Назад | Перейти на главную страницу

Pfsense и Dns Resolver - SSL / TLS для внутреннего доступа?

У меня есть ящик Pfsense, который может выдавать / обновлять сертификаты acme с установленным haproxy, у которого есть два внутренних сервера, которые используют сгенерированный сертификат acme, который отлично работает. (серверы электронной почты и nextcloud)

Из-за пределов моей локальной сети переход на nextcloud.site.com или email.site.com работает отлично, у него есть защищенный сертификат ssl через haproxy, и он правильно либо перенаправляет вас на почтовый сайт, либо на сайт nextcloud.

Однако в моей локальной сети, которая находится за pfsense, я не могу заставить DNS-преобразователь предоставить правильное ssl-соединение. Это проблема, потому что при использовании приложения nextcloud на моем телефоне оно будет нормально работать вне сети, но внутри он жалуется, что сертификат ssl неверен (потому что внутри сети работает только http)

У меня есть DNS-преобразователь, настроенный для пересылки того же точного адреса nextcloud (nextcloud.site.com) на внутренний IP-адрес, который работает, но не использует сертификат ssl. У меня такой же сертификат выбран в разделе dns resolver> ssl / TLS certificate

Возможно ли это даже с помощью dns resolver или есть другое решение ??

Итак, я предполагаю это:

  • pfSense запускает HAProxy, внешне ваши клиенты / узлы / все, что подключается к WAN IP pfSense.
  • Поле Nextcloud - это хост в вашей локальной сети или DMZ.
  • DNS pfSense доступен только в локальной сети и перенаправляет nextcloud.site.com на IP-адрес LAN / DMZ блока Nextcloud.
  • HAProxy pfSense обслуживает TLS (HTTPS от HAProxy) и имеет установленный заголовок HSTS.
  • HAProxy прокси pfSense направляет nextcloud.site.com в ящик в LAN / DMZ для обслуживания внешних клиентов

В этом случае у вас есть следующие варианты:

  • Удалите переопределение DNS и настройте Закрепление / отражение NAT
  • Перенастройте свой хост Nextcloud для обслуживания его контента через HTTPS.
  • Удалите заголовок HSTS из HAProxy