在前面的文章OPNsense使用CloudFlare动态域名，配置Let’s Encrypt证书实现SSL安全访问一文中，介绍了通过Acme申请免费签名证书，实现了远程SSL安全连接访问OPNsense防火墙的方法。本文将介绍OPNsense防火墙配置HAProxy代理，SSL远程连接内网服务器(alist网盘)的设置方法。

本教程使用的防火墙软件版本为OPNsense23.7.1_3，防火墙配置SSL证书请参考前文，本文介绍HAProxy的配置过程。注意，本文演示的证书和域名与前文不同，实际配置时，两者必须一致。

防火墙配置HAProxy代理，SSL远程连接内网服务器的步骤如下：

• 安装HAProxy插件
• 添加防火墙Wan接口规则
• 添加HAProxy内网服务器（后端）
• 添加HAProxy后端池
• 添加HAProxy代理匹配条件
• 添加HAProxy代理匹配规则
• 添加HAProxy公共服务（前端）
• 启用HAProxy服务

安装HAProxy插件

转到系统>固件>插件，找到os-haproxy，然后单击右侧按钮安装插件。

添加防火墙规则

在对应的WAN接口上，为内网alist服务器访问开放一个前端端口。由于443 端口被运营商 禁用，本示例使用9443端口。为了保证访问安全，该规则的源地址应该限定在安全范围。

添加alist服务器（后端）

转到服务>HAProxy> 设置>真实服务器项卡，单击真实服务器菜单，添加alist服务器。alist内网地址为192.168.101.17，默认访问端口为5244。输入完成后点击保存。

添加后端池

转到服务>HAProxy> 设置>虚拟服务选项卡，单击后端池菜单，添加一个后端池，其他选项默认，服务器输入前面建立的真实服务器。

添加匹配条件

为代理匹配添加一个执行条件。转到服务>HAProxy> 设置>规则&检查选项卡，单击条件菜单，添加一个条件。条件类型选“Host starts with”，主机前缀输入防火墙申请的外部访问域名。

添加匹配规则

为代理匹配添加一个执行规则。转到服务>HAProxy> 设置>规则&检查选项卡，单击规则菜单，添加一条规则。测试类型选“IF”，选中前面添加的条件和后端池，单击底部保存按钮。

添加公共服务（前端）

为后端添加一个公共服务（前端），监听地址填写wan ip:端口或域名:端口。选中启用ssl卸载，选中所使用证书、证书颁发机构，以及使用的规则，其他选项根据需要设置，输入完成单击底部的保存按钮。

启用HAProxy服务

转到服务>HAProxy> 设置>设置选项卡，单击服务菜单，选中启用HAProxy。

检查测试

浏览器输入https://opn.pfchina.site:9443，访问alist网盘，检查是否挂锁成功。

相关文章：

• pfSense配置ddns.org动态域名，配置SSL证书实现SSL安全访问
• pfSense使用CloudFlare动态域名，配置Let’s Encrypt证书实现SSL安全访问
• pfSense使用HAProxy+ACME反向代理设置教程

参考文章：https://forum.opnsense.org/index.php?topic=23339.0