Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: stsnake on March 13, 2024, 12:03:15 PM

Title: ACME LetsEncrypt mit HAProxy - Zertifikate werden teilweise nicht ausgeliefert
Post by: stsnake on March 13, 2024, 12:03:15 PM
Hallo zusammen,

ich habe seit einigen Wochen ein komisches Verhalten bei meiner OPNsense Installation im Zusammenspiel mit ACME (LetsEncrypt Zertifikate) und dem HAProxy. Ich habe die OPNsense vor einigen Jahren mit der Anleitung aufgesetzt (https://old.schulnetzkonzept.de/opnsense) und es lief alles wie gewünscht.

Seit einigen Wochen werden die Seiten nicht mehr, nicht mehr vollständig oder erst nach einem Reload der Seite richtig geladen. Zum Beispiel wenn ich auf meine OPNsense Weboberfläche Zugreife, mich anmelde dann erscheint das Dashboard nur in Teilen. Es kann aber auch sein, dass die Loginseite beim ersten Aufruf mit dem Fehler: Dies ist keine sichere Verbindung - NET::ERR_CERT_COMMON_NAME_INVALID in diesem Fall ist das ausgelieferte Zertifikat nicht das richtige / ungültig da es eines für eine andere Subdomain ist (z.B. pihole1.xyz.de). Nach einem Reload der Seite klappt es dann wieder mit der Loginmaske und dem richtigen Zertifikat.

Im Log des HAProxy sehe ich dann die verschiedenen Anfragen des Clients und bei einer der Anfragen einen Fehler:

Code Select

2024-03-13T11:58:07 Informational haproxy Connect from 192.168.xyz.62:49860 to 192.168.xyz.7:443 (https_lan/HTTP)
2024-03-13T11:58:05 Informational haproxy 192.168.xyz.62:49861 [13/Mar/2024:11:58:05.213] https_lan_wan/192.168.xyz.7:443: SSL handshake failure (error:0A000416:SSL routines::sslv3 alert certificate unknown)
2024-03-13T11:58:05 Informational haproxy Connect from 192.168.xyz.62:49859 to 192.168.xyz.7:443 (https_lan_wan/HTTP)


Meine OPNsense ist auf dem aktuellen Stand (OPNsense 24.1.3) mit os-acme-client 4.1 und os-haproxy 4.3.

Vielleicht hatte das Problem schon einmal jemand oder kann einen Tipp in die richtige Richtung geben. Im Forum und auch in der Google Suche habe ich leider nichts gefunden, was das Problem behebt.

Vielen Dank schon einmal
Steffen
Title: Re: ACME LetsEncrypt mit HAProxy - Zertifikate werden teilweise nicht ausgeliefert
Post by: Ronny1978 on March 13, 2024, 02:19:11 PM
Browser Cache und Cookies mal gelöscht?

Ronny
Title: Re: ACME LetsEncrypt mit HAProxy - Zertifikate werden teilweise nicht ausgeliefert
Post by: stsnake on March 13, 2024, 02:29:47 PM
Ja Cache und Cookies sind gelöscht und mit mehreren Web-Browsern und Rechnern das gleiche Verhalten.
Title: Re: ACME LetsEncrypt mit HAProxy - Zertifikate werden teilweise nicht ausgeliefert
Post by: stsnake on March 18, 2024, 10:25:08 AM
Das Problem konnte gelöst werden. Das Problem lag in der Konfiguration des HAProxy. Ich hatte beim öffentlichen Dienst für externe Anfragen fälschlicherweise die IP des internen öffentlichen Dienst mit einem Port hinterlegt. Das hat sich gebissen.
Text only | Text with Images