在前面的文章中,我们已经通过自签名证书,实现了远程使用SSL连接访问防火墙。本文将介绍内网服务器(例如群晖NAS),通过防火墙证书进行SSL安全访问的方法。
本教程使用的防火墙软件版本为pfSense plus 23.05,防火墙SSL证书配置请参考pfSense使用CloudFlare动态域名,配置Let’s Encrypt证书实现SSL安全访问,本文介绍HAProxy的配置过程。
安装HAProxy插件
转到系统>插件管理,可用插件选项卡,找到haproxy-devel,然后单击右侧按钮进行安装。
添加防火墙规则
在对应的WAN接口上,为NAS的访问开放一个前端端口,本示例使用9443端口。为了保证访问安全,该规则的源地址应该限定范围。
设置HAProxy后端
转到服务>HAProxy,后端选项卡,添加NAS后端。NAS地址为192.168.101.16,默认https访问端口为5001。CA和证书选中为pfSense防火墙申请的CA和证书。其他选项可保持默认。输入完成后点击保存。
设置HAProxy前端
转到服务>HAProxy,前端选项卡,为NAS后端添加一个访问前端。选中要使用的WAN接口,端口输入前面开放的9443端口,选中SSL卸载,类型选http/https(offloading)。
默认后端选前面创建的NAS。
证书选防火墙使用的证书。
其他选项保持默认。输入完成点击底部的保存按钮。
启用HAProxy服务
转到服务>HAProxy,设置选项卡,选中启用HAProxy,并根据需要设置最大连接数和最大SSL Diffie-Hellman大小两个参数,其他选项保持默认。完成后点击底部的保存按钮。
检查测试
浏览器输入https://jx.pfchina.site:9443,正常访问NAS的登录界面,挂锁成功。
其他类型后端设置
ESXI、Alist和OpenWrt旁路由后端的设置,与群晖NAS后端的配置方法基本相同,只是有个别选项不同。
ESXI后端设置需要注意Http check method(http检查方法)选项,不能使用默认的OPTIONS选项,必须选HEAD或GET,否则会出现服务不可用的问题。
Alist后端不能选中Encrypt(SSL)选项,其他选项与群晖NAS相同。
OpenWrt后端与群晖NAS的设置相同,没有需要调整的选项。
相关文章: