• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Lets Encrypt ACMEv2 | RFC 2136 Update | Strato

Deutsch
7
69
16.4k
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • V
    viragomann @Alcamar
    last edited by Jan 15, 2023, 3:10 PM

    @alcamar said in Lets Encrypt ACMEv2 | RFC 2136 Update | Strato:

    Ein Server(cam1) hört auch cam1.domain.de auf 443

    Und was ist das "https-shared"?
    Und wie sehen die Frontend Konfigurationen aus?

    Etwas seltsam finde ich, dass "https-shared" das Primary-Frontend ist.

    Ja, das Backend scheint online zu sein, jedenfalls soweit das der Healthcheck feststellen kann. Aber ein Problem mit dem Backend hätte eine andere Auswirkung im Browser, soweit ich weiß. HAproxy würde zumindest eine Antwort liefern.

    Deine letzte Frage würde ich auch gerne beantworten, wenn ich wüßte wo ich das sehen kann.

    Auch in den Stats, im Frontend > Session total.

    Am Settings-Reiter kannst du dir ganz unten die gesamte Konfig anzeigen lassen. Die bietet tlw. eine bessere Übersicht.

    Auf der pfSense selbst habe isch den 443-Port schon auf etwas anderes geändert.

    Du meinst, den WebGUI Port?
    Weitergeleitet darf 443 auf der pfSense natürlich auch nicht werden.

    J A 2 Replies Last reply Jan 15, 2023, 3:12 PM Reply Quote 0
    • J
      JeGr LAYER 8 Moderator @viragomann
      last edited by Jan 15, 2023, 3:12 PM

      @viragomann said in Lets Encrypt ACMEv2 | RFC 2136 Update | Strato:

      Und was ist das "https-shared"?

      Das kommt aus dem HAproxy Template das man einfach per klick als dummy einrichten kann, das hat aber normalerweise in sich auch nochmals ACLs und Regeln. Das ist nur als Beispiel für "kann man in einem - oder mehreren - Frontends einrichten" gedacht, je nachdem was man machen möchte. Ich mutmaße wie du, dass das falsch eingerichtet ist

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      A 1 Reply Last reply Jan 15, 2023, 3:24 PM Reply Quote 0
      • A
        Alcamar @JeGr
        last edited by Jan 15, 2023, 3:13 PM

        @jegr ich kann versuchen alles, zu zeigen, was hilft. Das ist die Konfiguration für https-shared
        login-to-view

        1 Reply Last reply Reply Quote 0
        • A
          Alcamar @JeGr
          last edited by Jan 15, 2023, 3:24 PM

          @jegr https-shared ist aus Verzweiflung und ein Tutorial entstanden. Zuvor hatte ich nur einen Eintrag und dann war alles enthalten, was aber auch nicht funktionierte und deshalb deaktiviert:
          login-to-view
          login-to-view

          V 1 Reply Last reply Jan 15, 2023, 3:32 PM Reply Quote 0
          • V
            viragomann @Alcamar
            last edited by Jan 15, 2023, 3:32 PM

            @alcamar
            Der Screenshot zeigt "https-frontend". Das ist deaktiviert und kann nichts anstellen.
            Wir hatten aber von https-shared gespochen. Das ist das Primary-Frontend für des cam1 und kann damit nicht deaktiviert werden.

            Grundsätzlich braucht man kein Shared-Frontend und kann alles im Primary konfigurieren.
            Shared dient meiner Ansicht nur der besseren Übersichtlichkeit, damit man die ACLs verschiedener Zwecke klar ordnen kann.
            Du hat aber nur die Cam.

            A 1 Reply Last reply Jan 15, 2023, 3:36 PM Reply Quote 0
            • A
              Alcamar @viragomann
              last edited by Jan 15, 2023, 3:36 PM

              @viragomann so hatte ich das auch verstanden. Da noch einige Server hinzukommen sollen, dachte ich, dass die https-shared zwar oversized im Moment, aber später übersichtlicher ist. Ich habe eben probeweise https-shared deaktiviert und das ursprüngliche https-fontend aktiviert. Aber das Ergebnis ist unverändert.

              V 1 Reply Last reply Jan 15, 2023, 3:46 PM Reply Quote 0
              • V
                viragomann @Alcamar
                last edited by Jan 15, 2023, 3:46 PM

                @alcamar
                Wir kennen immer noch nur einen Teil der Konfiguration. Ist diesem Frontend auch das SSL-Zertifikat zugewiesen?

