https Fehler - beim Surfen kommt das Falsche Zertifikat

[dima1002]

Hallo Leute,

der Server TEST01TS01 ist hinter der Opnsense und wenn ich dort einfach nur Surfen möchte, z.B. google.de aufrufe bekomme ich ein Zertifikatfehler.

Es erscheint immer das Zertifikat vom HA Proxy. Bzw. Acme Client. Warum?

Hier meine Konfiguration:

[Ronny1978]

Hallo dima1002,

ich spreche jetzt nur mal für MICH: Es wäre günstiger, wenn du uns mal die Einstellungen als Screenshot vom HAProxy schickst. ICH habe keine Lust die komplette Config bei dir zu durchsuchen, wo auch noch Passwörter drin stehen (vielleicht auch noch nur gehasht), aber "admin" und das Passwort kann ich sehen.

Ich denke, mit dem ACME Client hat das nix zu tun. Ich vermute eher der Admin Port von der OpnSense in Verbindung mit den Firewallregeln/NAT oder/und HAProxy.

Aber vielleicht sehen das andere Mitglieder anders und wissen sofort, wo sie in der XML hinschauen müssen, OHNE lange zu suchen. ICH weiß es leider nicht. Dafür habe ich zu wenig Erfahrung mit dem Lesen von XML Configs und dem interpretieren.

[dima1002]

Sorry dachte das wäre so einfacher. Die Passwörter und Zertifikate usw. hatte ich aber in der Konfiguration vorher abgeändert und leider gehen ja nur 4 Screenshots.

Dann hier die Screenshots, hoffe die sind nicht all zu klein.

LAN=10.50.50.1
WAN= 10.50.52.2
TEST01TS01 = DIM01TS01

[Nephiria]

Ich persönlich denke das er einen Proxy laufen hat unter einen Interception Check macht und dort hast du wahrscheinlich ein z.b internes Zertifikat hinterleg was diesen Fehler mit dem Zertifikat versucht oder ein Self Sign.
Ist aber nur eine Vermutung ohne auf deine Box zu schauen.

[Patrick M. Hausen]

Oder unbeabsichtigt ein Port Forward an einer Stelle wo es nicht hin gehört.

[dima1002]

Wie kann ich ein Interception Check prüfen?

Port Forward habe ich ein Screenshot gepostet
Kann ja leider nur 4 Posten, wenn Ihr mehr benötigt, einfach sagen.

[dima1002]

hier noch ein paar Screenshots

[Nephiria]

Anders gefragt was passiert wenn du HA-Proxy und den Regeln dazu deaktivierst hast du dann immer noch die Zertifikats Probleme weil so wie ich das verstehe verwendest du diesen doch für deine Outbound Addresse um diese dann absichern über SSL.

Wenn du deine Outbound Traffic absichern möchtest weis nicht ob de HA-Proxy das richtige ist ich würde dazu entweder ein Externes Produkt nehmen als Webproxy oder installier dir das Webproxy Plugin was angeboten wird unter den Pungins.

Es kommt aber darauf an was mit dem HAProxy genau erreichen wolltest. Ich habe diesen z.b bei mir nur laufen um für eine Weiterleitung auf das Webinterface vom RSPAMD.

[dima1002]

den HAProxy und Zertfikate nehme ich für andere Server. Der Windows Server hat damit eigentlich gar nichts damit zu tun. Wollte für einen CheckMK Server ein Zertifikat haben.
Wenn ich den HA Proxy deaktiviere, ist der Server ganz offline.

