在前面的pfSense使用CloudFlare动态域名,配置Let’s Encrypt证书实现SSL安全访问一文中,介绍了通过Acme申请免费签名证书,实现了远程SSL安全连接访问pfSense防火墙的方法。本文将介绍pfSense防火墙配置HAProxy代理,SSL远程连接内网服务器(群晖nas)的设置方法。
本教程使用的防火墙软件版本为pfSense plus 23.05,防火墙配置SSL证书请参考前文,本文介绍HAProxy的配置过程。
安装HAProxy插件
转到系统>插件管理,可用插件选项卡,找到haproxy-devel,单击右侧按钮安装插件。
添加防火墙规则
在对应的WAN接口上,为群晖NAS的访问开放一个前端端口,由于 443 端口被运营商禁用,本示例使用9443端口。为了保证访问安全,该规则的源地址应该限定在安全范围。
设置HAProxy后端
转到服务>HAProxy,后端选项卡,添加群晖NAS后端。NAS地址为192.168.101.16,默认https访问端口为5001。CA和证书选中为pfSense防火墙申请的CA和证书。其他选项可保持默认。输入完成后点击保存。
设置HAProxy前端
转到服务>HAProxy,前端选项卡,为群晖NAS后端添加一个访问前端。选中要使用的WAN接口,端口输入前面开放的9443端口,选中SSL卸载,类型选http/https(offloading)。
默认后端选前面创建的群晖NAS。
证书选防火墙使用的证书。
其他选项保持默认。输入完成点击底部的保存按钮。
启用HAProxy服务
转到服务>HAProxy,设置选项卡,选中启用HAProxy,并根据需要设置最大连接数和最大SSL Diffie-Hellman大小两个参数,其他选项保持默认。完成后点击底部的保存按钮。
检查测试
浏览器输入https://jx.pfchina.site:9443,访问群晖NAS的登录界面,检查挂锁是否成功。
其他后端设置
ESXI、Alist和OpenWrt旁路由后端的设置,与群晖NAS后端的配置方法基本相同,只有个别选项稍有不同。
ESXI后端设置需要注意“Http check method(http检查方法)”选项,不能使用默认的OPTIONS选项,必须选HEAD或GET,不然会出现服务不可用的问题。
Alist后端不能选“Encrypt(SSL)”选项。
OpenWrt后端与群晖NAS的设置相同,无需做任何调整。
相关文章:
