Wo überleben Custom Scripte auf pfSense mit HA-Sync...
-
Hei,
...ich habe einen Hot Standby HA-Sync CARP Cluster aus zwei pfSenses...- Darauf habe ich das acme package installiert...
- Das musste ich "hacken" damit das mit unserem Registrar funktioniert...
- Jetzt möchte ich custom scripte zum pushen der Zertifikate auf der pfSense erstellen damit diese beim renew getriggert werden um die zertifikate auf die Zielsysteme zu verteilen...
Generell ist mir hierzu alles klar wie das geht, das ACME Package liefert alle benötigten funktionen...
Was mir nicht klar ist und was Inhalt der Fragestellung ist:
- Gibt es eine Möglichkeit meine acme Packet Hacks geeignet zu persistieren, so dass die ein Reinstall des Packages überleben...???
- Wo würde man geeigneterweise andere Custom Scripts hinlegen damit sie upgrades / updates der pfSense generell überleben...???
- Wie verhält sich das mit HA-Sync...
- ACME habe ich nur auf dem "Master" konfiguriert...
- die CertificateManager Settings werden offenbar gesynct, der ganze ACME kram aber offenbar nicht...
- Ist das scripttechnisch irgendwie relevant...???
- Wie verhält sich das mit Config Backups...
Für Hinweise wäre ich dankbar...
-
@Ulrich-Neu said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
Gibt es eine Möglichkeit meine acme Packet Hacks geeignet zu persistieren, so dass die ein Reinstall des Packages überleben...???
Nein, deshalb macht man sowas bei den Packages normalerweise nicht, sondern reportet das Upstream oder reicht nen Pull Request ein, damit das ins Hauptpaket aufgenommen wird. Ansonsten kannst du dir auch dein eigenes Repo bauen und das einpflegen, Sinn macht das für mich allerdings nur bedingt und bei mehr als 1-2 Paketen.
Wo würde man geeigneterweise andere Custom Scripts hinlegen damit sie upgrades / updates der pfSense generell überleben...???
Schau dir ggf. das Filer Package an. Das hat auch XMLRPC Sync
die CertificateManager Settings werden offenbar gesynct, der ganze ACME kram aber offenbar nicht...
Wozu soll ACME gesynct werden? Man holt sich einfacher eines mit beiden Hostnamen (sinnvoll) und synct es automatisch auf den Standby. Wesentlich weniger fehleranfällig.
@Ulrich-Neu said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
Wie verhält sich das mit Config Backups...
Wie verhält sich was mit Config Backups?
@Ulrich-Neu said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
Das musste ich "hacken" damit das mit unserem Registrar funktioniert...
Ich würde damit anfangen und mal auslegen, was du wie wo warum "gehackt" hast, damit es bei deinem Registrar geht und ob man das nicht anders machen kann - oder eben einfach ins Package mit übernehmen. Jimp betreut das und ist sicher nicht abgeneigt noch mehr Rgistrare aufzunehmen bzw. je nachdem es eben an acme.sh Upstream zu geben und dort als Request einzubauen.
-
@Ulrich-Neu said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
- Gibt es eine Möglichkeit meine acme Packet Hacks geeignet zu persistieren, so dass die ein Reinstall des Packages überleben...???
Du kannst einen Patch erstellen und diesen dann mit Hilfe des "System Patches" Pakets einspielen.
-
Danke schon mal für die Tipps...
@JeGr said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
@Ulrich-Neu said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
Gibt es eine Möglichkeit meine acme Packet Hacks geeignet zu persistieren, so dass die ein Reinstall des Packages überleben...???
Nein, deshalb macht man sowas bei den Packages normalerweise nicht, sondern reportet das Upstream oder reicht nen Pull Request ein, damit das ins Hauptpaket aufgenommen wird. Ansonsten kannst du dir auch dein eigenes Repo bauen und das einpflegen, Sinn macht das für mich allerdings nur bedingt und bei mehr als 1-2 Paketen.
Ja, ist mir soweit klar, idee wäre gewesen die Änderungen irgendwo auf der pfS hin zu legen wo sie bei einem reinstall des Packages überleben und dann wieder hin kopiert werden können, aber egal...kernthema ist eigentlich, wo lege ich generell custom script code ab...
Wo würde man geeigneterweise andere Custom Scripts hinlegen damit sie upgrades / updates der pfSense generell überleben...???
