Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Nextcloud und SSL über pfSense Configurieren

    Scheduled Pinned Locked Moved Cache/Proxy
    9 Posts 2 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      micha_loe
      last edited by

      Hallo,

      auf meinem neu intallierten Proxmox läut die pfSense mit AMIC und HAProxy.

      Das Zertifikat konte ich proplemlos Abrufen über Letsengrypt, alle grün!

      Die Nextcloud die als Container auf Proxmox läuft unt nur über die Lokale IP der pfSens (LAN) erreichbar ist funktioniert so weit, nur weis der Browser nicht das es ein Zertifikat gibt.

      Ich Zeige euch mal wie meine pfSense Configuriert ist:

      Screenshot 2025-04-06 210456.png

      Screenshot 2025-04-06 221849.png

      Screenshot 2025-04-06 222108.png

      In der config.php der Nextcloud:
      Screenshot 2025-04-06 222255.png

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @micha_loe
        last edited by

        @micha_itm said in Nextcloud und SSL über pfSense Configurieren:

        nur weis der Browser nicht das es ein Zertifikat gibt.

        Was genau meinst du damit?

        Wenn du "https" zu Beginn einer Adresse in den Browser eingibst, erwartet dieser ein passendes Zertifikat. Bekommt er dieses nicht, macht er gar nichts.

        Dass im Backend "Encrypt SSL" aktiviert ist, veranlasst HAproxy eine verschlüsselte Verbindung zum Backend aufzubauen. Der Container sollte also auch auf Port 443 lauschen und ein Zertifikat liefern, auch wenn HAproxy dieses nicht verifiziert.

        Im Frontend hast du auch das öffentliche Zertifikat hinzugefügt?

        Nextcloud sollte auch mitgeteilt werden, dass über einen Reverse Proxy darauf zugegriffen wird.

        M 1 Reply Last reply Reply Quote 0
        • M
          micha_loe @viragomann
          last edited by

          @viragomann
          hallo viragomann,

          ja der Webbrowser erkennt das Zertifikat nicht, also sagt diese Verbindung ist unsicher, mit dieser Meldung:
          Screenshot 2025-04-09 095253.png

          Im Backend habe ich eine unverschlüsselte Verbindung zur Nextcloud über Port 80 ohne SSL (so habe ich es jetzt eingestellt)
          Screenshot 2025-04-09 095650.png
          Ist das so korrekt, intern im Proxmox (pfSense <-> Nextcloud) brauche ich eigentlich kein SSL oder habe ich hier ein Denkfehler

          Das Frontend ist so Konfiguriert das es alles aus http (80) zu https(443) umleitet und den gesamten Datenverkehr von SSL zur pfSense durch lässt.
          Screenshot 2025-04-09 100004.png

          Hier mal nooch ein Auszug aus der Nextcloud config.php und ja den Proxy habe ich eingetragen:

            'trusted_domains' => 
            array (
              0 => 'cloud.xxx.biz',
            ),
            'trusted_proxies' => 
            array (
              0 => '192.168.10.1',
            ),
            'version' => '31.0.2.1',
            'default_language' => 'de',
            'default_locale' => 'de_DE',
            'default_phone_region' => 'DE',
            'default_timezone' => 'Europe/Berlin',
            'datadirectory' => '/var/nextcloud_daten',
            'overwrite.cli.url' => 'https://cloud.xxx.biz',
            'overwriteprotocol' => 'https',
            'installed' => true,
            'maintenance_window_start' => 4,
            'maintenance' => false,
          
          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @micha_loe
            last edited by

            @micha_loe said in Nextcloud und SSL über pfSense Configurieren:

            ja der Webbrowser erkennt das Zertifikat nicht, also sagt diese Verbindung ist unsicher

            Die Frage ist, welches Zertifikat bekommt der Client?
            Firefox könnte es anzeigen. Chrome leider nur, wenn es für in Ordnung befunden wird - nicht sehr hilfreich.

            Die Frage, ob du das passende Zertifikat dem Frontend hinzugefügt hast, hast du ja leider nicht beantwortet.

            @micha_loe said in Nextcloud und SSL über pfSense Configurieren:

            Im Backend habe ich eine unverschlüsselte Verbindung zur Nextcloud über Port 80 ohne SSL (so habe ich es jetzt eingestellt)
            Screenshot 2025-04-09 095650.png
            Ist das so korrekt, intern im Proxmox (pfSense <-> Nextcloud) brauche ich eigentlich kein SSL oder habe ich hier ein Denkfehler

            Kann man machen. Die overwriteprotocol Option in der Nextcloud Konfig gewehrt dann, dass sie die URL richtig zusammenbaut. Die hast du ja gesetzt.
            Alle Zugriffe auf die Nextcloud, auch jene von intern, müssen dann aber über HAproxy laufen.

