[solved] HAProxy & LE Cert

Started by micneu, August 07, 2020, 10:39:30 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
August 07, 2020, 10:39:30 PM Last Edit: August 08, 2020, 08:42:27 PM by micneu
Ich habe mich mal wieder an meinem HA Proxy gemacht, mein ziel ist es auch zuhause über LE Zertifikate zu nutzen.
Habbe es versucht an der Anleitung:
https://schulnetzkonzept.de/opnsense

Als erste mal einen auszug aus meiner HAProxy Log:
Code Select

2020-08-07T22:29:50 haproxy[32735]: Connect from 80.175.fff.zzz:56011 to 192.168.3.2:80 (http_lan_wan/HTTP)
2020-08-07T22:29:50 haproxy[32735]: Connect from 80.175.fff.zzz:56008 to 192.168.3.2:80 (http_lan_wan/HTTP)
2020-08-07T22:17:44 haproxy[32735]: 80.187.xxx.yy:18061 [07/Aug/2020:22:17:44.135] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:43 haproxy[32735]: 80.187.xxx.yy:18040 [07/Aug/2020:22:17:43.353] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:38 haproxy[32735]: 80.187.xxx.yy:17830 [07/Aug/2020:22:17:38.652] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:38 haproxy[32735]: 80.187.xxx.yy:17828 [07/Aug/2020:22:17:38.649] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:37 haproxy[32735]: 80.187.xxx.yy:17733 [07/Aug/2020:22:17:37.201] https_lan_wan/192.168.3.2:443: SSL handshake failure

als bild werde ich mal meine config posten
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 07, 2020, 10:40:04 PM #1
weiter gehts mit meiner konfig:
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 07, 2020, 10:42:06 PM #2
weiter gehts mit meiner konfig:
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 07, 2020, 10:43:16 PM #3
weiter gehts mit meiner konfig:
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 07, 2020, 11:18:16 PM #4
Hey micneu

Ich würde am deiner Stelle eines mach dem anderen machen...
Zuerst versuchen haproxy mit letsencrypt laufen zum laufen zu bringen und danach deine eigenen Seiten hinzufügen...

Kurze Fragen vorweg:
Was benutzt du für eine Authentifizierung bei LE? Http01 oder dns01?

Bei http-01:
Du musst 2 Frontends anlegen... Eines für per 80 und eines für Port 443.. Dort dann die acme Regel hinzufügen...

Hoffe das hilft dir auf die schnelle weiter..

Grüße


Gesendet von meinem LG-H815 mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
August 08, 2020, 01:32:13 AM #5 Last Edit: August 08, 2020, 01:56:31 AM by micneu
ich nutze: Http01

also, ich habe nichts im haproxy gefunden was frontend heist.
bei mir habe ich zur auswahl:
Real Servers:
- Real Servers
Virtual Services:
- Backend Pools
- Public Service
Rules & Checks:
- Health Monitors
- Conditions
- Rules

habe ich eine falsche version?
Quote from: superwinni2 on August 07, 2020, 11:18:16 PM
Zuerst versuchen haproxy mit letsencrypt laufen zum laufen zu bringen und danach deine eigenen Seiten hinzufügen...
wie soll ich das denn machen, ich muss doch was haben zum aufrufen?
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 08, 2020, 10:41:11 AM #6
Oh sorry... Früher hieß es Frontend... Heute public Service...

Naja... Du hostest eben erstmal keine Webseite sondern erstmal das backend von Letsencrypt...
Ob alles funktioniert, siehst du in der Logdatei /var/log/acme.sh.log wenn am Ende irgendwas mit "_on_success" oder Sowas steht.

Ich bin aktuell nur am Handy unterwegs... Daher kann ich nur entsprechend schlecht lange Texte schreiben und in meine opnsense schauen :D

Im Endeffekt macht haproxy nichts anderes als ein großes "If else" Regel Werk...
Die erste Regel (hat ja LE bereits angelegt) ist  wenn der Pfad mit "_acme-challenge" beginnt, dann soll er auf das LE Backend.

____________________

Später fügst du eine weitere Regel hinzu in der steht, dass wenn der Host "Speedtest.domain.de" heißt, das es auf das backend von deiner Speedtest Seite geht.

Und so unterscheidest du die ganzen Seiten voneinander

Gesendet von meinem LG-H815 mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
August 08, 2020, 11:03:23 AM #7
danke für den tip, habe mal in die log (/var/log/acme.sh.log ) geschaut und da habe ich wohl noch ein problem:
Code Select

