Quote from: jimjohn on April 14, 2021, 11:52:00 amQuote from: lfirewall1243 on April 14, 2021, 11:20:16 amQuote from: jimjohn on April 14, 2021, 11:17:21 amAnbei die Screenshots. Setze die Bedingung mal auf "Path starts with" statt matchesda sich nach dem /aaa/X ja noch Sachen ändern würde er bei "matches" nicht greifenFunktioniert leider nicht:503 Service UnavailableNo server is available to handle this request.Muss ich bei dem "Public Service" die Regeln auswählen?Ja die Regeln musst du im Frontend hinterlegen
Quote from: lfirewall1243 on April 14, 2021, 11:20:16 amQuote from: jimjohn on April 14, 2021, 11:17:21 amAnbei die Screenshots. Setze die Bedingung mal auf "Path starts with" statt matchesda sich nach dem /aaa/X ja noch Sachen ändern würde er bei "matches" nicht greifenFunktioniert leider nicht:503 Service UnavailableNo server is available to handle this request.Muss ich bei dem "Public Service" die Regeln auswählen?
Quote from: jimjohn on April 14, 2021, 11:17:21 amAnbei die Screenshots. Setze die Bedingung mal auf "Path starts with" statt matchesda sich nach dem /aaa/X ja noch Sachen ändern würde er bei "matches" nicht greifen
Anbei die Screenshots.
Klar kann man machen, aber einfacher wäre es schlicht mit einer eigenen (Sub)Domain pro Service und beide dann sinnvoll unter / wenn sie eh schon so installiert sind. Warum dann auch mit IPs rumbasteln, wenn man sprechende Namen nutzen kann
Quote from: JeGr on April 14, 2021, 02:34:02 pmKlar kann man machen, aber einfacher wäre es schlicht mit einer eigenen (Sub)Domain pro Service und beide dann sinnvoll unter / wenn sie eh schon so installiert sind. Warum dann auch mit IPs rumbasteln, wenn man sprechende Namen nutzen kann OK, nun ist es so, dass ich von außen derzeit nur an das WAN Interface der OPNsense (X.X.0.X) komme, wohingegen die Services in der "DMZ" laufen (X.X.3.X). Ich habe entsprechend eine Firewall Regel für UDP/TCP auf X.X.0.2:443 ALLOW gesetzt. So ist es ja auch fein. Innerhalb der OPNsense ist auch alles andere kein Thema. Da kann ich in Unbound einen DNS Override machen (bspw. für aaa.opnsense.lan) und den direkt auf die X.X.3.(aaa) schicken.Aber was passiert, wenn jemand "von außen" (zwischen Router und OPNsense) auf den Service möchte? Den direkt auf die X.X.3.X zu schicken wäre irgendwie doof. Außerdem kennt er die OPNsense als DNS-Server nicht.Außerdem nutze ich TLS über ein OPNsense Zertifikat, sodass ich in Zukunft im Zweifel auch HTTP Services nach außen über HTTPS bereit stellen kann.Kannst du mir konkret sagen, wie ich deiner Meinung nach am besten vorgehen sollte? Danke schonmal vorab!
Ja, das "Problem" ist, dass ich keine öffentliche Erreichbarkeit (weder öffentliche Domain noch öffentliche IP benötige). Es geht um private Services, die nur in meinem lokalen Netz wie auch per VPN genutzt werden sollen. Daher funktioniert LE nicht. Die self-signed Zertifikate von mir gebe ich intern halt frei, das funktioniert.
Quote from: jimjohn on April 14, 2021, 04:12:45 pmJa, das "Problem" ist, dass ich keine öffentliche Erreichbarkeit (weder öffentliche Domain noch öffentliche IP benötige). Es geht um private Services, die nur in meinem lokalen Netz wie auch per VPN genutzt werden sollen. Daher funktioniert LE nicht. Die self-signed Zertifikate von mir gebe ich intern halt frei, das funktioniert.Dann mit lokalen Namen oder eben deine Dienste umkonfigurieren dass sie mit /AAA und /BBB laufen