2 Feste IP Adressen für HA Proxy in Firewall freigeben
-
@viragomann wenn ich den Webgui Port ändere und dann versuche https zu verwenden, bekomme ich immer den folgende Fehler im Browser: SSL_ERROR_RX_RECORD_TOO_LONG
Hast du eine Idee was das sein kann? Kommt mit einen self sign Zertifikat und auch mit einem Lets Encrypt Zertifikat.
-
@mathschut
Beim WebGUI Aufruf?Wenn ja, hast du in System > Advanced > Admin Access HTTPS eingestellt und den Aufruf mit https voran und dem Port hintendran gemacht?
Läuft der Zugriff auch über einen Proxy (Squid)?
-
@viragomann ja habe den Port im Webgui auf https umgestellt und rufe die URL mit https://url.test.de:8080 auf. Die Verbindung läuft nicht über Squid
-
@mathschut
Nachdem du den Hostnamen verwendest, muss dieser auf die interne LAN IP aufgelöst werden und das SSL-Zertifikat muss auf diesen Namen lauten.
Ist das so gegeben?Ich verwende ohnehin immer Firefox. Der ist in solchen Dingen deutlich anwenderfreundlicher als andere Browser.
-
@viragomann intern geht es und ich bekomme ein Zertifikatsfehler, weil die interne IP ja nicht im öffentlichen Zertifikat steht. Das Problem habe ich nur, wenn ich von aussen drauf zugreifen möchte.
-
@mathschut
Von außen auf pfSense WebGUI? Hast du nicht oben erwähnt, dass das kein Thema wäre?
Ich würde jedenfalls jedenfalls dringendst davon abraten, den Zugang im Internet freizuschalten. -
@viragomann ja von ausser erreichbar den WebGui Zugang. Leider ist es im Moment nicht anders möglich, weil ich das System gerade erst aufbaue.
-
@mathschut
Dann würde ich erstmals mit einer VPN für den administrativen Zugriff starten.Ansonsten (nicht empfohlen) besorge dir ein öffentlich gültiges SSL-Zertifikat, das zum Hostnamen passt, den du aufrufst. Den ACME Client hast du ja schon installiert, wie ich es verstanden habe. Und weise es dem WebConfigurator zu.
-
@viragomann öffentliches Zertifikat habe ich ja mit richtigen Namen, aber es geht trotzdem leider nicht. Na dann werde ich mal wireguard einrichten
-
@mathschut
Wenn Hostnamen, IP und Zertifikat passen, muss es funktionieren, anderenfalls ist irgendwas faul.Wenn du mit OpenSSL vertraut bist, könntest du damit überprüfen, ob das gelieferte Zertifikat passt.
Es gibt auch Services im Internet für diesen Zweck, mein vertrauter setzt allerdings Port 443 voraus und einige andere vermutlich auch.Apropos voraussetzen, Browser tun das heute auch schon oft. Möchte man einen anderen verwenden, muss das erst in den verborgenen Einstellungen aktiviert werden.
War der Grund, weswegen ich zuletzt auch OpenSSL angeworfen hatte. Auf Port 636 wollte mein Firefox auch nicht freiwillig das Zertifikat laden.
Also vielleicht mal schlau machen, wie das bei deinen Browser geht.