1
German - Deutsch / Re: HAProxy vertauscht SSL-Zertifikate / Zuordnung ACME funktioniert nicht
« on: September 24, 2023, 10:24:49 am »
OK ich werde es nochmal versuchen - Danke für die Rückmeldung 
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: [1]
2
German - Deutsch / Re: HAProxy vertauscht SSL-Zertifikate / Zuordnung ACME funktioniert nicht
« on: September 19, 2023, 10:48:49 pm »
Danke für den Input - das mit dem Default-Zertifikat bei direktem IP-Zugriff werde ich auf jeden Fall einbauen, denke das ist ne gute Sache. 
Die Zuordnung wird bei mir unter Rules & Checks -> Conditions gemacht.. und zwar mit dem Hostname
Über die Rules wird es dann einem Backend zugeordnet
Das funktioniert auch alles tadellos - also die Zuordnung (Sub)Domain zu der richtigen VM das funktioniert immer. Nur gibt der HAProxy bzw. OPNSense die Zertifikate (SSL-Offloading) per Zufallsprinzip raus, und das führt dann natürlich zu Problemen.
Die Zuordnung wird bei mir unter Rules & Checks -> Conditions gemacht.. und zwar mit dem Hostname
Über die Rules wird es dann einem Backend zugeordnet
Das funktioniert auch alles tadellos - also die Zuordnung (Sub)Domain zu der richtigen VM das funktioniert immer. Nur gibt der HAProxy bzw. OPNSense die Zertifikate (SSL-Offloading) per Zufallsprinzip raus, und das führt dann natürlich zu Problemen.
3
German - Deutsch / Re: HAProxy vertauscht SSL-Zertifikate / Zuordnung ACME funktioniert nicht
« on: September 19, 2023, 05:56:57 pm »
Hi meyergru,
Danke für den Link - die Anleitung sieht soweit eigentlich auch gut aus, nur wird hier nur ein LE-Zertifikat verwendet (mit allen Domains).. das funktioniert bei mir schon so auch.
Nur ich will nicht, dass jeder im Zertifikat sehen kann, welche Domains bei mir alles gehostet sind. Und da es ja die Zertifikatsauswahl gibt, würde ich sagen muss das doch auch ordentlich funktionieren. Ich kann den Fehler sogar auf einer anderen OPNSense reproduzieren.
Hier mal das genaue Problem: Die beiden Zertifikate wurden erfolgreich durch ACME angefragt und sind soweit auch ordentlich hinterlegt:
Es sind diese Public Services eingerichtet:
Die Zuordnung für Exchange ist das Exchange-LE-Zertifikat hinterlegt
.. und für Passbolt ist das pb-Zertifikat hinterlegt
Und die beiden Zertikate (obwohl eigentlich eindeutig) würfelt die OPNSense bzw. HAProxy nach (fast) jedem Reboot quer durcheinander.
Danke für den Link - die Anleitung sieht soweit eigentlich auch gut aus, nur wird hier nur ein LE-Zertifikat verwendet (mit allen Domains).. das funktioniert bei mir schon so auch.
Nur ich will nicht, dass jeder im Zertifikat sehen kann, welche Domains bei mir alles gehostet sind. Und da es ja die Zertifikatsauswahl gibt, würde ich sagen muss das doch auch ordentlich funktionieren. Ich kann den Fehler sogar auf einer anderen OPNSense reproduzieren.
Hier mal das genaue Problem: Die beiden Zertifikate wurden erfolgreich durch ACME angefragt und sind soweit auch ordentlich hinterlegt:
Es sind diese Public Services eingerichtet:
Die Zuordnung für Exchange ist das Exchange-LE-Zertifikat hinterlegt
.. und für Passbolt ist das pb-Zertifikat hinterlegt
Und die beiden Zertikate (obwohl eigentlich eindeutig) würfelt die OPNSense bzw. HAProxy nach (fast) jedem Reboot quer durcheinander.
4
German - Deutsch / Re: HAProxy vertauscht SSL-Zertifikate / Zuordnung ACME funktioniert nicht
« on: September 18, 2023, 11:27:27 pm »
*** EDIT ***
Hier ein älterer Post von jemandem, der ein gleiches/ähnliches Problem hat
https://forum.opnsense.org/index.php?topic=16149.msg174856
Leider gab es auf den Post bzw. auf meine Nachfrage keine Antwort.
