zeitgesteuerte NAT Regel / per Skript / per ssh

Grimson

Am besten HAProxy nutzen und darüber die Zertifikate laufen lassen.

bon-go

Frage: HAProxy schließt gleichzeitige squid Installation und Nutzung aus?

viragomann

@bon-go
Du könntest auf den Servern UPnP nutzen, um die Port-Weiterleitung bei Bedarf zu schalten, und es auf der Firewall entsprechend konfigurieren.

bon-go

Das ist keine Option.

Rico

Wenn dein DNS Provider RFC 2136 kennt und kann oder eine Lets Encrypt API hat wäre das die eleganteste Lösung.
Mal gemütlich das Hangout von Jim bei einer Tasse Kaffee angeschaut? :-) https://www.netgate.com/resources/videos/lets-encrypt-on-pfsense.html
Evtl. kannst du da noch einen Tipp mitnehmen der bei deiner Konstellation weiter hilft.

-Rico

bon-go

Kein RFC2136, kein API. Irgendwann vielleicht. Die Hoffnung stirbt zuletzt.
Hab das Video noch nicht gekannt, danke für den Tip. Vorwärts bis 54m gezappt weil bis dahin nichts anwendbar / bereits bekannt. Hab mir das mit HAProxy angeschaut. Muss ich drüber nachdenken, sind eben auch verschiedene Szenarien.

Ich brauche in den meisten Fällen die Zertifikate auch direkt auf den Maschinen dahinter. Daher wäre das Initiieren des Requests von der betreffenden Maschine selber der bessere Weg. Zu diesem Zeitpunkt muss es halt eine NAT Regel dafür geben - oder eben einen Reverse Proxy der entspr. der ext. Anfrage weiterleitet. Denke ich drüber nach.

hornetx11

Moin,

was sich bei uns als praktikabel erwiesen hat:

• Die pf holt via acme die Zertifikate und legt sie zur weiterverteilung lokal ab
• Im Nachgang werden die Zertifikate über scripts von der pf via scp verteilt und die deamons via ssh neu gestartet
• scp / ssh Anmeldung natürlich ohne Passwort sondern via PKI

HornetX11

Mobil

bon-go

Zurück zu meiner Frage: HAProxy schließt gleichzeitige squid Installation und Nutzung aus?

JeGr

Acme Package hat die Möglichkeit die geholten Zertifikate auf der Sense im entsprechenden Ordner zusätzlich zu speichern - nicht nur im Cert-Manager. Damit könnten alle zentral auf der Sense geholt werden. Müsste man lediglich stumpf einen SSH/SFTP Only User anlegen, mit dem man von anderen Servern sich kurz 1x im Monat das aktuelle Zertifikat holt und einspielt. Ist jetzt keine riesige Angelegenheit. Ansonsten sind DNS01 wenn möglich (anscheinend nicht) oder Proxy vorgeschaltet natürlich auch Möglichkeiten.

bon-go

Ich habe das mit haproxy gelöst, sehr schön, danke nochmal für die Idee. Die notwendige Regel zum öffnen des Ports 80 kann ich so auch zeitgesteuert ein- und ausschalten. Gibt auch bisher kein Problem mit einem evtl. parallel laufendem squid.