我有一个 PfSense 盒,可以颁发/更新 acme 证书,安装了 haproxy,它有两个后端服务器使用生成的 acme 证书,运行良好。(电子邮件和 nextcloud 服务器)
从我的本地网络之外,访问 nextcloud.site.com 或 email.site.com 非常方便,它通过 haproxy 拥有安全的 ssl 证书,并且可以正确地将您带到邮件站点或 nextcloud 站点
但是,在我的本地网络上(位于 pfsense 后面),我似乎无法让 DNS 解析器为两者提供正确的 SSL 连接。这是一个问题,因为当我在手机上使用 nextcloud 应用程序时,它在网络外部可以正常工作,但在网络内部却抱怨 SSL 证书不正确(因为网络内部只有 http 有效)
我已将 DNS 解析器设置为将完全相同的 nextcloud 地址 (nextcloud.site.com) 转发到内部 IP 地址,这可以正常工作,但未使用 SSL 证书。我在 DNS 解析器 > SSL/TLS 证书下选择了相同的证书
使用 DNS 解析器是否可行或者是否存在其他解决方案?
答案1
所以我假设如下:
- pfSense 运行 HAProxy,外部您的客户端/对等点/任何内容都连接到 pfSense 的 WAN IP。
- Nextcloud 盒子是你的 LAN 或 DMZ 中的主机
- pfSense 的 DNS 仅面向 LAN,并将 nextcloud.site.com 重定向到 Nextcloud 盒的 LAN/DMZ IP。
- pfSense 的 HAProxy 提供 TLS(HAProxy 的 HTTPS)并且设置了 HSTS 标头。
- pfSense 的 HAProxy 将 nextcloud.site.com 代理到 LAN/DMZ 中的框中,以服务外部客户端
在这种情况下,您有以下选择:
- 删除 DNS 覆盖并设置NAT 发夹结构/反射
- 重新配置您的 Nextcloud Host 以通过 HTTPS 提供其内容
- 从 HAProxy 中删除 HSTS 标头