                Die Frage, ob die Paket überhaupt am Frontend ankommen, ist bislang auch noch unbeantwortet.

                Versuchst du die Zugriffe vom Internet aus oder vom LAN?
                Vom LAN aus wird das wahrscheinlich nicht funktionieren, es sei dem, du hast einen DNS Override, der auf die pfSense WAN IP zeigt.

                A 1 Reply Last reply Jan 15, 2023, 3:55 PM Reply Quote 0
                • A
                  Alcamar @viragomann
                  last edited by Jan 15, 2023, 3:49 PM

                  @viragomann den webGUI Port meinte ich. Um auf die pfsense zu kommen, gebe ich deshalb den Namen der pfsense:neuerport ein, sonst klappt es nicht.

                  Bin noch auf der Suche der gesamten Konfiguration. In den Stats finde ich Session Total nicht. :-(

                  1 Reply Last reply Reply Quote 0
                  • A
                    Alcamar @viragomann
                    last edited by Jan 15, 2023, 3:55 PM

                    @viragomann
                    Im Frontend ist auch das eigens dafür erstellt Zertifikat zugewiesen.
                    Das kann man auch über die Konsole mit openssl testen. Ich glaube, dass der Test auch nicht sauber war. Aber müsste nicht wenigstens ein Zertifikatsfehler kommen, wenn das fehlerhaft wäre?

                    Die Zugriffe sind sowohl aus dem LAN als auch aus dem Internet gleich.
                    Rufe ich im LAN die IP-Adresse der cam auf, meldet die sich auch. Also die cam lässt sich ansprechen, nur nicht über das Internet

                    A V 2 Replies Last reply Jan 15, 2023, 3:58 PM Reply Quote 0
                    • A
                      Alcamar @Alcamar
                      last edited by Jan 15, 2023, 3:58 PM

                      @alcamar openssl s_client -servername cam1.domain.de -host 192.168.1.247 -port 443 | grep subject
                      depth=0 O = Axis Communications AB, CN = axis-b8a56f07cd45
                      verify error:num=18:self signed certificate
                      verify return:1
                      depth=0 O = Axis Communications AB, CN = axis-b8a56f07cd45
                      verify return:1
                      subject=/O=Axis Communications AB/CN=axis-b8a56f07cd45

                      1 Reply Last reply Reply Quote 0
                      • V
                        viragomann @Alcamar
                        last edited by Jan 15, 2023, 4:02 PM

                        @alcamar
                        Wenn du keinen DNS Host Override eingerichtet hat, gehen Anfragen auf den öffentlichen Hostnamen auf die public IP, also auf die FritzBox.
                        Die leitet diese aber nicht zwingend auf die pfSense. Kenne deren Verhalten aber nicht.

                        openssl s_client -servername cam1.domain.de -host 192.168.1.247 -port 443 | grep subject
                        depth=0 O = Axis Communications AB, CN = axis-b8a56f07cd45
                        verify error:num=18:self signed certificate
                        verify return:1
                        depth=0 O = Axis Communications AB, CN = axis-b8a56f07cd45
                        verify return:1
                        subject=/O=Axis Communications AB/CN=axis-b8a56f07cd45

                        Schön. Aber dass das Backend funktioniert, wissen wir schon.
                        Versuch es mal mit der Frontend IP.

                        A 2 Replies Last reply Jan 15, 2023, 4:09 PM Reply Quote 0
                        • A
                          Alcamar @viragomann
                          last edited by Jan 15, 2023, 4:09 PM

                          @viragomann DSN Override such ich noch. Vermutlich habe ich diese nicht eingerichtet, weil es mir nichts sagt.

                          Mit Frontend-IP meinst Du die von der Fritz!Box, denke ich. Das ist das Ergebnis:
                          read:errno=0

                          Nur, damit ich nicht etwas falsches sage. Das ist nun die statische IP, die die Fritz!Box der pfSense verpasst hat, die ich auch als WAN -Adresse bezeichnen würde.

                          V 1 Reply Last reply Jan 15, 2023, 4:15 PM Reply Quote 0
                          • V
                            viragomann @Alcamar
                            last edited by Jan 15, 2023, 4:15 PM

                            @alcamar
                            Mit Frontend meine ich pfSense WAN IP, das HAproxy Frontend.

