"Från pfSense med squid revers web proxy" till "OPNSense bakom Nginx (reverse web proxy)"

Trädvy Permalänk
Medlem
Plats
Norrbo
Registrerad
Maj 2007

"Från pfSense med squid revers web proxy" till "OPNSense bakom Nginx (reverse web proxy)"

Hej,

Har alla servar med egna ip adresser internt, 10.1.10.x ca 3 st.
Dessa vill jag via online och via en annan Nginx server (revere proxy) eller på huvudservern (www1) där domänamnet är knuet,

tex företg.se och de andra ska i proxyn få:
(www)domän.se (loopia dns) <=> router (vad göra?) <=> proxy (Nginx) <=> 10.1.10.101 (www1)
www2.domän.se (loopia dns) <=> router (vad göra?) <=> proxy (Nginx) <=> 10.1.10.102 (www2)
www3.domän.se (loopia dns) <=> router (vad göra?) <=> proxy (Nginx) <=> 10.1.10.103 (www3)

Jag använder just nu pfSense med en revere web proxy (Squid) tillägg till pfSense (en OpenSource router). Vill göra så att en server internt hanterar dessa förfrågningar och behöver därmed göra vad för att det ka fugnera i min router?
Ska börja använda mig av OPNSense istället för pfSense då jag vill ha lite fräschare och mordernare känsla även enklare vilket det verkar vara...
Jag har innan jag började använda pfSenese + reverse web proxy så hade jag en apache med samma funktion, men tänkte att en Nginx ska hantera detta då den är snabbare?

Tacksam för hjälp och svar. Routern ska var en "edge" router och hantera andra saker med som VPN server/klient, DNS, DHCP etc. Detta har jag koll på med inte denna del.
Och såklart, jag hittar inget på Google, men kanske är för trött för att hitta det jag letar efter..

Trädvy Permalänk
Avstängd
Plats
::1
Registrerad
Jul 2002

Kolla upp haproxy istället för nginx.

Information wants to be free.
Internet: 1Gbit/1Gbit LAN/WiFi: Cisco/Meraki
Laptop: Dell XPS 9550 4K touch HTPC: Raspberry Pi 3 LibreELEC
Desktop: WIP

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2007

Jag själv använder nginx som reverseproxy hemma, hade tidigare apache men den är jämförelsevis onödigt meckig att sätta upp.
I routern behöver du inte göra något särskilt, sätt upp en port forward till din nginx-server för port 80 och 443.
I Nginx-servern konfar du dina hostar; exempel på en konf för en reverse proxy är (du kan ta bort allt som har med SSL/TLS att göra om du inte vill använda det):

server { listen 443 ssl; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-R SA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE -DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SH A256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-E CDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SH A256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES2 56-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES2 56-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT: !DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES -CBC3-SHA'; ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_certificate /etc/letsencrypt/live/minhuvuddoman.se/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/minhuvuddoman.se/privkey.pem; ssl_dhparam /etc/nginx/dhparams.pem; ssl_session_cache shared:SSL:10m; server_name unifi.mindoman.se; location / { proxy_pass https://172.16.4.50/; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } location ~ /.well-known { allow all; root /var/www; } }

pfSense vs. OpnSense låter jag vara osagt. Nya pfSense är betydligt fräschare än tidigare. Jag har aldrig kört OpnSense ska sägas, men det är för att pfSense aldrig har strulat för mig. Bortsett från när jag hittade en bugg i en gammal HP-switch när den pratade LACP, men det är ju HPns fel, bytte till en nyare HP och sen har den lösningen tuffat på i många år

WS: Bärbar workstation, 2 * Dell U2412M
HTPC: Intel NUC, Canton GLE 496, Yamaha RV-A830, Sanyo PLV-Z700
Server: Intel Xeon E3-1240@3.4 GHz, ESXi, 32GB RAM, 8*2TB RAID-Z2 + SSD-cache
Slösurf: MacBook Air 11,6", Samsung S8
Kamera: Canon EOS 5DII + 1DIII, Canon 100/2.8 Macro, Canon 70-200/2.8L, Canon 24-70/2.8L

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013

Bra val med OPNsense!

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Hedersmedlem
Plats
QuakeNet
Registrerad
Jul 2001

Det är hyfsat lätt att sätta upp domänhanteringen i Apache tycker jag iaf. Nginx lär ha något liknande?