Hier ein älterer Post von jemandem, der ein gleiches/ähnliches Problem hat
https://forum.opnsense.org/index.php?topic=16149.msg174856
Leider gab es auf den Post bzw. auf meine Nachfrage keine Antwort.
5
German - Deutsch / HAProxy vertauscht SSL-Zertifikate / Zuordnung ACME funktioniert nicht
« on: September 18, 2023, 11:17:58 pm »
Hallo Zusammen,
ich habe ein komisches Verhalten meiner OPNSense in Verbindung mit HAProxy (als Reverse-Proxy) und ACME/LE-Zertifikaten.
Ich habe an meinem Anschluss eine öffentliche v4-WAN-IP, auf der ich verschiedene Webseiten/Dienste bereitstellen möchte. Grundsätzlich erstmal OWA (outlook.domain.de), welches ich mit dieser Anleitung eingerichtet habe https://www.frankysweb.de/exchange-2016-opnsense-haproxy-und-lets-encrypt/
Das hat auch so funktioniert - inkl. des automatischen Aktualsieren des Let's Encrypt-Zertifikates. Nun habe ich einen weiteren Service, welcher über eine andere (pb.domain.de) Subdomain zugreifen soll. Eigentlich kein Problem.. zusätzlichen Public Service in HAProxy eingerichtet und die Condition auf "Host matches" pb.domain.de eingestellt.
Zusätzlich dann noch mit ACME-Client ein zusätzliches SSL-Zertifikat (für die neue Subdomain pb.domain.de) angefragt, hat auch geklappt und dieses dann bei SSL-Offloading bei HAProxy/Public Services hinterlegt.
Nach einem Neustart vermischt er jetzt aber die SSL-Zertifikate. Das heißt wenn ich über outlook.domain.de zugreife, bekomme ich eine Zertifkatsfehlermeldung, weil OPNSense/HAProxy das falsche SSL-Zertifikat (nämlich das von pb.domain.de) weitergibt und umgekehrt.
Nach ein paar weiteren Restart's des HAProxy haben sich die Zertifkate teilweise random zwischen den Domains/Public Services gedreht.
Kennt jemand dieses Verhalten und kann mir sagen was falsch läuft?
Danke Euch vorab!
VG
Frank
ich habe ein komisches Verhalten meiner OPNSense in Verbindung mit HAProxy (als Reverse-Proxy) und ACME/LE-Zertifikaten.
Ich habe an meinem Anschluss eine öffentliche v4-WAN-IP, auf der ich verschiedene Webseiten/Dienste bereitstellen möchte. Grundsätzlich erstmal OWA (outlook.domain.de), welches ich mit dieser Anleitung eingerichtet habe https://www.frankysweb.de/exchange-2016-opnsense-haproxy-und-lets-encrypt/
Das hat auch so funktioniert - inkl. des automatischen Aktualsieren des Let's Encrypt-Zertifikates. Nun habe ich einen weiteren Service, welcher über eine andere (pb.domain.de) Subdomain zugreifen soll. Eigentlich kein Problem.. zusätzlichen Public Service in HAProxy eingerichtet und die Condition auf "Host matches" pb.domain.de eingestellt.
Zusätzlich dann noch mit ACME-Client ein zusätzliches SSL-Zertifikat (für die neue Subdomain pb.domain.de) angefragt, hat auch geklappt und dieses dann bei SSL-Offloading bei HAProxy/Public Services hinterlegt.
Nach einem Neustart vermischt er jetzt aber die SSL-Zertifikate. Das heißt wenn ich über outlook.domain.de zugreife, bekomme ich eine Zertifkatsfehlermeldung, weil OPNSense/HAProxy das falsche SSL-Zertifikat (nämlich das von pb.domain.de) weitergibt und umgekehrt.
Nach ein paar weiteren Restart's des HAProxy haben sich die Zertifkate teilweise random zwischen den Domains/Public Services gedreht.
Kennt jemand dieses Verhalten und kann mir sagen was falsch läuft?
