Redirect IP zur Domain Name

[dimmenhau]

Hallo Forum,

ich wollte mal nachfragen ob jemand von Euch schon folgendes Probleme gelöst hat.

Ich würde gerne die Abfrage im Browser "http://192.168.1.1" auf die Domain "https://opnsense.dummy.tld"  umleiten. Damit der Browser das Zertifikat sauber erkennt und nicht immer eine Fehlermeldung bekommt.

Im Internet gibt es ein Beispiel, wie über eine .htaccess - Datei gehen soll, aber ich finde die Stelle nicht wo ich die Datei einfügen soll.

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_HOST} ^192\.168\.1\.1$
RewriteRule ^(.*)$ https://opnsense.dummy.tld/$1 [L,R=301]

Oder weiß jemand eine andere Lösung ?

[superwinni2]

Hallo dimmenhau


Das Problem habe / hatte ich auch....
Jedoch sieht es bei dir stark nach einer Apache2 Configuration aus?
Ich für mich, habe es über HAProxy gelöst, indem all meine Server sich nicht mehr um Zertifikate oder ähnliches kümmern müssen sondern dies das Plugin der OPNsense macht.


Selbst wenn es sich bei deinem Fall nicht um OPNsense geht, hilft man hier auch gerne solange es nicht die Regel wird....


Wenn es sich um Apache2 handelt:
Kannst du deine Regel in die Seitenkonfiguration (In Debian: /etc/apache2/sites-enabled/... ) hineinschreiben.

Wichtig hierbei ist, das "rewrite" modul zu aktivieren. ( a2enmod rewrite )

[dimmenhau]

Hallo Superwini2,

wie hast Du den das über den HAProxy geregelt ?
Den ich habe diesen auch am laufen, habe aber da noch kein richtiges Bsp. gefunden wie man das konfigurieren kann.

Grüße

[superwinni2]

Die Lösung hast du doch bereits selbst geschrieben...
Nur eben in der "Sprache" apache2 und nicht haproxy

Du hast eine Bedingung und eine Regel... Die musst du genau gleich im HAProxy abbilden und die Regel einen Frontend zuordnen.

Wie und wo du dies einbaust, bleibt dir selbst überlassen.
Kann auch sein, dass je nach Aufbau deiner jetzigen Konfiguration der eine oder andere weg nicht funktioniert. Aber generell sollte es gehen.

Gesendet von meinem LG-H815 mit Tapatalk

[hbc]

Warum gibst du nicht einfach direkt https://opnsense.dummy.tld statt der IP ein? Weil wenn Du keinen DNS Server hast, der das auf die IP auflöst, bringt dir eine Umleitung auch nichts. Da kriegst du dann halt nach der Umleitung ein "Host not found".

[superwinni2]

Naja evtl. Relativ simpel...
Ich habe dies gemacht, dass wenn jemand meint meine IP direkt einzugeben auf Google oder ähnlichen landet und nicht direkt weiß ob ich hinter der IP nun eine nextcloud, eine synology oder ähnliches betreibe...
Gibt ja genug IP Scanner im Internet jene IPs scannen und katalogisieren welche Ports offen sind, mit was geantwortet wird und wo was läuft...
Sobald es dann eine Schwachstelle gibt, braucht man nur schauen welche IP was im Einsatz hat und mit etwas glück ist man drin...
Ist zwar nur ein minimal Schutz, ist meiner Meinung nach aber besser als gar nichts...

Oder er möchte, dass wenn jemand seine IP aufruft, auf die nextcloud weitergeleitet wird, damit das SSL-Zertifikat stimmt und die nextcloud die URL als vertrauenswürdig einstuft (praktisch bei wechselnder IP)

Gesendet von meinem LG-H815 mit Tapatalk

[JeGr]

Hallo Forum,

ich wollte mal nachfragen ob jemand von Euch schon folgendes Probleme gelöst hat.

Ich würde gerne die Abfrage im Browser "http://192.168.1.1" auf die Domain "https://opnsense.dummy.tld"  umleiten. Damit der Browser das Zertifikat sauber erkennt und nicht immer eine Fehlermeldung bekommt.

Im Internet gibt es ein Beispiel, wie über eine .htaccess - Datei gehen soll, aber ich finde die Stelle nicht wo ich die Datei einfügen soll.

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_HOST} ^192\.168\.1\.1$
RewriteRule ^(.*)$ https://opnsense.dummy.tld/$1 [L,R=301]

Oder weiß jemand eine andere Lösung ?

Also den unteren Part mit der Apache Rewrite Geschichte lass mal komplett weg, das bezieht sich auf Webserver mit Apache und hat erstmal nix mit der Sense zu tun. Das ist Quark :)

Dann weiter: Du willst die IP in den Namen umwandeln. WARUM? Falls jemand die IP tippt damit der Name kommt? Gibt trotzdem Fehler, denn: die Sensen nutzen HSTS. Wenn du einmal auf der WebUI drauf warst, merkt sich der Browser, dass die Seite mit SSL läuft und wird selbst bei Eingabe der IP oder Domain (und egal ob du HTTP extra tippst) IMMER HTTPS draus machen.

Was passiert also? Du tippst deine IP -> der Browser macht dank HSTS automatisch HTTPS draus und du landest? Genau auf der SSL Error Page deines Browsers, denn dein Zertifikat deckt nicht die IP ab. Eine Weiterleitung auf den DNS Namen würde ebenfalls nichts bringen, denn der Fehler passiert VOR der Weiterleitung. Somit hast du nichts gewonnen.

Zudem: Die IP IMMER auf den Namen umzuleiten könnte dich komplett aus der Oberfläche ausschließen. Dein DNS ist kaputt und lässt sich nicht mehr starten wegen wasauchimmer? Hmm doof, dann eben schnell per IP auf die Firewall... ach ne geht ja nicht mehr! So eine Weiterleitung ist immer eine ganz schlechte Idee. Lasst die IPs ruhig mal IPs bleiben.

Abhilfe gegen Faulheit ;) damit man nicht mit der IP verbindet geht einfacher:

a) Bookmark verwenden und den auf den DNS Namen konfigurieren. Tadaa immer gleich per DNS geöffnet!
b) Wenn du ein selbst erstelltes Zertifikat mit eigener CA verwendest, dass du in deinen Browser eingespielt hast, damit die Sense ein gültiges Zertifikat hat: Dann mach doch einfach schnell ein neues Zertifikat und bette dort als SAN einfach die IPs und anderen Namen der Firewall gleich mit ab! Ja das geht - aber eben nur bei eigenen CAs/Zertifikaten. Aber wenn man diese eh schon benutzt -> warum nicht :)

Aber die IP umzuleiten geht garantiert eines Tages mal nach hinten los wenn du es gerade nicht gebrauchen kannst oder selbst schon am Debuggen bist :)

Grüße