Go to file

Debian 3178e25e78 feat(haproxy): X-Forwarded-Proto + X-Real-IP an alle Backends weiterleiten

User-Frage: „Werden via haproxy die echten IPs durchgereicht?". Antwort:
X-Forwarded-For ja (option forwardfor), aber Apps wie WordPress/Mailcow
brauchen zusätzlich X-Forwarded-Proto=https um Redirect-Loops zu
vermeiden, und X-Real-IP ist die bequeme single-value-Variante die viele
Tools out-of-the-box lesen (ohne die XFF-Chain parsen zu müssen).

Beide Frontends (public_https + mgmt_https) emittieren jetzt:
  http-request set-header X-Forwarded-Proto https
  http-request set-header X-Real-IP %[src]

Was Backends sehen:
  X-Forwarded-For:  <client-ip>             (defaults: option forwardfor)
  X-Forwarded-Proto: https                  (NEW)
  X-Real-IP:        <client-ip>             (NEW, single value)

PROXY-Protocol-Toggle pro Backend kommt nicht in diesem Release — der
Operator hat „nur Header-Variante" gewählt.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-13 19:28:41 +02:00

cmd

feat(haproxy): X-Forwarded-Proto + X-Real-IP an alle Backends weiterleiten

2026-05-13 19:28:41 +02:00

deploy

feat(scheduler): Auto-Renewal für Let's Encrypt Certs

2026-05-10 22:50:00 +02:00

docs

feat(configgen): Phase 2 Config-Generator + nginx → HAProxy-only Pivot

2026-05-09 10:59:52 +02:00

internal

feat(haproxy): X-Forwarded-Proto + X-Real-IP an alle Backends weiterleiten

2026-05-13 19:28:41 +02:00

management-ui

feat(haproxy): X-Forwarded-Proto + X-Real-IP an alle Backends weiterleiten

2026-05-13 19:28:41 +02:00

packaging/debian

feat(diagnostics): UI-Tools — ping/traceroute/dig/curl/tcp

2026-05-13 15:30:07 +02:00

scripts

feat: install.sh One-Liner-Bootstrap + System-Adressen-Card auf IP-Page

2026-05-09 16:23:58 +02:00

.gitignore

chore: initial skeleton

2026-05-08 18:45:41 +02:00

agent.md

feat(configgen): Phase 2 Config-Generator + nginx → HAProxy-only Pivot

2026-05-09 10:59:52 +02:00

Agent.md

fix(update): sudo für apt-get update — Banner blieb sonst auf altem Stand

2026-05-11 14:28:37 +02:00

CLAUDE.md

chore(deps): Go 1.25.7 → 1.26.3

2026-05-12 18:25:41 +02:00

go.mod

feat(backup): Off-Site-Upload nach S3 + SFTP

2026-05-13 18:49:02 +02:00

go.sum

feat(backup): Off-Site-Upload nach S3 + SFTP

2026-05-13 18:49:02 +02:00

Makefile

feat: Networks-Members für bridge/bond + System-Rules-Card + Theme-Revert

2026-05-10 16:19:07 +02:00

README.md

feat(configgen): Phase 2 Config-Generator + nginx → HAProxy-only Pivot

2026-05-09 10:59:52 +02:00

VERSION

feat(haproxy): X-Forwarded-Proto + X-Real-IP an alle Backends weiterleiten

2026-05-13 19:28:41 +02:00

README.md

EdgeGuard

Native Reverse-Proxy / Loadbalancer / Forward-Proxy / VPN / Firewall — als signiertes .deb für Debian 13 + Ubuntu 24.04, amd64 + arm64.

Status: v0.x — Neufassung des bisherigen Docker-Stacks, parallel zum Bestand proxy-lb-waf.

Installation

curl -fsSL https://get.edgeguard.netcell-it.de | sudo bash

Unterstützte Plattformen: Debian 13 (Trixie), Ubuntu 24.04 LTS (Noble) — amd64 + arm64.

Architektur in Kürze

Daten-Services (v1): HAProxy (TLS-Termination + LB + L7-Routing), Squid, WireGuard, Unbound, nftables — alle nativ via APT, Configs aus PostgreSQL generiert.
Control-Plane: edgeguard-api (Go/Gin), management-ui (React/AntD), PostgreSQL 16, KeyDB Active-Active.
Cluster: N symmetrische Peers, KeyDB AA für Shared State, PG Streaming Replication, Floating-IP des Hosters statt VRRP.
Auslieferung: signierte .deb, Update via apt. Update-Trigger via UI/API.

Volle Architektur: docs/architecture.md.

Build

make build       # Host-Architektur
make deb         # amd64 + arm64 .deb
make publish     # deb + Upload Gitea Package Registry

Repo

Lokal: /var/www/edgeguard-native
Gitea: https://git.netcell-it.de/projekte/edgeguard-native

Languages

Go 51.1%

TypeScript 34.4%

CSS 8.4%

Shell 3.8%

Smarty 1.8%

Other 0.4%