pfSense + Letsencrypt ACME + HA Proxy als Reverse Proxy + ggf. Wildcards



  • Moin Leute

    Ich beschäftige mich seit einigen Tagen mit dem oben genannten Konstrukt.

    Ziel:

    • pfSense mit HAProxy als Reverse Proxy
    • mind. 3 TLD Domains / 1 Domain davon mit 2 Subdomains
    • Wildcard Zertifikate wären cool, muss aber nicht sein (Domains bei Strato)
    • Letsencrypt Zertifikate via pfSense mit ACME

    Leider hab ich bisher noch keine richtig gute Anleitung gefunden und bekomme das nur partiell zum laufen. 2018 hat sich ja eine Menge geändert (Letsencrypt Wildcards etc.) dass viele Anleitungen auch nicht mehr up2date sind.

    Hat vielleicht jemand eine gute Anleitung am Start die so etwas abdeckt oder hat so etwas selbst am laufen?

    Greetz
    Ovrld


  • Rebel Alliance

    Die beiden Netgate Hangouts von Jim Pingle schon geschaut?
    https://www.youtube.com/watch?v=h7Rlru3agdA
    https://www.youtube.com/watch?v=JTmWC6v33PE

    -Rico



  • @rico
    Ja hab ich - danke :) Was ACME betrifft, nutzt er ja nsupdate und da bin ich mir nicht sicher ob das mittlerweile bei Strato klappt. Und wenn nicht, was man stattdessen machen kann. Und der HAProxy Part geht ja eher in Richtung Loadbalance.



  • Hallo @Overlord,

    spannende Sache, die du da vor hast. Bei Strato klappt NSUpdate nicht. Ich persönlich bin aus diesem Grund von Strato zu GoDaddy gewechselt. Durch die API dort hat man es einfach in vielen Situationen leichter. Würde daher mal nach Anleitungen schauen, wie du das mit Webroot HTTP oder ähnlichem machst. Wildcard wirst du mit Strato so nicht auf der pfSense hinbekommen. Falls du zu Godaddy wechseln kannst, erstelle ich dir gern auch da eine Anleitung für Wildcard Zertifikate :-)

    Zu HAProxy schau dir mal meine Anleitung von hier an:
    https://forum.netgate.com/post/806021
    Du müsstest jedoch für deine verschiedenen Domains im Abschnitt "SSL Offloading" einige Additional certificates hinzufügen.



  • Hier wird Alles erklärt: https://www.youtube.com/watch?v=aG3gmlQsfnw&t=106s
    Ich habe es bei mir ebenso umgesetzt - eine TLD und divers Subdomains.



  • Schade, ich dachte fasst, dass sich bei Strato bzgl. nsupdate was geändert hat (zumindest bezugnehmend auf die 1. Mail von denen):

    DynDNS wird von unseren Systemen unterstützt, nsupdate bedauerlicherweise nicht. Für ein DNS-Update über unsere Systeme benötigen Sie folgende Informationen:
    Server: https://dyndns.strato.com/nic/update
    Host: Die umzuleitende Domain oder Subdomain (z. B.: meinpc.wunschname.de)
    User: Eine Domain aus Ihrem Paket (z. B.: wunschname.de)
    Passwort: Ihr Dynamic DNS Passwort, das Sie im STRATO Kunden-Login vergeben können