FHEM (Geofancy) hinter HAProxy

[Paul Guijt]

Hallo Alle,

Ich versuche (für Geofancy) FHEM hinter ein ReverseProxy zu verstecken.

Dafür habe ich HAProxy installiert auf meinem Pi, im config

Code Auswählen Erweitern


listen abc
        mode http
        bind :x
        acl isabc path_end -i /bli/bla
        http-request deny unless isabc
        server server1 localhost:y

hineingefügt und HAProxy gestartet.

Nun versuche ich Egigeozone ein Bericht ein zu schicken über https://meinserver:x/bli/bla, aber das wirkt nicht. Es wirkt aber mit https://meinserver:y/bli/bla.

Was mache ich falsch? Hat jemand vielleicht irgendeine Vorschläge?

Freundliche Grüße,
Paul

[Loredo]

vielleicht besser path_begin statt path_end ...

[Paul Guijt]

Danke, Loredo, aber das war nicht das einzige Problem. Später hatte ich Anweisungen gefunden dass die benötigde SSL PassThrough das Problem wäre. Jetzt hat es geklappt, mit hilfe von https://serversforhackers.com/using-ssl-certificates-with-haproxy.

Was wirkt:

Code Auswählen Erweitern


listen abc
        bind :x
        mode tcp
        option tcplog
        acl isabc path_sub -i /bli/bla
        http-request deny unless isabc
        server server1 localhost:y

Freundliche Grüße,
Paul

[Loredo]

Man will hier aber kein Pass-Trough haben, man möchte eigentlich die Chance nutzen vernünftiges SSL Offloading zu machen.

Ansonsten hast du nichts an Sicherheit gewonnen, wenn du die Verbindung einfach auf Layer3 durchreichst. Da kannst du auch einfach nur NAT in deiner Firewall machen.


Gruß

Julian

[Paul Guijt]

Hallo Julian,

Du hast vielleicht recht, ich bin daran nicht sachverständig.

Aber https://wiki.fhem.de/wiki/Anwesenheitserkennung gab die Anweisung der FHEMWEB Modul HTTPS zu verarbeiten.

Ich habe versucht

Code Auswählen Erweitern

bind :x ssl crt /opt/fhem/certs/server-cert.pem
oder
bind :x ssl crt /opt/fhem/certs/server-key.pem
oder
bind :x ssl crt /etc/ssl/certs/ssl-cert-snakeoil.pem

aber HAProxy gab dazu die Fehler:

Code Auswählen Erweitern

sudo haproxy -f /etc/haproxy/haproxy.cfg -c
[ALERT] 356/224624 (10303) : parsing [/etc/haproxy/haproxy.cfg:46] : 'bind *:8085' : unable to load SSL private key from PEM file '/opt/fhem/certs/server-cert.pem'.


Wenn ich das geklärt habe ...

Und jedenfalls habe ich den Zugang zu alles andere als /bli/bla abgesperrt.

Freundliche Grüße,
Paul

[Loredo]

Und jedenfalls habe ich den Zugang zu alles andere als /bli/bla abgesperrt.

Da bin ich mir gerade nicht sicher, meine aber im TCP Modus stehen diese Auswertungen aus den höheren Layern nicht zur Verfügung. Sprich, alles aus dem HTTP Protokoll wird nur geparst und bereitgestellt, wenn das Frontend im http Modus und nicht im tcp Modus betrieben wird. Das hieße dann, dass du die URI auf diese Art ebenfalls nicht eingeschränkt hättest.
Mehr dazu sagt aber sicher die HAproxy Doku.