OPNsense Forum
International Forums => German - Deutsch => Topic started by: micneu on August 07, 2020, 10:39:30 pm
-
Ich habe mich mal wieder an meinem HA Proxy gemacht, mein ziel ist es auch zuhause über LE Zertifikate zu nutzen.
Habbe es versucht an der Anleitung:
https://schulnetzkonzept.de/opnsense
Als erste mal einen auszug aus meiner HAProxy Log:
2020-08-07T22:29:50 haproxy[32735]: Connect from 80.175.fff.zzz:56011 to 192.168.3.2:80 (http_lan_wan/HTTP)
2020-08-07T22:29:50 haproxy[32735]: Connect from 80.175.fff.zzz:56008 to 192.168.3.2:80 (http_lan_wan/HTTP)
2020-08-07T22:17:44 haproxy[32735]: 80.187.xxx.yy:18061 [07/Aug/2020:22:17:44.135] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:43 haproxy[32735]: 80.187.xxx.yy:18040 [07/Aug/2020:22:17:43.353] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:38 haproxy[32735]: 80.187.xxx.yy:17830 [07/Aug/2020:22:17:38.652] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:38 haproxy[32735]: 80.187.xxx.yy:17828 [07/Aug/2020:22:17:38.649] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:37 haproxy[32735]: 80.187.xxx.yy:17733 [07/Aug/2020:22:17:37.201] https_lan_wan/192.168.3.2:443: SSL handshake failure
als bild werde ich mal meine config posten
-
weiter gehts mit meiner konfig:
-
weiter gehts mit meiner konfig:
-
weiter gehts mit meiner konfig:
-
Hey micneu
Ich würde am deiner Stelle eines mach dem anderen machen...
Zuerst versuchen haproxy mit letsencrypt laufen zum laufen zu bringen und danach deine eigenen Seiten hinzufügen...
Kurze Fragen vorweg:
Was benutzt du für eine Authentifizierung bei LE? Http01 oder dns01?
Bei http-01:
Du musst 2 Frontends anlegen... Eines für per 80 und eines für Port 443.. Dort dann die acme Regel hinzufügen...
Hoffe das hilft dir auf die schnelle weiter..
Grüße
Gesendet von meinem LG-H815 mit Tapatalk
-
ich nutze: Http01
also, ich habe nichts im haproxy gefunden was frontend heist.
bei mir habe ich zur auswahl:
Real Servers:
- Real Servers
Virtual Services:
- Backend Pools
- Public Service
Rules & Checks:
- Health Monitors
- Conditions
- Rules
habe ich eine falsche version?
Zuerst versuchen haproxy mit letsencrypt laufen zum laufen zu bringen und danach deine eigenen Seiten hinzufügen...
wie soll ich das denn machen, ich muss doch was haben zum aufrufen?
-
Oh sorry... Früher hieß es Frontend... Heute public Service...
Naja... Du hostest eben erstmal keine Webseite sondern erstmal das backend von Letsencrypt...
Ob alles funktioniert, siehst du in der Logdatei /var/log/acme.sh.log wenn am Ende irgendwas mit "_on_success" oder Sowas steht.
Ich bin aktuell nur am Handy unterwegs... Daher kann ich nur entsprechend schlecht lange Texte schreiben und in meine opnsense schauen :D
Im Endeffekt macht haproxy nichts anderes als ein großes "If else" Regel Werk...
Die erste Regel (hat ja LE bereits angelegt) ist wenn der Pfad mit "_acme-challenge" beginnt, dann soll er auf das LE Backend.
____________________
Später fügst du eine weitere Regel hinzu in der steht, dass wenn der Host "Speedtest.domain.de" heißt, das es auf das backend von deiner Speedtest Seite geht.
Und so unterscheidest du die ganzen Seiten voneinander
Gesendet von meinem LG-H815 mit Tapatalk
-
danke für den tip, habe mal in die log (/var/log/acme.sh.log ) geschaut und da habe ich wohl noch ein problem:
[Fri Jun 19 06:55:14 CEST 2020] POST
[Fri Jun 19 06:55:14 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/finalize/89090816/3830595372'
[Fri Jun 19 06:55:14 CEST 2020] _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header --trace-ascii /tmp/tmp.deB37lZ3 -g '
[Fri Jun 19 06:55:15 CEST 2020] _ret='0'
[Fri Jun 19 06:55:15 CEST 2020] code='200'
[Fri Jun 19 06:55:15 CEST 2020] Order status is valid.
