Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Artist on May 22, 2022, 06:48:47 PM

Title: Port 80 nicht von extern erreichbar bei Multi-WAN
Post by: Artist on May 22, 2022, 06:48:47 PM
Liebe Firewaller,

seit Kurzem bin ich ja auch ein OPNsense-Freund, aber ich habe immer noch ein paar Schwierigkeiten.

Ich habe zwei WAN-Interfaces in Failover-Konstellation, sagen wir A und B. Gateway A wird mir als "active" angezeigt, denn offensichtlich ist das standardmäßig die ausgehende Verbindung für die OPNsense.

Allerdings sind meine Webdomains per DNS-Eintrag auf die öffentlichen IPs gelegt, die zu Gateway B führen. Das NAT zum Webserver hinter meiner Firewall funktioniert wunderbar.

Jetzt wollte ich Let's Encrypt-Zertifikate auf der OPNsense erstellen. Ziel ist den Webserver auf der OPNsense zu betreiben (ohne NAT).
Leider ist von außen der Port 80 auf der WAN-Gateway-Adresse B nicht erreichbar sondern immer nur auf dem active Gateway.
Let's Encrypt kann also die angefragten Zertifikate nicht erstellen, weil es die Webdomains versucht, gemäß DNS-Eintrag über Gateway B zu verifizieren.

Wie bekomme ich also den Port 80 auf beiden WAN-Schnittstellen gleichzeitig erreichbar?

Danke im Voraus für Eure Unterstützung!
Title: Re: Port 80 nicht von extern erreichbar bei Multi-WAN
Post by: mrk45k on May 27, 2022, 09:33:11 AM
Hallo,
ich kann dir da so erst einmal nicht helfen denke ich.

Es sei den du hast eine Konstellation wie ich DSL und LTE.
Und bei mir funktioniert das ganze nicht weil ich eine RFC1918 Adresse erhalte vom ISP für LTE.

Aber bist du sicher das du Port 80 für den certbot brauchst?
Sinnigerweise sollte es eigentlich der Port 443 (https) sein.
Ich denke das wird let's encrypt eher nutzen heutzutage.

Title: Re: Port 80 nicht von extern erreichbar bei Multi-WAN
Post by: Patrick M. Hausen on May 27, 2022, 09:36:15 AM
Quote from: mrk45k on May 27, 2022, 09:33:11 AM
Aber bist du sicher das du Port 80 für den certbot brauchst?
Sinnigerweise sollte es eigentlich der Port 443 (https) sein.
Ich denke das wird let's encrypt eher nutzen heutzutage.
Das Challenge-Response-Verfahren per HTTP für Letsencrypt wird grundsätzlich über eine unverschlüsselte Verbindung durchgeführt. Die Sicherheit liegt im Verfahren selbst, da braucht es keinen verschlüsselten Kanal.

Und es geht ja gerade darum, ein Zertifikat zu beantragen, d.h. oft steht noch gar kein HTTPS zur Verfügung.
Title: Re: Port 80 nicht von extern erreichbar bei Multi-WAN
Post by: mrk45k on May 27, 2022, 11:03:00 AM
QuoteUnd es geht ja gerade darum, ein Zertifikat zu beantragen, d.h. oft steht noch gar kein HTTPS zur Verfügung.

Klingt verdächtig plausibel. So eine "Henne oder Ei zuerst" Situation.
Title: Re: Port 80 nicht von extern erreichbar bei Multi-WAN
Post by: Artist on May 28, 2022, 01:53:49 PM
Kann mir niemand sagen, wieso ich zwar den Port 80 zu meinem Webserver hinter OPNsense NATen kann, aber wenn ich das NAT deaktiviere, ist der Port 80 auf meinem WAN2-Interface "closed"?

Wie bekomme ich den Let's Encrypt-Dienst dazu, auch auf WAN 2 zu hören anstatt nur auf WAN 1?
Text only | Text with Images