Hulpartikel overzicht

Hulpartikel

Wat zijn de verschillende doorstuur-modi van HA-IP?

HA-IP is een 'highly-available' IPv4- en IPv6 adres waarmee je elk gewenst TCP-verkeer doorstuurt naar één BladeVPS. Naast TCP-verkeer biedt HA-IP echter ook de mogelijkheid voor een drietal andere modi waar je gebruik van kunt maken voor het doorsturen van verkeer.

Je kunt dan ook kiezen tussen de volgende doorstuurmodi:

De verschillende doorstuursmodi van HA-IP

TCP

Dit is de standaard modus die ingeschakeld is. Hierbij wordt al het TCP-verkeer op een specifieke poort via HA-IP doorgestuurd naar dezelfde poort op de gekoppelde VPS. Hierbij is het uiteraard wel van belang dat je hiervoor deze poort hebt aangegeven in het controlepaneel, anders zal dit verkeer direct gedropt worden.

- Voordeel: al het TCP-verkeer wordt 1-op-1 doorgezet naar jouw VPS zonder dat hier aanpassingen op de VPS voor nodig zijn.
- Nadeel: het 'remote-IP' (of originele IP) wordt niet meegestuurd, waardoor je niet kunt zien welk IP jouw server benadert.


HTTP

Bij de HTTP-modus wordt de X-Forwarded-For-header meegegeven aan het verkeer. Wanneer je in de configuratie van jouw webserver-software ondersteuning hiervoor inschakelt, kun je via bijvoorbeeld $_SERVER['REMOTE_ADDR'] het originele IP terugzien.
 

  • Gebruik je NGINX?
    Voeg dan het volgende toe aan de configuratie van Nginx:
    set_real_ip_from 136.144.151.0/24;  
    set_real_ip_from 89.41.168.0/26; 
    set_real_ip_from 2a01:7c8:ba1a::/48;
    set_real_ip_from 2a01:7c8:e000::/48;
    real_ip_header   X-Forwarded-For;
    
  • Gebruik je Apache? 
    In dat geval kun je gebruik maken van de mod_remoteip module. De configuratie zou er als volgt uit kunnen zien (documentatie):
    RemoteIPHeader X-Forwarded-For 
    RemoteIPTrustedProxy 136.144.151.0/24 
    RemoteIPTrustedProxy 89.41.168.0/26
    RemoteIPTrustedProxy 2a01:7c8:ba1a::/48
    RemoteIPTrustedProxy 2a01:7c8:e000::/48 
    
  • Gebruik je IIS?
    Voor het inschakelen hiervan zijn meerdere stappen nodig, waarvan op docs.microsoft.com een uitgebreide handleiding terug te vinden is.

- Voordeel: wanneer ingeschakeld in de configuratie wordt het 'remote IP' nu keurig weergegeven in de logs van jouw webserver.
- Nadeel: Dit is standaard niet ingeschakeld en werkt ALLEEN voor http-verkeer, niet voor https en ander TCP-verkeer.


HTTPS

Bij de HTTPS-modus wordt er al de zogenoemde 'SSL-termination' toegepast op ons HA-IP platform omdat daar een SSL-certificaat op geïnstalleerd is voor jouw domein / applicatie. Hierdoor kan het https-verkeer ook doorgestuurd worden naar de VPS inclusief het originele 'remote IP'. Hiervoor is het wel van belang dat er op jouw VPS ook een SSL-certificaat is geïnstalleerd in de VHOST, al mag dit bijvoorbeeld wel een 'selfsigned' (of 'snakeoil')-certificaat zijn. Daarnaast moet ook in dit geval de 'X-Forwarded-For' optie in de configuratie van jouw webserver ingeschakeld zijn (net zoals bij de HTTP-modus).

Meer informatie over het installeren van een SSL-certificaat voor HA-IP kun je hier terugvinden.

- Voordeel: wanneer ingeschakeld in de configuratie wordt het 'remote IP' nu keurig weergegeven in de logs van jouw webserver.
- Nadeel: Je zult wel een SSL-certificaat op zowel ons HA-IP platform als op de VPS zelf moeten installeren.


PROXY

Bij de PROXY-modus wordt al het verkeer inclusief alle informatie van de originele request doorgestuurd. Dit klinkt ideaal, maar vereist wel dat de service die van de specifieke poort gebruik maakt, het PROXY-protocol moet ondersteunen. Tevens zorgt dit er voor dat de service alleen via HA-IP benaderd kan worden en niet langer direct via het IP van de VPS zelf. Detailleerde informatie over de PROXY-modus kun je terugvinden op de website van HAProxy.

- Voordeel: Je kunt hiermee 'transparant' traffic doorsturen naar andere services dan alleen HTTP. Daarnaast kun je via de PROXY-modus SSL 'termineren' op je eigen VPS, waardoor je de SSL-certificaten van je services in eigen beheer kunt houden.
- Nadeel: Lang niet elke toepassing ondersteunt het en tevens zorgt dit er voor dat de betreffende service / poort alleen benaderd kan worden via HA-IP.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

0
Nick Brouwer Admin 9 oktober 2017 (#163)

@ltit

Ai, dat klopt! Het lijkt er op dat haproxy.com de betreffende link verwijderd heeft, we hebben de link dan ook uit het artikel gehaald.

Maar geen nood! De cache van Google biedt in de tussentijd uitkomst. Je kunt via de onderstaande link de betreffende link nog terug vinden:

https://webcache.googleusercontent.com/search?q=cache:BmBoZnZu6koJ:https://www.haproxy.com/blog/haproxy/proxy-protocol/+&cd=1&hl=en&ct=clnk&gl=nl

-Nick

0
ltit 8 oktober 2017 (#154)

De link onder het kopje PROXY met de tekst 'de website van HAProxy' verwijst naar een niet bestaande pagina. Zou deze link kunnen worden geupdate?

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op