Frage zu Zertifikaten und Zugriff von innen und außen (mit HAProxy oder Caddy)

Started by white_rabbit, December 30, 2024, 07:22:35 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
January 01, 2025, 06:27:25 PM #15
Quote from: Patrick M. Hausen on January 01, 2025, 05:33:11 PMDu benutzt intern und extern dieselbe Domain? Mach das halt nicht ;-)
Warum nicht?

Ich habe auch eine Nextcloud, die intern wie extern über dieselbe Domain erreichbar ist: cloud.meine.domain
Was soll daran falsch sein?

Mit unterschiedlichen Domains für intern und extern müsste ich in meinem Nextcloud Client am Handy jedes mal beim verlassen des Hauses das Konto wechseln. Wäre mir doch zu blöd.
Und wofür? Funktioniert doch bestens. Und das WebGUI der Firewall kann ich auch erreichen. Das läuft natürlich weder auf Port 80 noch auf 443, noch wird von diesen Ports darauf weitergeleitet.
January 01, 2025, 06:49:28 PM #16
Das meinte ich nicht. Wenn deine Domain "meine.domain" ist, dann benutz die für extern erreichbare Services und das sowohl von innen als auch von außen. Aber benutz sie nicht als Domain für DHCP und schlimmstenfalls Active Directory (falls du eine Firma bist und sowas hast).

Benutz dafür halt eine Subdomain wie "zuhause.meine.domain".

Grund: wenn man AD hat, dann

- müssen die DCs die DNS-Server für alle Clients ein
- muss "meine.domain" als A- und ggf. AAAA-Records die Adressen der DCs zurückgeben

Daher kannst du dir https://meine.domain für die extern gehostete Website schon mal abschminken und auch "cloud.meine.domain" per DynDNS geht dann nicht.

Auch ohne AD kann man sich jede Menge Komplikationen einfangen, also besser für die internen Geräte und extern unterschiedliche Domains verwenden. Dazu gibt es ja Subdomains. Meine Firma heißt punkt.de mit gleichnamiger Domain. Unser AD hört auf intern.punkt.de. Problem gelöst, alles sauber.

Grüße und frohes neues Jahr allen,
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 01, 2025, 06:53:57 PM #17
Quote from: Patrick M. Hausen on January 01, 2025, 06:49:28 PMDas meinte ich nicht. Wenn deine Domain "meine.domain" ist, dann benutz die für extern erreichbare Services und das sowohl von innen als auch von außen. Aber benutz sie nicht als Domain für DHCP und schlimmstenfalls Active Directory (falls du eine Firma bist und sowas hast).
Alles klar.

Gutes neues Jahr auch!
January 02, 2025, 08:47:51 PM #18
Quote from: Patrick M. Hausen on January 01, 2025, 06:49:28 PMDas meinte ich nicht. Wenn deine Domain "meine.domain" ist, dann benutz die für extern erreichbare Services und das sowohl von innen als auch von außen. Aber benutz sie nicht als Domain für DHCP und schlimmstenfalls Active Directory (falls du eine Firma bist und sowas hast).
Dann bin ich beruhigt, denn das haben wir so.

Ich habe es nochmal so versucht wie Ihr es vorgeschlagen habt aber es hat leider nicht funktioniert. Die OPNSense lauscht jetzt auf Port :8443 und auch sonst sind die Optionen so gesetzt wie oben genannt. Allerdings konnte ich den (internen) Server (docker-Container) leider nicht mit gültigem LE-Cert erreichen. Es wurde immer das Cert des Containers verwendet.
Ich habe zwischendurch sogar mit einem A-Record auf die WAN-Adresse versucht um zu schauen, ob es daran liegt ... aber das hat nichts geändert.

Am Ende habe ich es dann so gemacht wie sonst: Das LE-Cert von der OPNSense auf den docker-Container kopiert und direkt dort eingebunden. Zusätzlich die Domain-Überschreibung auf der OPNSense auf die lokale IP wieder aktiviert. Immerhin läuft es jetzt; auch wenn das erneut der umständliche (und schlechtere) Weg ist. Aber wie auch immer: Besten Dank für's Mitdenken. Ich schaue mir in Kürze os-caddy an...

Print
Go Up Pages 1 2
User actions