            M 1 Reply Last reply Reply Quote 0
            • M
              micha_loe @viragomann
              last edited by

              @viragomann
              ja das Zertifikt bekomme ich von Bitdefender!? (wie auch immer der ist Lokal installiert, finde aber auch keine möglich keit das zu deaktivieren. Auf anderen Computern ohne Bitdefander kommt eine SSL meldung von Hetzner.
              Screenshot 2025-04-09 152659.png

              Hetzner.jpg

              Als Zertifikat habe ich mein eigen Generiertes dem Frontend hinzugefügt:
              Screenshot 2025-04-09 153010.png

              Und Ja, da das ganze auf einem Hetzner-Server läuft kann die Interne Komunikation unverschlüsselt bleiben, da alle Clients zwangsläufig über den HAproxy gehen von außen.

              Dann habe ich noch wie in der Anleitung, die ichg jetzt nicht mehr finde (Sorry) das hier eingetragen, ich hoffe das passt so!?
              Screenshot 2025-04-09 153130.png

              V 1 Reply Last reply Reply Quote 0
              • V
                viragomann @micha_loe
                last edited by

                @micha_loe said in Nextcloud und SSL über pfSense Configurieren:

                ja das Zertifikt bekomme ich von Bitdefender!?

                Was Bitdefender da macht, weiß ich nicht. Vermutlich terminiert er die SSL-Verbindung um reinzuschnüffeln, und hält dem Browser dann sein eigenes Zertifikat vor. Aber das dürfte nicht das Problem sein, sondern...

                Auf anderen Computern ohne Bitdefander kommt eine SSL meldung von Hetzner.

                vermutlich kommt die Anfrage gar nicht zu HAproxy, sondern eben zu Hetzner, und das Problem liegt damit ganz anders wo.

                Da hat es also schon vor HAproxy was. DNS?

                @micha_loe said in Nextcloud und SSL über pfSense Configurieren:

                Und Ja, da das ganze auf einem Hetzner-Server läuft kann die Interne Komunikation unverschlüsselt bleiben, da alle Clients zwangsläufig über den HAproxy gehen von außen.

                Das ist eine Frage, wie weit man dem Provider vertraut und was es zu schützen gibt.
                Wir betreiben Server auf Exoscale, dem ich eher vertrauen würde, dennoch ist auch der Verkehr zwischen HAproxy und den Backends verschlüsselt.
                Aber das darfst du entscheiden.

                Dann habe ich noch wie in der Anleitung, die ichg jetzt nicht mehr finde (Sorry) das hier eingetragen, ich hoffe das passt so!?

                Das forwardfor? Das fügt die Client IP in einen HTTP Header ein, den man dann am Backend loggen kann, um den tatsächlichen Client zu sehen. Ansonsten sieht es ja nur HAproxy als Client.

                M 1 Reply Last reply Reply Quote 0
                • M
                  micha_loe @viragomann
                  last edited by micha_loe

                  @viragomann
                  ok wenn ich das so richtig verstehe bist du der Meinung das HAproxy korrekt konfiguriert ist. Hmmm
                  Nextcloud auch ...

                  Ja vor HAproxy gibt es noch den Hetzner DNS über den ich die Subdomains bereit stelle, und ein DNS Eintrag setze der diese dann zur IP der pfSense weiter reicht.
                  Screenshot 2025-04-09 201351.png

                  brauche ich die AAAA Einträge überhaupt, ich mache eigentlich alles über IPv4

                  V 1 Reply Last reply Reply Quote 0
                  • V
                    viragomann @micha_loe
                    last edited by

                    @micha_loe said in Nextcloud und SSL über pfSense Configurieren:

                    ok wenn ich das so richtig verstehe bist du der Meinung das HAproxy korrekt konfiguriert ist. Hmmm
                    Nextcloud auch ...

                    Das hatte ich nicht behauptet. Was ich gesehen habe, scheint mir aber in Ordnung.
                    Alles hast du ja nicht gezeigt. Bspw. wie das Frontend das richtige Backend findet.
                    Aber das ist erstmal anscheinend nicht das Problem.

                    Kannst du deine WAN IP überhaupt erreichen? Bspw. mittels direkten Ping oder eben auch über https://<WAN IP>?
                    Während du das versuchst, kannst du auf pfSense am WAN interface ein Packet Capture laufen lassen. Dann solltest du die entsprechenden Pakete sehen können.

                    Wenn das okay ist, versuche dasselbe mit der Cloud-Domain, am besten mit https.

                    Nein, AAAA Records sind nur für Verbindungen via IPv6. Wenn du das nicht eingerichtet hast, sind die Einträge unnütz.

                    1 Reply Last reply Reply Quote 0
                    • M
                      micha_loe
                      last edited by

                      @viragomann said in Nextcloud und SSL über pfSense Configurieren:

                      https://<WAN IP>

                      Sooo Fehler gefunden, es waren die IPv6 Einträge, gelöscht und es funktioniert!

                      Über DSL von Zuhause konnten alle anfragen Aufgelöst werden, über bein Test gerät welches über Mobiele Daten ging nicht... da dieses vermutlich IPv6 genutzt hatte.

                      Besten Danke für die unterstützung

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.