在这篇文章中,我们已经通过自签名证书,实现了远程使用SSL连接访问防火墙。如果内网服务器,例如NAS,也需要使用证书进行SSL安全访问,在pfSense中可以有两种实现方法:
- 在防火墙上配置端口转发,然后在内网服务器上配置证书。
- 在防火墙上配置HAProxy,设置代理,共享防火墙的证书。
本文将介绍第二种方法。防火墙配置证书请参考pfSense使用CloudFlare动态域名,配置Let’s Encrypt证书实现SSL安全访问这篇文章,本文将介绍HAProxy的配置过程。
安装HAProxy插件
转到系统>插件管理,可用插件选项卡,找到haproxy-devel,然后单击右侧按钮进行安装。
添加防火墙规则
在对应的WAN接口上,为NAS的访问开放一个前端端口,本示例使用9443端口。为了保证访问安全,该规则的源地址应该限定范围。
设置HAProxy后端
转到服务>HAProxy,后端选项卡,添加NAS后端。NAS地址为192.168.101.16,默认https访问端口为5001。CA和证书选中为pfSense防火墙申请的CA和证书。其他选项可保持默认。输入完成后点击保存。
设置HAProxy前端
转到服务>HAProxy,前端选项卡,为NAS后端添加一个访问前端。选中要使用的WAN接口,端口输入前面开放的9443端口,选中SSL卸载,类型选http/https(offloading)。
默认后端选前面创建的NAS。
证书选防火墙使用的证书。
其他选项保持默认。输入完成点击底部的保存按钮。
启用HAProxy服务
转到服务>HAProxy,设置选项卡,选中启用HAProxy,并根据需要设置最大连接数和最大SSL Diffie-Hellman大小两个参数,其他选项保持默认。完成后点击底部的保存按钮。
检查测试
浏览器输入https://jx.pfchina.site:9443,正常访问NAS的登录界面,挂锁成功。
服务器租用托管,机房租用托管,主机租用托管,https://www.e1idc.com