opnsense HA proxy

HAProxy auf OPNsense – Schritt für Schritt

von

HAProxy ist ein leistungsstarker Open-Source Load Balancer und Proxy-Server für TCP- und HTTP-Anwendungen. Er verteilt eingehende Verbindungen effizient auf mehrere Server und erhöht so Verfügbarkeit und Ausfallsicherheit.
OPNsense, eine moderne Open-Source-Firewall, bietet eine benutzerfreundliche Web-Oberfläche zur Konfiguration von HAProxy – ohne komplizierte Befehlszeilen.

Voraussetzungen für die Konfiguration

Bevor Sie starten, benötigen Sie:

  • Einen laufenden OPNsense-Server mit Internetzugang.
  • Einen oder mehrere Backend-Server (z. B. Nextcloud oder Nginx) mit statischer IP oder Domain.
  • Zugriff auf die jeweiligen Ports der Dienste.
  • (Optional) Ein SSL-Zertifikat oder ein DNS-Eintrag.

HAProxy auf OPNsense aktivieren

Gehen Sie zu System > Firmware > Plugins , suchen Sie auf os-haproxy un klicken auf die + symbol zu HAProxy installieren. Danach sollte das HAProxy-Plugin wie auf dem Bild angezeigt werden.

HAProxy Plugin installieren

HAProxy Real Server einstellen

Um HAProxy zu konfigurieren, müssen wir einen Real Server, einen Backend-Pool und einen Public Server einrichten. In dieser Reihenfolge gehen wir zur Konfiguration eines Real Servers zu Services > HAProxy > Settings > Real Servers.

Real Server erstellen

Klicken Sie auf das Plus-Symbol (+), um hinzuzufügen.

Hier kann der Real Server benannt werden. Wichtig ist, die IP-Adresse und den Port korrekt anzugeben, über die der Dienst erreichbar ist, zu dem HAProxy den Datenverkehr weiterleiten soll. Am Ende ist es immer wichtig, auf ‚Apply‘ zu klicken, um die Änderung zu bestätigen.

Real Server konfigurieren

Backend Pool einstellen

Der nächste Schritt ist das Erstellen eines Backend-Pools. Dafür bleiben wir auf derselben HAProxy-Seite und gehen zu Virtual Services > Backend Pools und klicken auf +.

Backend Pool erstellen

Hier kann ein Name vergeben werden, aber es ist wichtig, dabei im Bereich ‚Server‘ den Server auszuwählen, den wir zuvor im Real Server erstellt haben. Am Ende nicht vergessen, auf ‚Apply‘ zu klicken, um die Konfigurationen zu speichern.

Backend Pool konfigurieren

Public Server erstellen

Jetzt erstellen wir einen Public Server im HAProxy. Dafür bleiben wir unter HAProxy > Virtual Services, diesmal aber unter ‚Public Services‘ und klicken auf +.

Public Server erstellen

Wichtig ist hier, im Abschnitt ‚Listen Addresses‘ die IP-Adresse der Firewall und den Port anzugeben, über den der Dienst erreichbar sein soll. Zum Schluss auf ‚Apply‘ klicken.

Public Server konfigurieren

HAProxy aktivieren

Um HAProxy zu aktivieren, gehen wir zu HAProxy > Settings > Service.

HAProx aktivieren

Dann aktivieren Sie das Kontrollkästchen ‚Enable‘, um HAProxy zu aktivieren.

HAProxy aktivieren

Danach sollte oben ein grüner Status angezeigt werden, was bedeutet, dass der Dienst läuft.

HAProxy status

Firewall-Regel konfigurieren

Der letzte Schritt der Konfiguration ist das Erstellen einer Regel, um den Datenverkehr zu erlauben. Der Pfad lautet: Firewall > Rules > WAN. Dann klicken wir auf das Plus-Symbol (+), um eine neue Regel hinzuzufügen.

Firewall HAProxy pfad

Die Regel ist recht einfach: Zuerst sollte sie auf ‚Pass‘ (also erlauben) gesetzt sein, das Protokoll ist TCP, und dann wählen wir im Abschnitt ‚Destination‘ ‚This Firewall‘, da dort der HAProxy konfiguriert ist. Wichtig ist außerdem, die Regel zu speichern und anschließend auf ‚Apply‘ zu klicken, um sie zu aktivieren.

Firewall Regeln erstellen

HAProxy testen

Um zu testen, ob die Konfigurationen korrekt durchgeführt wurden, können wir zunächst die IP-Adresse unserer Firewall nehmen und anschließend den Port hinzufügen, den wir konfiguriert haben.

In diesem Beispiel habe ich eine Nextcloud-Maschine eingerichtet. Die Konfiguration hat funktioniert und der Dienst wurde korrekt weitergeleitet.

HAProxy test

Wichtige Punkte, die zu beachten sind

  • Verwenden Sie HTTPS (SSL-Offloading) für alle öffentlichen Verbindungen
    Nutzen Sie immer eine verschlüsselte Verbindung, damit Daten wie Passwörter geschützt sind. HAProxy kann die Verschlüsselung übernehmen und so Ihre Server entlasten.
  • Beschränken Sie den Zugriff auf HAProxy über die Firewall (z. B. nur bestimmte IPs und Ports)
    Erlauben Sie nur vertrauenswürdigen IP-Adressen Zugriff. So schützen Sie Ihre Dienste vor unerwünschten Verbindungen.
  • Deaktivieren Sie HTTP, wenn HTTPS verfügbar ist
    Schalten Sie unsicheren HTTP-Zugriff ab oder leiten Sie ihn automatisch auf HTTPS um, um die Sicherheit der Nutzer zu erhöhen.

Fazit

Mit nur wenigen Schritten lässt sich HAProxy auf OPNsense konfigurieren, um eingehende Webanfragen gezielt an interne oder Cloud-basierte Dienste weiterzuleiten. Ob Nextcloud, Webanwendung oder Container – gleichzeitig bietet diese Lösung Stabilität, Kontrolle und eine professionelle Basis für skalierbare IT-Infrastrukturen.

Benötigen Sie Unterstützung bei Ihrer OPNsense?

Gerne Unterstützen wir Sie bei der Konzeption, Installation, Betreuung, Sicherung und Wartung Ihrer OPNsense.

Lust auf mehr?

Auf unserem Blog finden Sie weitere Tutorials und nützliche Beiträge zu allerlei Themen Rund um Linux, Firewalls, Hosting, Backups, Nextcloud und mehr.

Caue Bleil
Letzte Artikel von Caue Bleil (Alle anzeigen)