Lets encrypt Zertifikate für Webserver in DMZ - Wie klappt es?



  • Halllo zusammen,

    ich bin neu hier im Forum und generell auch neu in Sachen pfsense. Jahrelang hatte ich IPFire im Einsatz aber die bietet mir mittlerweile zu wenig. So bin ich auf PFSense umgestiegen welche virtualisiert auf einem ESXi Host läuft.
    Soweit so gut, ich kann surfen, hab mit Squid und Squidgard das Netz etwas kindersicherer gemacht und kann auch meinen Webserver und meinen Mailserver in der DMZ verwenden.

    Jetzt würde ich gerne mit dem ACME Paket "lets encrypt" Zertifikate für Mail und Webserver erstellen. Klappt auch aber wie bekomme ich die jetzt automatisch auf die Server in der DMZ?
    Oder macht es Sinn hierfür HAProxy zu verwenden. Wenn ja, wie muss ich da vorgehen? HAProxy kannte ich bisher nicht und brech mir daran die Ohren. Wenn mich hier jemand an die Hand nehmen und mir das Schritt für Schritt erklären könnte, das wär ein Traum. Ach ja, vorzugsweise in Deutsch.

    Und hier evtl. noch ein paar Daten:
    WAN: PPPOE
    LAN: 10.10.1.0/24
    DMZ:192.168.2.0/24

    In der DMZ läuft ein Apache2 als Webserver (192.168.2.20), der mitttels vhosts mehrere Webseiten zur Verfügung stellt. Die vhosts sind so konfiguriert, dass sie jeweils über eine eigene DynDNS-Adresse erreichbar sind. Weiterhin ist in der DMZ noch ein Mailserver (192.168.2.10) der auch über SSL abgesichert werden soll.

    Gruß
    Christian



  • Hallo zusammen,

    ich kann einen Teilerfolg verbuchen.
    Nach einigen try and error habe ich jetzt mit HAProxy ein Backend erstellt, welches auf meinen Webserver mit Port 443 (SSL) zeigt.
    Der Webserver arbeitet intern mit selbstsignierten Zertifikaten. (noch)
    Im Frontend habe ich eingestellt, dass es auf dem WAN auf Port 443 lauschen soll  und SSL Offloading angehakt.
    Unter Access Controll lists habe ich zwei Eintrage mit den Subdomains und einfach ein Default Backend angegeben, da ich ja eh nur einen Webserver habe.
    Bei SSL Offloading einfach aus der Liste das Let's Encrypt Zertifikat ausgewäht und gut ist.

    Ach ja, die NAT-Regel, die auf meinen Webserver zeigte habe ich natürlich rausgenommen und eine neue Firewall-Regel erstellt, die mir Port 80 und 443 zulässt.

    Was mir jetzt noch fehlt ist es aber, wie ich das ganze mit meinen Mailserver mache.


  • Moderator

    Ahoi,

    wie willst du das denn für Mailserver implementieren? Also für die Mailports oder gehts um Web-UI des Mailers?

    Gruß



  • Moin zusammen,

    für mich klingt das, als wolltest Du die PF als Reverse Proxy verwenden.
    Dann macht diese nach außen den HTTPS-Traffic inkl der Zertifikate und intern machst Du HTTP oder Self-Signed-HTTPS …

    hab ich Dich da richtig verstanden ?

    Kleine Skizze wäre hilfreich JeGr hat im Forum sogar muster bereit gestellt ;)