[Fri Jun 19 06:55:15 CEST 2020] Le_LinkCert='https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2'
[Fri Jun 19 06:55:15 CEST 2020] Download cert, Le_LinkCert: https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2
[Fri Jun 19 06:55:15 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2'
[Fri Jun 19 06:55:15 CEST 2020] payload
[Fri Jun 19 06:55:16 CEST 2020] POST
[Fri Jun 19 06:55:16 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2'
[Fri Jun 19 06:55:16 CEST 2020] _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header --trace-ascii /tmp/tmp.deB37lZ3 -g '
[Fri Jun 19 06:55:16 CEST 2020] _ret='0'
[Fri Jun 19 06:55:16 CEST 2020] code='200'
[Fri Jun 19 06:55:16 CEST 2020] Found cert chain
[Fri Jun 19 06:55:16 CEST 2020] _end_n='37'
[Fri Jun 19 06:55:16 CEST 2020] Le_LinkCert='https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2'
[Fri Jun 19 06:55:16 CEST 2020] Cert success.
[Fri Jun 19 06:55:16 CEST 2020] Your cert is in /var/etc/acme-client/home/speedtest-local.meinedomain.de/speedtest-local.meinedomain.de.cer
[Fri Jun 19 06:55:16 CEST 2020] Your cert key is in /var/etc/acme-client/home/speedtest-local.meinedomain.de/speedtest-local.meinedomain.de.key
[Fri Jun 19 06:55:16 CEST 2020] v2 chain.
[Fri Jun 19 06:55:16 CEST 2020] The intermediate CA cert is in /var/etc/acme-client/home/speedtest-local.meinedomain.de/ca.cer
[Fri Jun 19 06:55:16 CEST 2020] And the full chain certs is there: /var/etc/acme-client/home/speedtest-local.meinedomain.de/fullchain.cer
[Fri Jun 19 06:55:16 CEST 2020] Installing cert to:/var/etc/acme-client/certs/5eea0173e87a66.97446263/cert.pem
[Fri Jun 19 06:55:16 CEST 2020] Installing CA to:/var/etc/acme-client/certs/5eea0173e87a66.97446263/chain.pem
[Fri Jun 19 06:55:16 CEST 2020] Installing key to:/var/etc/acme-client/keys/5eea0173e87a66.97446263/private.key
[Fri Jun 19 06:55:16 CEST 2020] Installing full chain to:/var/etc/acme-client/certs/5eea0173e87a66.97446263/fullchain.pem
[Fri Jun 19 06:55:16 CEST 2020] [b]_on_issue_success[/b]
-
Nee... Das sieht eigentlich gut aus wenn ich das richtig sehe...
Kannst ansonsten über system -> certs Das Zertifikat herunterladen und anschauen
Gesendet von meinem LG-H815 mit Tapatalk
-
ok, dann haben wir das mit dem LE Cert geklärt nur warum kann ich mir die webseite nicht anzeigen lassen, habe doch ein zertifikat.
mein ipad sagt nee ist kein zertifikat:
-
Hast du im Frontend (Public Service) auch das Zertifikat hinzugefügt?
In dem mit dem Port 443
Gesendet von meinem LG-H815 mit Tapatalk
-
ich denke schon das ich alles eingetragen habe, hier die konfig hatte ich schon gepostet:
https://forum.opnsense.org/index.php?action=dlattach;topic=18499.0;attach=11502;image
-
Ahhh... Hast du mal den haproxy neu gestartet? Der braucht das, wenn man das Zertifikat ändert..
Gesendet von meinem LG-H815 mit Tapatalk
-
ok, danke, ich habe jetzt nochmal neu angefangen, mit einer anderen anleitung.
die hat irgend wie einen etwas anderen ansatz.
https://blog.we-cme.de/haproxy-auf-opnsense-als-https-frontend-mit-lets-encrypt/
was ist denn von beiden der richtige weg?
-
Naja...einfach wieder von 0 anzufangen ist zwar manchmal hilfreich... Macht does hier alles aber nun sicherlich ein Stück komplizierter... Aber okay.. Ist nun eben so...
Ich habe deine 2. Anleitung eben mal überflogen und denke, dass dies so funktionieren wird. Wenn nicht, kann ich dir jedoch nicht genau sagen warum...
Der erste Schritt mit LE hat ja bereits erfolgreich funktioniert... Daher verstehe ich nicht, warum man hier nicht schaut warum der 2. Schritt nicht funktioniert...
Ich frage nun einfach anderst herum... Du hast ja nun die 2. Anleitung gemacht... Funktioniert LE noch?
Gesendet von meinem LG-H815 mit Tapatalk
-
PS.:
War eben mal auf deiner Speedtest Seite.
Es funktioniert ja :)
-
mit der 2.anleitung hat es auf anhib funktioniert. keine probleme
danke