Danke Euch vorab!
VG
Frank
6
Web Proxy Filtering and Caching / Re: HAProxy frontend is randomly mixing
« on: September 13, 2023, 09:14:26 pm »
Hi Neubauer_L,
I've exactly the same problem like you.
Did you found any solution for that?
Greetings
Frank
I've exactly the same problem like you.
Did you found any solution for that?
Greetings
Frank
7
German - Deutsch / Re: IPv6-NAT 1:1 auf IPv4
« on: May 30, 2019, 09:46:34 am »
Moin,
Ja genau, ich habe dort auf der VM - die ich dort bekommen habe - Proxmox (sowas wie vmware) installiert und darauf wiederrum die OPNSense-Firewall und einige LXC-Container und auch virtuelle Server.
Die ganzen virtuellen Server und LXC-Container hängen dann (virtuell) am LAN-Ausgang der OPNSense. Jetzt würde ich gerne jeder VM eine v6-Adresse zuweisen, entweder per NAT und Portfreigabe oder eben auch direkt über V6.
Habe nur irgendwie keine Idee, wie ich das anstellen könnte..
VG
Frank
Also hast du da mehrere server oder vm? kannst du mal bitte mehr informationen geben bitte.
was ist dein ziel?
Ja genau, ich habe dort auf der VM - die ich dort bekommen habe - Proxmox (sowas wie vmware) installiert und darauf wiederrum die OPNSense-Firewall und einige LXC-Container und auch virtuelle Server.
Die ganzen virtuellen Server und LXC-Container hängen dann (virtuell) am LAN-Ausgang der OPNSense. Jetzt würde ich gerne jeder VM eine v6-Adresse zuweisen, entweder per NAT und Portfreigabe oder eben auch direkt über V6.
Habe nur irgendwie keine Idee, wie ich das anstellen könnte..
VG
Frank
8
German - Deutsch / IPv6-NAT 1:1 auf IPv4
« on: May 23, 2019, 10:35:02 pm »
Hallo Zusammen,
ich habe die OPNSense schon seit ca. Jahr im Einsatz, allerdings bisher nur mit IPv4. Jetzt würde ich gerne auch IPv6 nutzen - ich bekomme von meinem Provider (NetCup) auf einer Netzwerkkarte eine öffentliche IPv4-Adresse und ein IPv6-Netz 2a04:5000:38:67::/64
Hinter der Firewall (LAN-Interface mit 10.223.184.0/24) sind einige virtuelle Server, die 1:1 auf eine öffentliche IPv6-Adresse aus dem /64er-Netz gemappt werden sollen.
Also quasi 10.223.184.101 (priv) <=> 2a04:5000:38:67::2 (öffentlich)
Ich habe schon etwas gesucht und die Funktion "NAT One-to-One" gefunden, allerdings bekomme ich es nicht zum Laufen
Hat jemand von Euch vielleicht einen Tipp für mich?
Danke schon mal!
Gruß
Frank
PS: Auf dem WAN-Interface habe ich die 2a04:5000:38:67::1 konfiguriert, v6-Ping auf google.de geht auch
ich habe die OPNSense schon seit ca. Jahr im Einsatz, allerdings bisher nur mit IPv4. Jetzt würde ich gerne auch IPv6 nutzen - ich bekomme von meinem Provider (NetCup) auf einer Netzwerkkarte eine öffentliche IPv4-Adresse und ein IPv6-Netz 2a04:5000:38:67::/64
Hinter der Firewall (LAN-Interface mit 10.223.184.0/24) sind einige virtuelle Server, die 1:1 auf eine öffentliche IPv6-Adresse aus dem /64er-Netz gemappt werden sollen.
Also quasi 10.223.184.101 (priv) <=> 2a04:5000:38:67::2 (öffentlich)
Ich habe schon etwas gesucht und die Funktion "NAT One-to-One" gefunden, allerdings bekomme ich es nicht zum Laufen
Hat jemand von Euch vielleicht einen Tipp für mich?
Danke schon mal!
Gruß
Frank
PS: Auf dem WAN-Interface habe ich die 2a04:5000:38:67::1 konfiguriert, v6-Ping auf google.de geht auch
Pages: [1]