                            Nur, damit ich nicht etwas falsches sage. Das ist nun die statische IP, die die Fritz!Box der pfSense verpasst hat, die ich auch als WAN -Adresse bezeichnen würde

                            Von welcher sprichst du hier?
                            Ich hatte mich auf die openssl Abfrage bezogen, die sich offensichtlich auf das Backend richtet und damit nichts neues verrät.
                            Daher mal bitte diesen Befehl auf die pfSense WAN IP.

                            A 1 Reply Last reply Jan 15, 2023, 4:18 PM Reply Quote 0
                            • A
                              Alcamar @viragomann
                              last edited by Jan 15, 2023, 4:16 PM

                              @viragomann das war das Stichwort, glaube ich: "host overrides"
                              Habe das gesetzt und kommt vom LAN nun auf die web-Site. Vom Internet (Handy) aber immer noch nicht.

                              V 1 Reply Last reply Jan 15, 2023, 4:17 PM Reply Quote 0
                              • V
                                viragomann @Alcamar
                                last edited by Jan 15, 2023, 4:17 PM

                                @alcamar said in Lets Encrypt ACMEv2 | RFC 2136 Update | Strato:

                                das war das Stichwort, glaube ich: "host overrides"

                                Auf die pfSense WAN IP, wie ich oben geschrieben habe?

                                Auf den Webserver würde es auch funktionieren, würde aber nicht über den HAproxy gehen.

                                A 1 Reply Last reply Jan 15, 2023, 4:23 PM Reply Quote 0
                                • A
                                  Alcamar @viragomann
                                  last edited by Jan 15, 2023, 4:18 PM

                                  @viragomann openssl s_client -servername cam1.domain.de -host 192.168.178.254 -port 443 | grep subject
                                  read:errno=0

                                  V 1 Reply Last reply Jan 15, 2023, 4:26 PM Reply Quote 0
                                  • A
                                    Alcamar @viragomann
                                    last edited by Jan 15, 2023, 4:23 PM

                                    @viragomann ich habe in Host Overdrives einen Eintrag vorgenommen, der Host: cam1
                                    Parent Domain of host: domain.de
                                    ip to return for host: 192.168.1.247 (von der cam)

                                    Du meinst aber die WAN von der pfsense, richtig?
                                    Das probiere ich das auch noch.

                                    1 Reply Last reply Reply Quote 0
                                    • V
                                      viragomann @Alcamar
                                      last edited by Jan 15, 2023, 4:26 PM

                                      @alcamar
                                      Ok. Sieht mal gut aus.
                                      HAproxy scheint damit zu funktionieren.

                                      Hast du dich schon vergewissert, ob bei dir überhaupt was aus dem Internet reinkommt?

                                      Versuch mal einen Zugriff via HTTPS, während du die Pakete am WAN der pfSense sammelst. Diagnostic > Packet Capture
                                      Siehst du da was?

                                      ich habe in Host Overdrives einen Eintrag vorgenommen, der Host: cam1
                                      Parent Domain of host: domain.de
                                      ip to return for host: 192.168.1.247 (von der cam)

                                      Du meinst aber die WAN von der pfsense, richtig?
                                      Das probiere ich das auch noch.

                                      Ja, die WAN IP der pfSense.

                                      Eine Firewall-Regel braucht es übrigens auch am WAN, die die Ports 80 und 443 erlaubt.

                                      A 1 Reply Last reply Jan 15, 2023, 5:04 PM Reply Quote 0
                                      • A
                                        Alcamar
                                        last edited by Jan 15, 2023, 4:42 PM

                                        @viragomann login-to-view
                                        Firewallregel sollte ich haben. G_Ports_HAProxy ist ein Alias mit 80,443

                                        Packet Capture bringt sehr viel Output, aber wonach sollte ich schauen?

                                        A 1 Reply Last reply Jan 15, 2023, 4:53 PM Reply Quote 0
                                        • A
                                          Alcamar @Alcamar
                                          last edited by Jan 15, 2023, 4:53 PM

                                          @alcamar dumme Frage. Ich sollte nach meiner IP des Handys schauen, der versucht auf die Fritz!Box->Pfsense zu kommen. Da ist keine IP vom Handy im Capture.

                                          V 1 Reply Last reply Jan 15, 2023, 5:03 PM Reply Quote 0
                                          41 out of 69
                                          • First post
                                            41/69
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.