Weiterleitung von https + API-Benutzung

Server v7 v7-Betatest
1

Liebe lmn-leute,

wie hier Domänen in v7: extern und intern und hier OPNsense-Appliance beschrieben möchte man ja von außen an web-(https) Dienste wie Cloud/Moodle etc kommen. Wer dafür dieselbe IP-Adresse verwenden möchte, die sowieso für den Ausgang die Firewall OpnSense verwendet, der kann das mit folgendem Trick machen:

  • in System->Settings->Administration den TCP Port z.B: auf 444 setzen

grafik
grafik.png886×511 32.9 KB

  • in Firewall -> NAT -> Port Forward eine Regel dafür erstellen, dass jeglicher https-Verkehr von außen an eine IP-ADresse der Wahl (bei mir 172.16.17.5) weitergereicht wird.
  • dann noch eine Regel, dass der https-Verkehr vom Server (bei mir 10.16.1.1) an den Port 444 der eigenen Firewall-ADresse (bei mir 10.16.1.254) weitergeleitet wird.
  • dass die LAN-Regel nach der WAN-Regel kommt, hat evtl. performance-vorteile für den Verkehr nach außen.

opnsense-forward-443
opnsense-forward-443.png1233×616 50.1 KB

Diese Zweite Regel braucht man, weil die API der Firewall über https gebraucht wird. FAlls noch andere server auf die API zugreifen wollen, muss man die zweite Regel evtl. erweitern.

VG, Tobias

1 „Gefällt mir“
2

P.s. anderer trick:
wer bei belwue ist, oder eine Fritzbox dazwischen hat, der kann sich evtl. auch eines unterschiedlichen port-forwardings innerhalb des belwue routers bedienen (bei Belwue anfragen!), so dass 443 von außen nach z.b. 445 zur firewall weitergeleitet wird und dort dann 445 nach 443 des internen Servers. Dann kann die API-https-Verbindung unangetastet bleiben.

3

Korrektur, weil sonst jeglicher traffic vom server aus von der firewall gehijackt wird:

opnsense-firewallapi
opnsense-firewallapi.png953×138 19.3 KB