OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • [GELÖST] HAProxy + Let's Encrypt: passthrough von LE-Anforderungen
« previous next »
  • Print
Pages: [1]

Author Topic: [GELÖST] HAProxy + Let's Encrypt: passthrough von LE-Anforderungen  (Read 2373 times)

cwt

  • Newbie
  • *
  • Posts: 46
  • Karma: 1
    • View Profile
[GELÖST] HAProxy + Let's Encrypt: passthrough von LE-Anforderungen
« on: March 18, 2021, 01:59:02 pm »
Salut!

Momentan verwende ich HAProxy (3.0) in Zusammenspiel mit dem Let's Encrypt Plugin.

Das läuft auch alles soweit wie es soll. Mehrere Webserver (meistens virtuelle Nextcloud-Instanzen) werden anständig mit gültigen Zertifikaten versorgt und der Traffic von außen entsprechend durchgereicht.

Allerdings gibt es (logischerweise) ein Problem mit Systemen, welche selbst ein LE-Zertifikat anfordern (müssen). Bspw. habe ich einen eigenen Mailserver (ja so richtig mit statischer IP, Reverse-DNS, DKIM, DMARC und allem Pipapo) im Netz, der ebenfalls ein LE-Zertifikat benötigt. Im HAProxy gibt es automatisch von LE erzeugte Conditions & Rules, die entsprechende Anforderungen abfangen:

- find_acme_challenge (condition)
- no_acme_challenge (condition)
- redirect_acme_challenges (rule)

Fordert nun bspw. der Mailserver von LE sein Zertifikat an, greift die Rule "redirect_acme_challenges", da das Verzeichnis (./well-known/acme-challenge) gleich ist.

Man findet zwar tonnenweise Anleitungen für HAProxy + LE im Netz, aber bisher habe ich noch nix brauchbares für das "mixed environment" gefunden. Gibt es ein entsprechendes ruleset, welches beide Szenarien abdecken würde?

Danke & LG

« Last Edit: June 20, 2021, 10:43:31 am by cwt »
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1386
  • Karma: 45
    • View Profile
Re: HAProxy + Let's Encrypt: passthrough von LE-Anforderungen
« Reply #1 on: March 19, 2021, 08:11:27 am »
Du könntest da am besten mit Zeitbasierten Portweiterleitungen arbeiten und die Dienste hinter dem HaProxy sich in der Zeit die Zertifikate holen lassen
Logged
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

cwt

  • Newbie
  • *
  • Posts: 46
  • Karma: 1
    • View Profile
Re: HAProxy + Let's Encrypt: passthrough von LE-Anforderungen
« Reply #2 on: June 19, 2021, 08:48:47 am »
Ich habe es mit zusätzlichen Conditions hinbekommen.

Vom ACME Plugin werden automatisch Rules & Conditions erzeugt, u.a. die Rule "redirect_acme_challenges".

Zunächst muss für jeden Host, der selbstständig LE-Anforderungen stellt, folgende Condition erstellt werden:

- Condition type: Source IP matches specified IP
- Negate Condition: aktiviert
- Source IP: <IP des gewünschten Hosts>

Anschliessend aktiviert man diese Conditions zusätzlich in der Rule "redirect_acme_challenges".


« Last Edit: June 19, 2021, 08:57:33 am by cwt »
Logged

Leo8405

  • Newbie
  • *
  • Posts: 1
  • Karma: 0
    • View Profile
Re: [GELÖST] HAProxy + Let's Encrypt: passthrough von LE-Anforderungen
« Reply #3 on: March 09, 2023, 11:47:06 am »
Hallo,

ich stehe gerade vor dem gleichen Setup und bekomme noch eine Fehlermeldung (in meinem Fall möchte ich Mailcow betreiben). Die Condition für den Mailserver habe ich erstellt und der Rule "redirect_acme-challenges" hinterlegt.

Failed to obtain certificate /var/lib/acme/meinedomain.de/cert.pem

Hast du noch weitere abweichende Änderungen am HAProxy vorgenommen?

Danke
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • [GELÖST] HAProxy + Let's Encrypt: passthrough von LE-Anforderungen
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2