Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: mweis on July 29, 2019, 04:03:04 PM

Title: HA-Proxy liefert falsches Zertifkat aus
Post by: mweis on July 29, 2019, 04:03:04 PM
Hallo,

ich wollte eine zweite Domain zum HA-Proxy hinzufügen. Er sagt mir auch, dass meine Syntax keinen Fehler enthält, allerdings liefert er beim Aufruf von Domain B das Zertifkat von Domain A aus. Beide haben natürlich die gleichen IPs, da ich die Zertifikate über dyndns / letsencrypt cloudflare api erstellt habe.

Ich dachte ich füge unter "Public Serices" den neuen Server hinzu und die Sache läuft. Was mich irritiert in den Logs vom HA-Proxy sehe ich auch dass obwohl ich Domain B aufrufe, der HA-Proxy glaubt ich rufe Domain A auf.

An welcher Stelle kann ich das Problem fixen?

Danke
Title: Re: HA-Proxy liefert falsches Zertifkat aus
Post by: fabian on July 29, 2019, 05:18:46 PM
Sieht nach einem Fehler im Frontend bei der TLS-Konfiguration aus. Würde da aber eher auf eine Antwort von Frank warten, da ich kein Experte für HAProxy bin.
Title: Re: HA-Proxy liefert falsches Zertifkat aus
Post by: superwinni2 on July 29, 2019, 09:57:37 PM
Hallo mweis


hast du die Zertifikate im Frontend (Public Services) auch zugeordnet?
Das Let's Encrypt Plugin erstellt nur das Zertifikat. Damit dieses auch vom HAProxy benutzt wird, muss man dieses unter SSL Offloading hinzufügen.
Title: Re: HA-Proxy liefert falsches Zertifkat aus
Post by: mweis on July 30, 2019, 08:30:29 AM
Guten Morgen,

ja habe ich eigentlich siehe Screenshots.

Title: Re: HA-Proxy liefert falsches Zertifkat aus
Post by: superwinni2 on July 30, 2019, 08:41:48 AM
Ahhhh

Allgemeiner Denkfehler... Der passiert leider relativ oft....
Du darf pro IP/Port nur ein Frontend anlegen....

Hier hatte ein anderer Benutzer das gleiche Problem...
https://forum.opnsense.org/index.php?topic=12725.msg58882#msg58882 (https://forum.opnsense.org/index.php?topic=12725.msg58882#msg58882)

Vielleicht hilft es dir weiter :) Falls nicht nochmals melden... Habe nur keine Lust es doppelt zu schreiben ;)




Kurzform:
Du darfst nur ein Frontend anlegen mit der Listen Addresses 0.0.0.0:856 und dann musst du mit Hilfe von Bedingungen und Regeln unterscheiden welches Backend benutzt werden soll :)

Sonst greift immer nur das "erste" Frontend was in der Config steht :)

Wenn es dir nicht weiterhilft, dann können wir es auch gerne zusammen "aufschlüsseln"  ;D

Grüße
Title: Re: HA-Proxy liefert falsches Zertifkat aus
Post by: mweis on July 30, 2019, 09:02:39 AM
okay danke, mir erschließt sich aber nicht, in welchem Punkt in dann den backends die entsprechenden Zertifikate zuweise?

EDIT: geht :)
Title: Re: HA-Proxy liefert falsches Zertifkat aus
Post by: superwinni2 on July 30, 2019, 09:10:04 AM
Da ich eben deinen Edit sehe das es klappt ist ja schonmals alles gut :)


Nur um den Thread sauber abzuschließen:
Zertifikate weißt man dem Frontend, nicht dem Backend zu :) es geht ja darum, dass der Client verschlüsselt mit dem HAProxy spricht.
Wie der HAProxy zu dem eigentlichen Server spricht, stellt man unter den "Real Servers" ein.
Text only | Text with Images