LetsEncrypt und HAProxy

[Nephiria]

Hallo zusammen,

das ist mein erstes grösseres Problem mit "opnsense".
Auf meiner Box ist die Version 17.7-8 installiert.

ich bekomme folgende Problem wenn ich versuche HAIntegration zu aktivieren.

https://ibb.co/jGGO9b

Vielleicht kann mir jemand helfen bei dem Problem.
Danke

[Nephiria]

Hallo der Threat kann geschlossen werden konnte das Problem mit 17.7-9 lösen danke.

[rantwolf]

Gruß an alle.

Ich lese zwar schon eine Weile mit, mußt mich aber jetzt doch mal anmelden.

Ich habe zu diesem Thema auch noch eine Frage.

Hab mir meine OPNsense hinter meiner FritzBox eingerichtet.
Funzt gut und sehr stabil als VM.

Ich hab mir auch die Erweiterungen für Lets'Encrypt und HAproxy eingerichtet für ein Webmail eines Mail-Servers. Das Let'sEncrypt-Zertifikat wird bestens durch den HAproxy eingebunden.

Nun aber zur Thematik.
Kann ich das auch für SMTP und IMAP machen?
Wie müßte man dazu vorgehen?

Danke im Voraus

[fabian]

Nun aber zur Thematik.
Kann ich das auch für SMTP und IMAP machen?
Wie müßte man dazu vorgehen?

Du stellst dir das Zertifikat einfach für einen Webserver aus und verwendest es dann auch für den Mailserver.
Also einfach das Zertifikat herunterladen und dann in den Mailserver einspielen.

[rantwolf]

Ja das wäre ne Möglichkeit.
Aber ich dachte mir, daß der HAproxy wie es mit https funzt auch mit anderen Protokollen läuft.
Dann könnte ich mir das Kopieren der Zertifikate sparen.

Bei Let'sEncrypt muß das ja dann alle 90 Tage erfolgen.
Über den HAproxy wäre es automatisiert...

[ChrisH]

Ja, das funktioniert natürlich. Ein Frontend im TCP-Modus anlegen und als Backend-Server deinen Mailserver.

Geht aber nur mit IMAPS (Port 993) und SMTPS (Port 465) - explizite Verschlüsselung auf den Standardports 143 und 25/587 mittels STARTTLS klappt natürlich nicht.

[rantwolf]

Soo.
Hab in den letzten Tagen damit gespielt.

Eins kann ich sagen, HAproxy ist sehr gut,
aber für einen Mail-Server nicht wirklich geeignet.
Da sich dieser irgendwie als ManInMiddle verhält, funktioniert die Authentifizierung dann nicht mehr wirklich.

Für https hab ich es drin und geht sehr schnell.
Für die eMail Protokolle hab ich halt das Zertifikat auf den Srv rüber kopiert.
Geht dann halt erstmal nicht anderweitig.

[ChrisH]

Naja dass er ungeeignet ist kann man so pauschal nicht sagen. Der Mailserver muss halt damit zurechtkommen.

Z.B. muss man einstellen können, dass die Verbindung schon extern SSL-verschlüsselt ist und plain-text-auth daher zulässig ist.
Diverse Antispam-Funktionen (Greylisting, DNSBL) klappen auch nicht mehr, weil die eingehende IP ja immer die vom HAProxy ist, nicht vom eigentlichen Client.

Bei mir klappt das mit einem Exchange ganz wunderbar.

[JeGr]

> Da sich dieser irgendwie als ManInMiddle verhält, funktioniert die Authentifizierung dann nicht mehr wirklich.

Was ist damit gemeint? Hast du den Post von ChrisH vollständig gelesen? Da es kein SMTP Proxy ist, kann man eh nur die reinen TLS/SSL Verbindungen durchleiten, was anderes wird nicht funktionieren. Und Proxy für SMTP ist - aus genau den Gründen von Chris (IP ist immer Proxy IP etc.) - eh nur so halbgar gut. Wenn schon, dann müsste ein Proxy an der Stelle auch wirklich schon Greylisting, DNSBL und erste Filterchecks machen, damit er schon einen guten Teil der Mails abtropfen lassen kann und nur das weiterreicht, was die erste Prüfung so überstanden hat.

[fabian]

Wenn schon, dann müsste ein Proxy an der Stelle auch wirklich schon Greylisting, DNSBL und erste Filterchecks machen, damit er schon einen guten Teil der Mails abtropfen lassen kann und nur das weiterreicht, was die erste Prüfung so überstanden hat.

Gibt es eh schon, wird vermutlich mit 18.1 veröffentlicht. Besteht aus den Plugins postfix, rspamd, redis und clamav.

[JeGr]

Genau, aber wie du richtig sagst, das ist dann kein Job für einen Loadbalancer/Proxy, sondern eher was für einen angepassten (vorgeschalteten) Mailserver :)