Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Lets encrypt Zertifikate für Webserver in DMZ - Wie klappt es?

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 3 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dr_snuggles
      last edited by

      Halllo zusammen,

      ich bin neu hier im Forum und generell auch neu in Sachen pfsense. Jahrelang hatte ich IPFire im Einsatz aber die bietet mir mittlerweile zu wenig. So bin ich auf PFSense umgestiegen welche virtualisiert auf einem ESXi Host läuft.
      Soweit so gut, ich kann surfen, hab mit Squid und Squidgard das Netz etwas kindersicherer gemacht und kann auch meinen Webserver und meinen Mailserver in der DMZ verwenden.

      Jetzt würde ich gerne mit dem ACME Paket "lets encrypt" Zertifikate für Mail und Webserver erstellen. Klappt auch aber wie bekomme ich die jetzt automatisch auf die Server in der DMZ?
      Oder macht es Sinn hierfür HAProxy zu verwenden. Wenn ja, wie muss ich da vorgehen? HAProxy kannte ich bisher nicht und brech mir daran die Ohren. Wenn mich hier jemand an die Hand nehmen und mir das Schritt für Schritt erklären könnte, das wär ein Traum. Ach ja, vorzugsweise in Deutsch.

      Und hier evtl. noch ein paar Daten:
      WAN: PPPOE
      LAN: 10.10.1.0/24
      DMZ:192.168.2.0/24

      In der DMZ läuft ein Apache2 als Webserver (192.168.2.20), der mitttels vhosts mehrere Webseiten zur Verfügung stellt. Die vhosts sind so konfiguriert, dass sie jeweils über eine eigene DynDNS-Adresse erreichbar sind. Weiterhin ist in der DMZ noch ein Mailserver (192.168.2.10) der auch über SSL abgesichert werden soll.

      Gruß
      Christian

      1 Reply Last reply Reply Quote 0
      • D
        dr_snuggles
        last edited by

        Hallo zusammen,

        ich kann einen Teilerfolg verbuchen.
        Nach einigen try and error habe ich jetzt mit HAProxy ein Backend erstellt, welches auf meinen Webserver mit Port 443 (SSL) zeigt.
        Der Webserver arbeitet intern mit selbstsignierten Zertifikaten. (noch)
        Im Frontend habe ich eingestellt, dass es auf dem WAN auf Port 443 lauschen soll  und SSL Offloading angehakt.
        Unter Access Controll lists habe ich zwei Eintrage mit den Subdomains und einfach ein Default Backend angegeben, da ich ja eh nur einen Webserver habe.
        Bei SSL Offloading einfach aus der Liste das Let's Encrypt Zertifikat ausgewäht und gut ist.

        Ach ja, die NAT-Regel, die auf meinen Webserver zeigte habe ich natürlich rausgenommen und eine neue Firewall-Regel erstellt, die mir Port 80 und 443 zulässt.

        Was mir jetzt noch fehlt ist es aber, wie ich das ganze mit meinen Mailserver mache.

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Ahoi,

          wie willst du das denn für Mailserver implementieren? Also für die Mailports oder gehts um Web-UI des Mailers?

          Gruß

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • T
            trixters
            last edited by

            Moin zusammen,

            für mich klingt das, als wolltest Du die PF als Reverse Proxy verwenden.
            Dann macht diese nach außen den HTTPS-Traffic inkl der Zertifikate und intern machst Du HTTP oder Self-Signed-HTTPS …

            hab ich Dich da richtig verstanden ?

            Kleine Skizze wäre hilfreich JeGr hat im Forum sogar muster bereit gestellt ;)

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.