SWECLOCKERS.COM :: If Quake was done today :: Serverrum
WS: Asus P9X79 :: Core i7 3820 :: 32 GB RAM :: Samsung 830 256 GB :: 2x Intel 910 400 GB PCIE :: PNY Geforce GTX 970 XLR8 :: Gigabyte Odin GT 800W :: 2x Samsung Syncmaster S27A950D
NAS: SuperMicro X10-SLM-F :: Core i3 4130T :: 24 GB Kingston ECC :: Ri-Vier RVS2-06A 12Bay 2U :: IBM M1015 (IT) :: Mellanox Connect2X SFP+ :: Intel XL710-QDA1 QSFP+ ::

Trädvy Permalänk
Medlem
Plats
Norrbo
Registrerad
Maj 2007

Tack för era svar!

Seg på att kolla Sweclockers ibland och det slog mig nu att jag måste titta om någon svarat Massa andra projekt på g som slukar min tid.

Tack för alla svar och konfigen (zyberzero)! Jag ska testa när jag kommer hem till Stockholm igen och se om jag kan modernisera min setup. Hoppas på att lättare administrera och mindre krångel med brandväggar vilket jag har haft med pfSense. Hittar inget som kan lösa de problem jag har haft, har även haft två vänner som tittat på problemet, två certifierade Cisco-tekniker

PS, någon som har erfarenhet att lägga webbserverna i ett DMZ? Har noll koll, men antar att jag sätter upp en till router (som ligger i ett annat nät?) för detta? Plz give me some guidance!

Trädvy Permalänk
Hedersmedlem
Plats
QuakeNet
Registrerad
Jul 2001
Skrivet av ropin:

Tack för era svar!

Seg på att kolla Sweclockers ibland och det slog mig nu att jag måste titta om någon svarat Massa andra projekt på g som slukar min tid.

Tack för alla svar och konfigen (zyberzero)! Jag ska testa när jag kommer hem till Stockholm igen och se om jag kan modernisera min setup. Hoppas på att lättare administrera och mindre krångel med brandväggar vilket jag har haft med pfSense. Hittar inget som kan lösa de problem jag har haft, har även haft två vänner som tittat på problemet, två certifierade Cisco-tekniker

PS, någon som har erfarenhet att lägga webbserverna i ett DMZ? Har noll koll, men antar att jag sätter upp en till router (som ligger i ett annat nät?) för detta? Plz give me some guidance!

Om du kan tänka dig att köra Apache är det busenkelt med vhosts. Finns mer att läsa här.

Då blir efffektivt din Apache någon form av reverse proxy, fast på en enklare nivå. Du kan ju även skicka vidare användare till en annan webserver, som nginx. Så här kan en config se ut:

<VirtualHost *:80> ServerAdmin webmaster@dummy-host.domain.se DocumentRoot "C:/Apache/docs/dummy-host.domain.se" ServerName dummy-host.domain.se ServerAlias www.dummy-host.domain.se ErrorLog "logs/dummy-host.domain.se-error.log" CustomLog "logs/dummy-host.domain.se-access.log" common </VirtualHost> <VirtualHost *:80> ServerAdmin webmaster@dummy-host2.domain.se DocumentRoot "C:/Apache/docs/dummy-host2.domain.se" ServerName dummy-host2.domain.se ErrorLog "logs/dummy-host2.domain.se-error.log" CustomLog "logs/dummy-host2.domain.se-access.log" common </VirtualHost>

SWECLOCKERS.COM :: If Quake was done today :: Serverrum
WS: Asus P9X79 :: Core i7 3820 :: 32 GB RAM :: Samsung 830 256 GB :: 2x Intel 910 400 GB PCIE :: PNY Geforce GTX 970 XLR8 :: Gigabyte Odin GT 800W :: 2x Samsung Syncmaster S27A950D
NAS: SuperMicro X10-SLM-F :: Core i3 4130T :: 24 GB Kingston ECC :: Ri-Vier RVS2-06A 12Bay 2U :: IBM M1015 (IT) :: Mellanox Connect2X SFP+ :: Intel XL710-QDA1 QSFP+ ::

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013

Btw, här är e guide jag skrev för ett tag sen: https://www.techandme.se/set-up-nginx-reverse-proxy/

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Plats
Norrbo
Registrerad
Maj 2007

Tack för er hjälp med detta. Har nu fått igång det som jag vill ha det.