HAProxy ist ein Programm mit vielseitigen Anwendungsmöglichkeiten, um den Zugang zu Webservern zu kontrollieren. Es ist ein Reverse-Proxy, der Verbindungen von Clients annimmt und nach den konfigurierten Regeln entscheidet, an welchen Webserver die Anfrage gesendet wird. Einige Funktionalitäten sind:

• Loadbalancing
• SSL-Offloading
• Wiederverwendung einer öffentlichen IP für mehrere Webdomänen
• Health-checking der Webserver

Installation

• HAProxy ist ein Plugin, welches unter System => Firmware => Plugins installiert werden, kann (Vorher auf Updates kontrollieren)

minimale Konfiguration

• Als erstes muss unter Services => HAProxy => Settings => Real Servers ein Backend-Server hinzugefügt werden
• In unserem Beispiel haben wir ein Webserver in der DMZ mit der IP 172.17.17.10/24
• Diese IP wird in das FQDN or IP Feld eingetragen und der Server bekommt den Namen "Webserver"
• HAProxy unter OPNsense kann aber keinen einzelnen Webserver einfach so ansprechen
• Es muss ein Backend-Pool definiert werden, selbst wenn es nur einen Server gibt
• Diesen erstellt man unter Virtual Services in der HAProxy-Konfiguration
• Die relevanten Felder dafür sind erstmal nur Name und Servers
• Health Checking kann auch ausgeschaltet werden, falls man die Verbindung per tcpdump debuggen möchte und dabei nicht die Health Check-Pakete sehen will

SSL-Offloading

Links

• https://docs.haproxy.org/