# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-serve...
# An alternative list with additional directives can be obtained from
# https://mozilla.github.io/server-side-tls/ssl-conf...
# ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
# ssl-default-bind-options no-sslv3
# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-serve...
# An alternative list with additional directives can be obtained from
# https://mozilla.github.io/server-side-tls/ssl-conf...
# ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
# ssl-default-bind-options no-sslv3
H264 эта параша не тянет, там оказывается версии не совпадают на гейпаде. А вникать в этот мусор желания ноль. Пусть нормальные устройства покупают где ТЫ управляешь устройством а не устройство и Тим Кок тобой
110.0 bridge отдельно (квартира №1)
112.0 bridge отдельно (квартира №2)
111.0 eoip "прибриджован" к физическим интерфейсам из пула 111.0 в квартирах №1 и №2
Просто хотелось по красоте сделать. А то некоторые деятели объединяют подсети одинаковые по воздуху, там потом концов не найти, уж лучше разделять через "шлюзовую ВПН подсеть" и потом маршрутизацией играть
Всё супер устойчиво
global
maxconn 4096
user haproxy
group haproxy
pidfile /var/run/haproxy.pid
log 127.0.0.1:514 local0 debug
daemon
ssl-default-bind-options no-sslv3 no-tls-tickets force-tlsv12
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
tune.ssl.default-dh-param 2048
# Default SSL material locations
# ca-base /etc/ssl/certs
# crt-base /etc/ssl/private
# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-serve...
# An alternative list with additional directives can be obtained from
# https://mozilla.github.io/server-side-tls/ssl-conf...
# ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
# ssl-default-bind-options no-sslv3
defaults
log global
mode tcp
option tcplog
option dontlognull
option tcp-smart-accept
option tcp-smart-connect
maxconn 2000
retries 3
timeout connect 5000
timeout check 3000
timeout client 50000
timeout server 50000
listen stats #Активируем статистику
bind 192.168.110.131:18080
mode http
maxconn 10
stats enable
stats enable
stats hide-version
stats scope .
stats realm Haproxy\ Statistics
stats auth adminge:keyj{jl11!
stats uri /stats
#Кастомные страницы HTTP_ERROR
# errorfile 400 /etc/haproxy/errors/400.http
# errorfile 403 /etc/haproxy/errors/403.http
# errorfile 408 /etc/haproxy/errors/408.http
# errorfile 500 /etc/haproxy/errors/500.http
# errorfile 502 /etc/haproxy/errors/502.http
# errorfile 503 /etc/haproxy/errors/503.http
# errorfile 504 /etc/haproxy/errors/504.http
errorfile 404 /etc/haproxy/errors/404.http
###################
frontend http #Перенаправляем трафик с 80 на 443 порт
bind 192.168.110.131:80
mode http
redirect scheme https code 301 if !{ ssl_fc }
global
maxconn 4096
user haproxy
group haproxy
pidfile /var/run/haproxy.pid
log 127.0.0.1:514 local0 debug
daemon
ssl-default-bind-options no-sslv3 no-tls-tickets force-tlsv12
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
tune.ssl.default-dh-param 2048
# Default SSL material locations
# ca-base /etc/ssl/certs
# crt-base /etc/ssl/private
# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-serve...
# An alternative list with additional directives can be obtained from
# https://mozilla.github.io/server-side-tls/ssl-conf...
# ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
# ssl-default-bind-options no-sslv3
defaults
log global
mode tcp
option tcplog
option dontlognull
option tcp-smart-accept
option tcp-smart-connect
maxconn 2000
retries 3
timeout connect 5000
timeout check 3000
timeout client 50000
timeout server 50000
listen stats #Активируем статистику
bind 192.168.110.131:18080
mode http
maxconn 10
stats enable
stats enable
stats hide-version
stats scope .
stats realm Haproxy\ Statistics
stats auth adminge:keyj{jl11!
stats uri /stats
#Кастомные страницы HTTP_ERROR
# errorfile 400 /etc/haproxy/errors/400.http
# errorfile 403 /etc/haproxy/errors/403.http
# errorfile 408 /etc/haproxy/errors/408.http
# errorfile 500 /etc/haproxy/errors/500.http
# errorfile 502 /etc/haproxy/errors/502.http
# errorfile 503 /etc/haproxy/errors/503.http
# errorfile 504 /etc/haproxy/errors/504.http
errorfile 404 /etc/haproxy/errors/404.http
###################
frontend https #На основании заголовка SNI будем направлять трафик
bind 192.168.110.131:443
mode tcp
tcp-request inspect-delay 5s
tcp-request content accept if { req_ssl_hello_type 1 }
use_backend mail if { req_ssl_sni -i mail.genreeds.ru }
use_backend mail if { req_ssl_sni -i mailbox.genreeds.ru }
use_backend site if { req_ssl_sni -i genreeds.ru }
use_backend site if { req_ssl_sni -i pma.genreeds.ru }
backend mail
mode tcp
option ssl-hello-chk
server mail 192.168.110.133:443 check
backend site
mode tcp
option ssl-hello-chk
server site 192.168.110.148:443 check