry Box ist mir zu aufwendig. Besonders da ich schon eine Synology habe. Hat schon mal jemand diesen Weg beschritten? http://blog.steelooper.com/2014/08/synology-publish-through-haproxy.html

Wenn ja, bitte Erfahrung mitteilen. Danke im Voraus.

Markus Badberg (Protonet Support) 21.06.2017 - 17:20

Das System ist eigentlich egal.

Die Konfiguration ist auf allen Systemen über die Konsole ziemlich gleich.
Ist halt Linux.

Ich habe ja geschrieben, dass als Host wo HA-Proxy drauf laufen soll, so ziemlich alles genommen werden kann, wo HA-Proxy nun mal drauf läuft.