Schau dir ggf. das Filer Package an. Das hat auch XMLRPC Sync
Filer Package habe ich mir schon mal installiert, reinkucken was es genau tut (außer einen "Editor" zu exponieren) muss ich dann wohl noch mal...
Ich habe im Netz keinerlei hilfreiche Beschreibung zu dem Package gefunden, was nicht heissen muss, das es keine gibt...die CertificateManager Settings werden offenbar gesynct, der ganze ACME kram aber offenbar nicht...
Wozu soll ACME gesynct werden? Man holt sich einfacher eines mit beiden Hostnamen (sinnvoll) und synct es automatisch auf den Standby. Wesentlich weniger fehleranfällig.
Nun, weil ansonsten im FailoverFall kein neues Zertifakat erzeugt werden würde wenn dann das renewal anstünde und dann außerdem auch die Scripte auf dem zweiten Knoten liegen müssten um den push des Zertifikats auf meine umliegenden Systeme durch zu führen (nicht pfS Hosts übrigens) zu machen, etc...da wäre man dan wieder bei komplexeren Szenarien...
Das was du hier anregst hatte ich bereits bemerkt, denn der Certificate Manager synct das Zertifikat bereits jetzt schon...ist aber eben nicht mal die halbe miete sondern nur konsistent über die Knoten...mir geht es im großen Schuss, daher auch die lange Szenario Vorrede um eine firmenweite Verteilung des LE-ACMEv2 WildcardCert das ich auf der pfSense "erzeuge/renewe" auf alle möglichen Webserver die wir in unserem "Laden" hier so haben...aber das ist eigentlich nicht das kernthemam, das ist immer noch, wohin lege ich meine scripte die ich dafür baue...@Ulrich-Neu said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
Wie verhält sich das mit Config Backups...
Wie verhält sich was mit Config Backups?
Nun, wie verhält sich der Ablageort der Scripte in Bezug auf Konfig Backups...
Gibt es einen Ort der generell "abgezogen" wird, dann könnte man auf die naive idee kommen einfach alles da hin zu schubsen, dann wird's gesichert und somit persistiert...Ich habe jetz verstanden, das "Filer" Package tut da irgend etwas für mich, das ich noch mal erforschen muss...
@Ulrich-Neu said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
Das musste ich "hacken" damit das mit unserem Registrar funktioniert...
Ich würde damit anfangen und mal auslegen, was du wie wo warum "gehackt" hast, damit es bei deinem Registrar geht und ob man das nicht anders machen kann - oder eben einfach ins Package mit übernehmen. Jimp betreut das und ist sicher nicht abgeneigt noch mehr Rgistrare aufzunehmen bzw. je nachdem es eben an acme.sh Upstream zu geben und dort als Request einzubauen.
Ich habe das kurz nach diesem Post im Package bereich quick and dirty kurz beschrieben...
https://forum.netgate.com/topic/142421/acme-with-schlundtech-german-provider
Die Art und weise wie ich das in meiner Installation gehacked habe ist etwas "schwulstiger" formuliert und hat den vorteil das man die ursprüngliche Funktionalität nicht verliert sondern zusätzlich den "Anbieter" konfigurieren kann...
Ich hatte gestern auch versucht daraus einen Pull Request für pfSense Package acme zu machen, aber das funktioniert offenbar nicht oder ich bin zu blöd dazu...auf dem acme upstream geht das leider nicht, weil dort der ganze pfSense spezifische Kram gar nicht vorliegt in dem auch änderungen eingebaut werden müssten...kurz um, hätte ich gerne getan, aber entweder bin ich zu blöd für die nummer oder einfach nur schwer von Begriff...Anyway, ich fürchte auch ich habe diesen Post thematisch deutlich überfrachtet, aber danke noch mal für die Anregungen...
-
@Grimson said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
@Ulrich-Neu said in Wo überleben Custom Scripte auf pfSense mit HA-Sync...:
- Gibt es eine Möglichkeit meine acme Packet Hacks geeignet zu persistieren, so dass die ein Reinstall des Packages überleben...???
Du kannst einen Patch erstellen und diesen dann mit Hilfe des "System Patches" Pakets einspielen.
Cool, auch ne Idee die ich nicht selber hatte, danke...
-
Ich habe meine eigenen Scripte direkt unter /etc/
Die haben bisher alles überlebt.