様子見。
in-deep.blue はTLSオフローダとしてHAProxyを利用しておりますが、Debian Backports上にある2.6系から自前ビルドの2.8系に更新してみました。
2.8になって何が嬉しいかというとQUICの本対応です。(他にも色々ある)
実は2.6系から一応使えはしたのですが、Backportsのものは非対応です。どうせビルドするなら新しいものを・・・というやつです。
一応動いているように見えていますが、どこかで不具合が起きたら無効化します。
Mastodonも(見かけ上)QUICで接続されます。なおBackendは・・・(手抜き。)
追記 ビルドめも
cd wk/openssl<br>git pull<br>git checkout opensslばーじょん<br>./Configure --libdir=lib --prefix=/opt/quictls linux-x86_64<br>make -j2<br>make -j16 install<br><br>cd ../haproxy-2.8<br>git pull<br>make TARGET=linux-glibc \<br> USE_LUA=1 \<br> USE_PCRE=1 \<br> USE_ZLIB=1 \<br> USE_SYSTEMD=1 \<br> USE_PROMEX=1 \<br> USE_QUIC=1 \<br> USE_OPENSSL=1 \<br> SSL_INC=/opt/quictls/include \<br> SSL_LIB=/opt/quictls/lib \<br> LDFLAGS="-Wl,-rpath,/opt/quictls/lib"<br>./haproxy -vv<br><br>make install-bin<br><br>cd admin/systemd<br>make haproxy.service<br>cp ./haproxy.service /etc/systemd/system/<br><br>mkdir -p /etc/haproxy<br>mkdir -p /run/haproxy2023/12/07 HAProxyの設定例も追記。
frontend default-tls-fr<br> http-request set-header X-Forwarded-Proto https<br> http-request set-header X-Real-IP %[src]<br> http-after-response add-header alt-svc 'h3=":443"; ma=31536000'<br> option forwardfor<br> default_backend default-bk<br><br> bind *:443 ssl crt /etc/haproxy/in-deep.blue.pem alpn h2,http/1.1<br> bind [::]:443 ssl crt /etc/haproxy/in-deep.blue.pem alpn h2,http/1.1<br> bind quic4@:443 ssl crt /etc/haproxy/in-deep.blue.pem alpn h3<br> bind quic6@:443 ssl crt /etc/haproxy/in-deep.blue.pem alpn h3<br><br> http-request set-var(txn.host) req.hdr(host)<br><br> acl isjp src -f /opt/geoip/JP.txt<br> acl iswpadminpath path -i -m beg /wp-admin<br> acl iswpadminpath path -i -m beg /wp-login.php<br> http-request reject if !isjp iswpadminpath<br><br> use_backend mastodon-sv1-https-bk if { req.hdr(host) sv1.in-deep.blue }<br> use_backend ipinfo-bk if { req.hdr(host) ipinfo.in-deep.blue || req.hdr(host) ipinfo-v4.in-deep.blue }<br> use_backend httpbin-bk if { req.hdr(host) httpbin.in-deep.blue }<br> use_backend speed-bk if { req.hdr(host) speed.in-deep.blue }