Я столкнулся с проблемой HAPROXY на сервере Ubuntu 16.04 при перенаправлении для отображения OWA в Интернете. У меня есть домен, и я установил Exchange Server 2013 на Windows Server 2012 R2. Мне нужно использовать второй интерфейс с tcp для OWA как на 443, так и на 80 портах.
Проблема в том, что OWA иногда появляется и после обновления страницы выдает ошибку или другой мой сайт с другим CA из-за старого внешнего интерфейса haproxy-in (режим http). У меня есть LetsEncrypt для всех моих сайтов, назначенных на порт 443.
Пожалуйста, мне нужно решение для открытия OWA и других сайтов.
Это мой файл конфигурации haproxy из первого интерфейса:
frontend haproxy_in
bind *:80
bind *:443 ssl crt /etc/haproxy/certs/mdl.ief.tishreen.edu.sy.pem crt /etc/haproxy/certs/mail.ief.tishreen.edu.sy.pem crt /etc/haproxy/certs/lib.ief.tishreen.edu.sy.pem crt /etc/haproxy/certs/ief.tishreen.edu.sy.pem crt /etc/haproxy/certs/www.ief.tishreen.edu.sy.pem crt /etc/haproxy/certs/educloud.ief.tishreen.edu.sy.pem crt /etc/haproxy/certs/vpn.ief.tishreen.edu.sy.pem
mode http
# Define Path For LetsEncrypt.........................
acl is_letsencrypt path_beg -i /.well-known/acme-challenge/
use_backend letsencrypt if is_letsencrypt
# Define hosts........................................
acl is_moodle hdr_dom(host) -i mdl.ief.tishreen.edu.sy
acl is_lib hdr_dom(host) -i lib.ief.tishreen.edu.sy
acl is_mail hdr_dom(host) -i mail.ief.tishreen.edu.sy
acl is_vpn hdr_dom(host) -i vpn.ief.tishreen.edu.sy
acl is_www hdr_dom(host) -i www.ief.tishreen.edu.sy
# Direct hosts to backend..............................
use_backend moodle if is_moodle
use_backend lib if is_lib
use_backend vpn if is_vpn
use_backend www if is_www
default_backend base
# Redirect port 80 t0 443 except lets encrypt............
redirect scheme https code 301 if !{ ssl_fc } !is_letsencrypt
### exchange owa frontend####
frontend exchange-server
bind *:80
bind *:443
mode tcp
acl is_mail hdr_dom(host) -i mail.ief.tishreen.edu.sy
use_backend mail if is_mail
default_backend base
backend mail
balance roundrobin
mode tcp
server vm3 172.17.16.22:443 check
######################
# #
# Backends #
# #
######################
backend letsencrypt
server letsencrypt 127.0.0.1:8888
backend moodle
balance roundrobin
mode http
server vm1 172.17.16.20:80 check
backend lib
balance roundrobin
mode http
server vm2 172.17.16.18:80/akasia check
backend vpn
balance roundrobin
mode http
server vm4 172.17.16.35:1194 check
backend www
balance roundrobin
mode http
server vm5 172.17.16.25:80 check
backend base
balance roundrobin
mode http
server vmtest 172.17.16.25:80 check
###############################
попробуйте эту конфигурацию только с одним интерфейсом (я использую один общедоступный IP-адрес и два внутренних сервера с SSL). Оба сервера доступны на портах 443 и 80 (80 необходимо для обновления сертификатов letsencrypt). Серверы находятся в разных подсетях без проблем. У меня нет сертификатов на сайте haproxy и одинаковых имен во внутреннем и общедоступном DNS.
frontend ft_ssl_vip
mode tcp
bind *:443
bind *:80
tcp-request inspect-delay 5s
acl sslv3 req.ssl_ver 3
tcp-request content reject if sslv3
tcp-request content accept if { req_ssl_hello_type 1 }
default_backend bk_ssl_default
backend bk_ssl_default
mode tcp
# Using SNI to take routing decision
acl exchange1 req_ssl_sni -i email.tld.com
acl exchange2 req_ssl_sni -i autodiscover.tld.com
acl nextcloud1 req_ssl_sni -i cloud.tld.com
use-server server1 if exchange1
use-server server1 if exchange2
use-server server2 if nextcloud1
stick-table type binary len 32 size 30k expire 30m
acl clienthello req_ssl_hello_type 1
acl serverhello rep_ssl_hello_type 2
# use tcp content accepts to detects ssl client and server hello.
tcp-request inspect-delay 5s
tcp-request content accept if clienthello
# no timeout on response inspect delay by default.
tcp-response content accept if serverhello
stick on payload_lv(43,1) if clienthello
# Learn on response if server hello.
stick store-response payload_lv(43,1) if serverhello
option ssl-hello-chk
server server1 192.168.xx1.xx1 check
server server2 192.168.xx2.xx2 check
Использование tcp в качестве внутреннего режима для https-соединения не будет работать, если сам HAproxy действует как терминатор SSL.
Есть два способа заставить вашу конфигурацию работать в зависимости от ваших настроек:
1. Измените конфигурацию OWA, чтобы разрешить HTTP-соединения, а затем использовать http в качестве внутреннего режима, оставив задание SSL только для HAProxy.
2: Отредактируйте конфигурацию HAProxy, чтобы использовать https и не проверять ssl на бэкэнде, например:
backend mail
balance roundrobin
mode http
server vm3 172.17.16.22:443 ssl verify none