[Fri Jun 19 06:55:14 CEST 2020] POST
[Fri Jun 19 06:55:14 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/finalize/89090816/3830595372'
[Fri Jun 19 06:55:14 CEST 2020] _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header  --trace-ascii /tmp/tmp.deB37lZ3  -g '
[Fri Jun 19 06:55:15 CEST 2020] _ret='0'
[Fri Jun 19 06:55:15 CEST 2020] code='200'
[Fri Jun 19 06:55:15 CEST 2020] Order status is valid.
[Fri Jun 19 06:55:15 CEST 2020] Le_LinkCert='https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2'
[Fri Jun 19 06:55:15 CEST 2020] Download cert, Le_LinkCert: https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2
[Fri Jun 19 06:55:15 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2'
[Fri Jun 19 06:55:15 CEST 2020] payload
[Fri Jun 19 06:55:16 CEST 2020] POST
[Fri Jun 19 06:55:16 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2'
[Fri Jun 19 06:55:16 CEST 2020] _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header  --trace-ascii /tmp/tmp.deB37lZ3  -g '
[Fri Jun 19 06:55:16 CEST 2020] _ret='0'
[Fri Jun 19 06:55:16 CEST 2020] code='200'
[Fri Jun 19 06:55:16 CEST 2020] Found cert chain
[Fri Jun 19 06:55:16 CEST 2020] _end_n='37'
[Fri Jun 19 06:55:16 CEST 2020] Le_LinkCert='https://acme-v02.api.letsencrypt.org/acme/cert/03d40d541912c695b7d7e057ac03129a7db2'
[Fri Jun 19 06:55:16 CEST 2020] Cert success.
[Fri Jun 19 06:55:16 CEST 2020] Your cert is in  /var/etc/acme-client/home/speedtest-local.meinedomain.de/speedtest-local.meinedomain.de.cer
[Fri Jun 19 06:55:16 CEST 2020] Your cert key is in  /var/etc/acme-client/home/speedtest-local.meinedomain.de/speedtest-local.meinedomain.de.key
[Fri Jun 19 06:55:16 CEST 2020] v2 chain.
[Fri Jun 19 06:55:16 CEST 2020] The intermediate CA cert is in  /var/etc/acme-client/home/speedtest-local.meinedomain.de/ca.cer
[Fri Jun 19 06:55:16 CEST 2020] And the full chain certs is there:  /var/etc/acme-client/home/speedtest-local.meinedomain.de/fullchain.cer
[Fri Jun 19 06:55:16 CEST 2020] Installing cert to:/var/etc/acme-client/certs/5eea0173e87a66.97446263/cert.pem
[Fri Jun 19 06:55:16 CEST 2020] Installing CA to:/var/etc/acme-client/certs/5eea0173e87a66.97446263/chain.pem
[Fri Jun 19 06:55:16 CEST 2020] Installing key to:/var/etc/acme-client/keys/5eea0173e87a66.97446263/private.key
[Fri Jun 19 06:55:16 CEST 2020] Installing full chain to:/var/etc/acme-client/certs/5eea0173e87a66.97446263/fullchain.pem
[Fri Jun 19 06:55:16 CEST 2020] [b]_on_issue_success[/b]

Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 08, 2020, 11:12:38 AM #8
Nee... Das sieht eigentlich gut aus wenn ich das richtig sehe...

Kannst ansonsten über system -> certs       Das Zertifikat herunterladen und anschauen

Gesendet von meinem LG-H815 mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
August 08, 2020, 02:12:28 PM #9
ok, dann haben wir das mit dem LE Cert geklärt nur warum kann ich mir die webseite nicht anzeigen lassen, habe doch ein zertifikat.
mein ipad sagt nee ist kein zertifikat:
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 08, 2020, 02:23:19 PM #10
Hast du im Frontend (Public Service) auch das Zertifikat hinzugefügt?
In dem mit dem Port 443

Gesendet von meinem LG-H815 mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
August 08, 2020, 03:16:47 PM #11
ich denke schon das ich alles eingetragen habe, hier die konfig hatte ich schon gepostet:
https://forum.opnsense.org/index.php?action=dlattach;topic=18499.0;attach=11502;image
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 08, 2020, 04:29:03 PM #12
Ahhh... Hast du mal den haproxy neu gestartet? Der braucht das, wenn man das Zertifikat ändert..

Gesendet von meinem LG-H815 mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
August 08, 2020, 07:48:05 PM #13
ok, danke, ich habe jetzt nochmal neu angefangen, mit einer anderen anleitung.
die hat irgend wie einen etwas anderen ansatz.
https://blog.we-cme.de/haproxy-auf-opnsense-als-https-frontend-mit-lets-encrypt/
was ist denn von beiden der richtige weg?
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 08, 2020, 07:53:50 PM #14
Naja...einfach wieder von 0 anzufangen ist zwar manchmal hilfreich... Macht does hier alles aber nun sicherlich ein Stück komplizierter... Aber okay.. Ist nun eben so...

Ich habe deine 2. Anleitung eben mal überflogen und denke, dass dies so funktionieren wird. Wenn nicht, kann ich dir jedoch nicht genau sagen warum...

Der erste Schritt mit LE hat ja bereits erfolgreich funktioniert... Daher verstehe ich nicht, warum man hier nicht schaut warum der 2. Schritt nicht funktioniert...

Ich frage nun einfach anderst herum... Du hast ja nun die 2. Anleitung gemacht... Funktioniert LE noch?

Gesendet von meinem LG-H815 mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
Print
Go Up Pages1 2
User actions