Hallo Leute,
der Server TEST01TS01 ist hinter der Opnsense und wenn ich dort einfach nur Surfen möchte, z.B. google.de aufrufe bekomme ich ein Zertifikatfehler.
Es erscheint immer das Zertifikat vom HA Proxy. Bzw. Acme Client. Warum?
Hier meine Konfiguration:
Hallo dima1002,
ich spreche jetzt nur mal für MICH: Es wäre günstiger, wenn du uns mal die Einstellungen als Screenshot vom HAProxy schickst. ICH habe keine Lust die komplette Config bei dir zu durchsuchen, wo auch noch Passwörter drin stehen (vielleicht auch noch nur gehasht), aber "admin" und das Passwort kann ich sehen. ;)
Ich denke, mit dem ACME Client hat das nix zu tun. Ich vermute eher der Admin Port von der OpnSense in Verbindung mit den Firewallregeln/NAT oder/und HAProxy.
Aber vielleicht sehen das andere Mitglieder anders und wissen sofort, wo sie in der XML hinschauen müssen, OHNE lange zu suchen. ICH weiß es leider nicht. Dafür habe ich zu wenig Erfahrung mit dem Lesen von XML Configs und dem interpretieren.
Sorry dachte das wäre so einfacher. Die Passwörter und Zertifikate usw. hatte ich aber in der Konfiguration vorher abgeändert und leider gehen ja nur 4 Screenshots.
Dann hier die Screenshots, hoffe die sind nicht all zu klein.
LAN=10.50.50.1
WAN= 10.50.52.2
TEST01TS01 = DIM01TS01
Ich persönlich denke das er einen Proxy laufen hat unter einen Interception Check macht und dort hast du wahrscheinlich ein z.b internes Zertifikat hinterleg was diesen Fehler mit dem Zertifikat versucht oder ein Self Sign.
Ist aber nur eine Vermutung ohne auf deine Box zu schauen.
Oder unbeabsichtigt ein Port Forward an einer Stelle wo es nicht hin gehört.
Wie kann ich ein Interception Check prüfen?
Port Forward habe ich ein Screenshot gepostet
Kann ja leider nur 4 Posten, wenn Ihr mehr benötigt, einfach sagen.
hier noch ein paar Screenshots
Anders gefragt was passiert wenn du HA-Proxy und den Regeln dazu deaktivierst hast du dann immer noch die Zertifikats Probleme weil so wie ich das verstehe verwendest du diesen doch für deine Outbound Addresse um diese dann absichern über SSL.
Wenn du deine Outbound Traffic absichern möchtest weis nicht ob de HA-Proxy das richtige ist ich würde dazu entweder ein Externes Produkt nehmen als Webproxy oder installier dir das Webproxy Plugin was angeboten wird unter den Pungins.
Es kommt aber darauf an was mit dem HAProxy genau erreichen wolltest. Ich habe diesen z.b bei mir nur laufen um für eine Weiterleitung auf das Webinterface vom RSPAMD.
den HAProxy und Zertfikate nehme ich für andere Server. Der Windows Server hat damit eigentlich gar nichts damit zu tun. Wollte für einen CheckMK Server ein Zertifikat haben.
Wenn ich den HA Proxy deaktiviere, ist der Server ganz offline.
Anbei noch ein Screenshot, wie es aussieht wenn ich Surfe. D.h. ich geh auf Google.com und oben sehe ich dann mein Zertifikat vom HAProxy
hier noch die HAProxy Konfiguration, name usw. habe ich geändert:
global
uid 80
gid 80
chroot /var/haproxy
daemon
stats socket /var/run/haproxy.socket group proxy mode 775 level admin
nbthread 6
hard-stop-after 60s
no strict-limits
tune.ssl.ocsp-update.mindelay 300
tune.ssl.ocsp-update.maxdelay 3600
httpclient.resolvers.prefer ipv4
tune.ssl.default-dh-param 2048
spread-checks 2
tune.bufsize 16384
tune.lua.maxmem 0
log /var/run/log local0 info
lua-prepend-path /tmp/haproxy/lua/?.lua
defaults
log global
option redispatch -1
timeout client 30s
timeout connect 30s
timeout server 30s
retries 3
default-server init-addr last,libc
# autogenerated entries for ACLs
# autogenerated entries for config in backends/frontends
# autogenerated entries for stats
# Frontend: Letsencrypt_80 (Letsencrypt_80)
frontend Letsencrypt_80
bind 10.50.52.2:80 name 10.50.52.2:80
mode tcp
# logging options
# Frontend: LetsEncrypt_443 (LetsEncrypt_443)
frontend LetsEncrypt_443
http-response set-header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
bind 10.50.52.2:443 name 10.50.52.2:443 ssl prefer-client-ciphers ssl-min-ver TLSv1.2 ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256 ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 alpn h2,http/1.1 crt-list /tmp/haproxy/ssl/665363d00b6901.61101611.certlist
mode http
option http-keep-alive
default_backend acme_challenge_backend
option forwardfor
# logging options
# ACL: find_acme_challenge
acl acl_665360c0b7aef6.55967259 path_beg -i /.well-known/acme-challenge/
# ACL: DIM01CHECKMK
acl acl_66536313ce2220.70622935 hdr(host) -i checkmk.test.de
# ACTION: redirect_acme_challenges
use_backend acme_challenge_backend if acl_665360c0b7aef6.55967259
# ACTION: DIM01CHECKMK
use_backend DIM01CHMK if acl_66536313ce2220.70622935
# Backend: acme_challenge_backend (Added by ACME Client plugin)
backend acme_challenge_backend
# health checking is DISABLED
mode http
balance source
# stickiness
stick-table type ip size 50k expire 30m
stick on src
http-reuse safe
# Backend: DIM01CHMK ()
backend DIM01CHMK
# health checking is DISABLED
mode http
balance source
# stickiness
stick-table type ip size 50k expire 30m
stick on src
http-reuse safe
server DIM01CHMK 10.50.50.4:443 ssl verify required ca-file /etc/ssl/cert.pem
# statistics are DISABLED
Falscher Name im Zertifikat.
Klick mal drauf und schau dir den Namen dann siehst du warum du die Fehlermeldung bekommst du hast ein Interception oder erstellt.
Wenn du andere Server absichern willst so habe ich es gemacht mit einem Zertifkat dann würde ich einen Reverse Proxy bauen. Allerdings habe ich das nicht mit dem HA-Proxy das geht damit auch aber ich habe dafür eine VM genommen mit NGINX und habe dort ein Wildcard Zertifikat hinterlegt und mit diesem sämtliche Webservices abgedeckt.
Vermutlich ist das was du machen wolltest.
https://docs.opnsense.org/manual/reverse_proxy.html
Hier ist sowas z.b auch beschrieben wie es geht.
Das Zertifikat habe ich gelöscht und neu erstellt, aber leider ist das Problem geblieben.
Das komische ist, nslookup funktioniert, Seiten ohne https funktionieren nur keine mit https.
Obwohl der Server eigentlich mit dem HAProxy nix zu tun hat, kommt beim Surfen nur das Zertifikat von dem HAProxy.
Ich habe noch 4 weitere Opnsense Server mit HAProxy, da funktioniert alles.
QuoteIch habe noch 4 weitere Opnsense Server mit HAProxy, da funktioniert alles.
Haben die alle die gleichen Einstellungen? Hast du dort auch einen Server der auf irgendwas mit 443 hört?