2 Feste IP Adressen für HA Proxy in Firewall freigeben
-
@mathschut said in 2 Feste IP Adressen für HA Proxy in Firewall freigeben:
Habe auch einen Alias für die beiden Ports angelegt, leider kann ich ihn aber nicht auswählen.
Auswählen? Port auf "andere" setzen und dann daneben den Anfangsbuchstaben des Alias eintippen. Ohne Eingabe kommt kein Dropdown.
Die Regel schaut gut aus.
-
@viragomann okay. Aber bekomme immer einen Zertifikatsfehler, dass er auf die öffentliche IP von der Pfsense selber will... Hast du noch eine Idee was ich falsch mache?
-
@mathschut
Dem HAproxy hast du schon ein Zertifikat zugewiesen, nehme ich an.Möglicherweise lauscht die pfSense webGUI noch auf Port 443. Das müsste in System > Advanced > Administration geändert werden, wenn 443 anderweitig verwendet werden soll.
-
@viragomann kann ich die Gui nicht auf Port 443 laufen lassen, wenn die Firewall selber eine andere IP und DNS Namen hat?
-
@mathschut
Nein, dafür müsste explizit eine IP einstellbar sein, ist aber nicht. Der Webserver lauscht einfach auf allen der FW zugewiesenen IPs, auf allen Interfaces.
Hat vermutlich den Grund, dass man sich nicht zu einfach aussperren kann. Die Zugriffe müssen aber dennoch mit Firewallregeln erlaubt werden.Ich frag mich aber, warum du gerne 443 hättest. Der Zugriff sollte ohnehin nur von intern (od. VPN) erlaubt werden, und da sollte der Port doch völlig egal sein.
-
@viragomann ja das stimmt. Da ich aber noch am Testen war, wollte ich den port nutzen. Aber gut, dann ändere ich mal den port und dann schauen ob es geht.
-
@viragomann habe es jetzt auf Port 8080 geändert, aber dann geht der Zugriff ja nur noch über http oder?
-
@mathschut
Nein, in System > Advanced > Admin Access kannst du einstellen, ob du via HTTP oder HTTPS zugreifen möchtest und ebenso den Port. Wenn HTTPS ist natürlich auch ein SSL Zertifikat zwingend anzugeben.Wenn du Port 8080 via HTTPS nutzt, gibst du eben https://192.168.1.1:8080 in den Browser ein und es ist verschlüsselt, angenommen, das wär deine LAN IP.
Jedoch ist 8080 auch ein Standard-Port, den du eventuell noch für andere Zwecke benötigen könntest. Ich würde irgendeinen kaum gebrauchten Port nehmen. Meine pfSense hören bspw. auf 1483.In 'Admin Access' gibt es zusätzlich die Einstellung 'WebGUI redirect'. Hier würde ich einen Haken reinmachen, wenn du den Port 80 für andere Zwecke verwenden möchtest. Ansonsten schnappt sich die pfSense die Pakete.
-
@viragomann Okay dann nehme ich mal einen Port. Warum es mit Port 8080 und HTTPs nicht geht muss ich noch raus bekommen. Glaube mein Zertifikat von letsentcrypt geht nicht mehr, seit dem ich HA Proxy versucht habe zu aktivieren. Kennst du eine gute Anleitung zum Einrichten von HA-Proxy mit Letsencrypt?
-
@mathschut
Also erstmal geht es darum, den Zugriff auf das pfSense Web Interface über einen Port herzustellen, der anderen Services nicht im Weg steht.
Hierfür kannst du, musst aber nicht ein Let's Encrypt Zertifikat verwenden. Du kannst auch des selbstsignierte der pfSense verwenden.
Allerdings mag das, soweit ich weiß, der Chrome Browser nicht. Es gibt aber auch andere Browser, die den Zugriff nach abhaken einer Sicherheitswarnung zulassen.HA-Proxy zusammen mit Let's Encrypt kenne ich nur aus der Theorie. Da sollte es andere Leute hier geben, die damit besser vertraut sind.
-
@viragomann wenn ich den Webgui Port ändere und dann versuche https zu verwenden, bekomme ich immer den folgende Fehler im Browser: SSL_ERROR_RX_RECORD_TOO_LONG
Hast du eine Idee was das sein kann? Kommt mit einen self sign Zertifikat und auch mit einem Lets Encrypt Zertifikat.
-
@mathschut
Beim WebGUI Aufruf?Wenn ja, hast du in System > Advanced > Admin Access HTTPS eingestellt und den Aufruf mit https voran und dem Port hintendran gemacht?
Läuft der Zugriff auch über einen Proxy (Squid)?
-
@viragomann ja habe den Port im Webgui auf https umgestellt und rufe die URL mit https://url.test.de:8080 auf. Die Verbindung läuft nicht über Squid
-
@mathschut
Nachdem du den Hostnamen verwendest, muss dieser auf die interne LAN IP aufgelöst werden und das SSL-Zertifikat muss auf diesen Namen lauten.
Ist das so gegeben?Ich verwende ohnehin immer Firefox. Der ist in solchen Dingen deutlich anwenderfreundlicher als andere Browser.
-
@viragomann intern geht es und ich bekomme ein Zertifikatsfehler, weil die interne IP ja nicht im öffentlichen Zertifikat steht. Das Problem habe ich nur, wenn ich von aussen drauf zugreifen möchte.
-
@mathschut
Von außen auf pfSense WebGUI? Hast du nicht oben erwähnt, dass das kein Thema wäre?
Ich würde jedenfalls jedenfalls dringendst davon abraten, den Zugang im Internet freizuschalten. -
@viragomann ja von ausser erreichbar den WebGui Zugang. Leider ist es im Moment nicht anders möglich, weil ich das System gerade erst aufbaue.
-
@mathschut
Dann würde ich erstmals mit einer VPN für den administrativen Zugriff starten.Ansonsten (nicht empfohlen) besorge dir ein öffentlich gültiges SSL-Zertifikat, das zum Hostnamen passt, den du aufrufst. Den ACME Client hast du ja schon installiert, wie ich es verstanden habe. Und weise es dem WebConfigurator zu.
-
@viragomann öffentliches Zertifikat habe ich ja mit richtigen Namen, aber es geht trotzdem leider nicht. Na dann werde ich mal wireguard einrichten
-
@mathschut
Wenn Hostnamen, IP und Zertifikat passen, muss es funktionieren, anderenfalls ist irgendwas faul.Wenn du mit OpenSSL vertraut bist, könntest du damit überprüfen, ob das gelieferte Zertifikat passt.
Es gibt auch Services im Internet für diesen Zweck, mein vertrauter setzt allerdings Port 443 voraus und einige andere vermutlich auch.Apropos voraussetzen, Browser tun das heute auch schon oft. Möchte man einen anderen verwenden, muss das erst in den verborgenen Einstellungen aktiviert werden.
War der Grund, weswegen ich zuletzt auch OpenSSL angeworfen hatte. Auf Port 636 wollte mein Firefox auch nicht freiwillig das Zertifikat laden.
Also vielleicht mal schlau machen, wie das bei deinen Browser geht.