Anbei noch ein Screenshot, wie es aussieht wenn ich Surfe. D.h. ich geh auf Google.com und oben sehe ich dann mein Zertifikat vom HAProxy

[dima1002]

hier noch die HAProxy Konfiguration, name usw. habe ich geändert:

Code: [Select]

global
    uid                         80
    gid                         80
    chroot                      /var/haproxy
    daemon
    stats                       socket /var/run/haproxy.socket group proxy mode 775 level admin
    nbthread                    6
    hard-stop-after             60s
    no strict-limits
    tune.ssl.ocsp-update.mindelay 300
    tune.ssl.ocsp-update.maxdelay 3600
    httpclient.resolvers.prefer   ipv4
    tune.ssl.default-dh-param   2048
    spread-checks               2
    tune.bufsize                16384
    tune.lua.maxmem             0
    log                         /var/run/log local0 info
    lua-prepend-path            /tmp/haproxy/lua/?.lua

defaults
    log     global
    option redispatch -1
    timeout client 30s
    timeout connect 30s
    timeout server 30s
    retries 3
    default-server init-addr last,libc

# autogenerated entries for ACLs


# autogenerated entries for config in backends/frontends

# autogenerated entries for stats




# Frontend: Letsencrypt_80 (Letsencrypt_80)
frontend Letsencrypt_80
    bind 10.50.52.2:80 name 10.50.52.2:80
    mode tcp

    # logging options

# Frontend: LetsEncrypt_443 (LetsEncrypt_443)
frontend LetsEncrypt_443
    http-response set-header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
    bind 10.50.52.2:443 name 10.50.52.2:443 ssl prefer-client-ciphers ssl-min-ver TLSv1.2 ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256 ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 alpn h2,http/1.1 crt-list /tmp/haproxy/ssl/665363d00b6901.61101611.certlist
    mode http
    option http-keep-alive
    default_backend acme_challenge_backend
    option forwardfor

    # logging options
    # ACL: find_acme_challenge
    acl acl_665360c0b7aef6.55967259 path_beg -i /.well-known/acme-challenge/
    # ACL: DIM01CHECKMK
    acl acl_66536313ce2220.70622935 hdr(host) -i checkmk.test.de

    # ACTION: redirect_acme_challenges
    use_backend acme_challenge_backend if acl_665360c0b7aef6.55967259
    # ACTION: DIM01CHECKMK
    use_backend DIM01CHMK if acl_66536313ce2220.70622935

# Backend: acme_challenge_backend (Added by ACME Client plugin)
backend acme_challenge_backend
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    http-reuse safe

# Backend: DIM01CHMK ()
backend DIM01CHMK
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    http-reuse safe
    server DIM01CHMK 10.50.50.4:443 ssl verify required ca-file /etc/ssl/cert.pem



# statistics are DISABLED

[Nephiria]

Falscher Name im Zertifikat.
Klick mal drauf und schau dir den Namen dann siehst du warum du die Fehlermeldung bekommst du hast ein Interception oder erstellt.

Wenn du andere Server absichern willst so habe ich es gemacht mit einem Zertifkat dann würde ich einen Reverse Proxy bauen. Allerdings habe ich das nicht mit dem HA-Proxy das geht damit auch aber ich habe dafür eine VM genommen mit NGINX und habe dort ein Wildcard Zertifikat hinterlegt und mit diesem sämtliche Webservices abgedeckt.
Vermutlich ist das was du machen wolltest.

https://docs.opnsense.org/manual/reverse_proxy.html

Hier ist sowas z.b auch beschrieben wie es geht.

[dima1002]

Das Zertifikat habe ich gelöscht und neu erstellt, aber leider ist das Problem geblieben.

Das komische ist, nslookup funktioniert, Seiten ohne https funktionieren nur keine mit https.
Obwohl der Server eigentlich mit dem HAProxy nix zu tun hat, kommt beim Surfen nur das Zertifikat von dem HAProxy.

Ich habe noch 4 weitere Opnsense Server mit HAProxy, da funktioniert alles.

[Ronny1978]

Ich habe noch 4 weitere Opnsense Server mit HAProxy, da funktioniert alles.

Haben die alle die gleichen Einstellungen? Hast du dort auch einen Server der auf irgendwas mit 443 hört?