在前面的文章OPNsense使用CloudFlare动态域名,配置Let’s Encrypt证书实现SSL安全访问一文中,介绍了通过Acme申请免费签名证书,实现了远程SSL安全连接访问OPNsense防火墙的方法。本文将介绍OPNsense防火墙配置HAProxy代理,SSL远程连接内网服务器(alist网盘)的设置方法。
本教程使用的防火墙软件版本为OPNsense23.7.1_3,防火墙配置SSL证书请参考前文,本文介绍HAProxy的配置过程。注意,本文演示的证书和域名与前文不同,实际配置时,两者必须一致。
防火墙配置HAProxy代理,SSL远程连接内网服务器的步骤如下:
- 安装HAProxy插件
- 添加防火墙Wan接口规则
- 添加HAProxy内网服务器(后端)
- 添加HAProxy后端池
- 添加HAProxy代理匹配条件
- 添加HAProxy代理匹配规则
- 添加HAProxy公共服务(前端)
- 启用HAProxy服务
安装HAProxy插件
转到系统>固件>插件,找到os-haproxy,然后单击右侧按钮安装插件。
添加防火墙规则
在对应的WAN接口上,为内网alist服务器访问开放一个前端端口。由于443 端口被运营商 禁用,本示例使用9443端口。为了保证访问安全,该规则的源地址应该限定在安全范围。
添加alist服务器(后端)
转到服务>HAProxy> 设置>真实服务器项卡,单击真实服务器菜单,添加alist服务器。alist内网地址为192.168.101.1 7,默认访问端口为5244。输入完成后点击保存。
添加后端池
转到服务>HAProxy> 设置>虚拟服务选项卡,单击后端池菜单,添加一个后端池,其他选项默认,服务器输入前面建立的真实服务器。
添加匹配条件
为代理匹配添加一个执行条件。转到服务>HAProxy> 设置>规则&检查选项卡,单击条件菜单,添加一个条件。条件类型选“Host starts with”,主机前缀输入防火墙申请的外部访问域名。
添加匹配规则
为代理匹配添加一个执行规则。转到服务>HAProxy> 设置>规则&检查选项卡,单击规则菜单,添加一条规则。测试类型选“IF”,选中前面添加的条件和后端池,单击底部保存按钮。
添加公共服务(前端)
为后端添加一个公共服务(前端),监听地址填写wan ip:端口或域名:端口。选中启用ssl卸载,选中所使用证书、证书颁发机构,以及使用的规则,其他选项根据需要设置,输入完成单击底部的保存按钮。
启用HAProxy服务
转到服务>HAProxy> 设置>设置选项卡,单击服务菜单,选中启用HAProxy。
检查测试
浏览器输入https://opn.pfchina.site:9443,访问alist网盘,检查是否挂锁成功。
相关文章: