Nextcloud und SSL über pfSense Configurieren
-
Hallo,
auf meinem neu intallierten Proxmox läut die pfSense mit AMIC und HAProxy.
Das Zertifikat konte ich proplemlos Abrufen über Letsengrypt, alle grün!
Die Nextcloud die als Container auf Proxmox läuft unt nur über die Lokale IP der pfSens (LAN) erreichbar ist funktioniert so weit, nur weis der Browser nicht das es ein Zertifikat gibt.
Ich Zeige euch mal wie meine pfSense Configuriert ist:
In der config.php der Nextcloud:
-
@micha_itm said in Nextcloud und SSL über pfSense Configurieren:
nur weis der Browser nicht das es ein Zertifikat gibt.
Was genau meinst du damit?
Wenn du "https" zu Beginn einer Adresse in den Browser eingibst, erwartet dieser ein passendes Zertifikat. Bekommt er dieses nicht, macht er gar nichts.
Dass im Backend "Encrypt SSL" aktiviert ist, veranlasst HAproxy eine verschlüsselte Verbindung zum Backend aufzubauen. Der Container sollte also auch auf Port 443 lauschen und ein Zertifikat liefern, auch wenn HAproxy dieses nicht verifiziert.
Im Frontend hast du auch das öffentliche Zertifikat hinzugefügt?
Nextcloud sollte auch mitgeteilt werden, dass über einen Reverse Proxy darauf zugegriffen wird.
-
@viragomann
hallo viragomann,ja der Webbrowser erkennt das Zertifikat nicht, also sagt diese Verbindung ist unsicher, mit dieser Meldung:
Im Backend habe ich eine unverschlüsselte Verbindung zur Nextcloud über Port 80 ohne SSL (so habe ich es jetzt eingestellt)
Ist das so korrekt, intern im Proxmox (pfSense <-> Nextcloud) brauche ich eigentlich kein SSL oder habe ich hier ein DenkfehlerDas Frontend ist so Konfiguriert das es alles aus http (80) zu https(443) umleitet und den gesamten Datenverkehr von SSL zur pfSense durch lässt.
Hier mal nooch ein Auszug aus der Nextcloud config.php und ja den Proxy habe ich eingetragen:
'trusted_domains' => array ( 0 => 'cloud.xxx.biz', ), 'trusted_proxies' => array ( 0 => '192.168.10.1', ), 'version' => '31.0.2.1', 'default_language' => 'de', 'default_locale' => 'de_DE', 'default_phone_region' => 'DE', 'default_timezone' => 'Europe/Berlin', 'datadirectory' => '/var/nextcloud_daten', 'overwrite.cli.url' => 'https://cloud.xxx.biz', 'overwriteprotocol' => 'https', 'installed' => true, 'maintenance_window_start' => 4, 'maintenance' => false, -
@micha_loe said in Nextcloud und SSL über pfSense Configurieren:
ja der Webbrowser erkennt das Zertifikat nicht, also sagt diese Verbindung ist unsicher
Die Frage ist, welches Zertifikat bekommt der Client?
Firefox könnte es anzeigen. Chrome leider nur, wenn es für in Ordnung befunden wird - nicht sehr hilfreich.Die Frage, ob du das passende Zertifikat dem Frontend hinzugefügt hast, hast du ja leider nicht beantwortet.
@micha_loe said in Nextcloud und SSL über pfSense Configurieren:
Im Backend habe ich eine unverschlüsselte Verbindung zur Nextcloud über Port 80 ohne SSL (so habe ich es jetzt eingestellt)
Screenshot 2025-04-09 095650.png
Ist das so korrekt, intern im Proxmox (pfSense <-> Nextcloud) brauche ich eigentlich kein SSL oder habe ich hier ein DenkfehlerKann man machen. Die overwriteprotocol Option in der Nextcloud Konfig gewehrt dann, dass sie die URL richtig zusammenbaut. Die hast du ja gesetzt.
Alle Zugriffe auf die Nextcloud, auch jene von intern, müssen dann aber über HAproxy laufen. -
@viragomann
ja das Zertifikt bekomme ich von Bitdefender!? (wie auch immer der ist Lokal installiert, finde aber auch keine möglich keit das zu deaktivieren. Auf anderen Computern ohne Bitdefander kommt eine SSL meldung von Hetzner.
Als Zertifikat habe ich mein eigen Generiertes dem Frontend hinzugefügt:
Und Ja, da das ganze auf einem Hetzner-Server läuft kann die Interne Komunikation unverschlüsselt bleiben, da alle Clients zwangsläufig über den HAproxy gehen von außen.
Dann habe ich noch wie in der Anleitung, die ichg jetzt nicht mehr finde (Sorry) das hier eingetragen, ich hoffe das passt so!?
-
@micha_loe said in Nextcloud und SSL über pfSense Configurieren:
ja das Zertifikt bekomme ich von Bitdefender!?
Was Bitdefender da macht, weiß ich nicht. Vermutlich terminiert er die SSL-Verbindung um reinzuschnüffeln, und hält dem Browser dann sein eigenes Zertifikat vor. Aber das dürfte nicht das Problem sein, sondern...
Auf anderen Computern ohne Bitdefander kommt eine SSL meldung von Hetzner.
vermutlich kommt die Anfrage gar nicht zu HAproxy, sondern eben zu Hetzner, und das Problem liegt damit ganz anders wo.
Da hat es also schon vor HAproxy was. DNS?
@micha_loe said in Nextcloud und SSL über pfSense Configurieren:
Und Ja, da das ganze auf einem Hetzner-Server läuft kann die Interne Komunikation unverschlüsselt bleiben, da alle Clients zwangsläufig über den HAproxy gehen von außen.
Das ist eine Frage, wie weit man dem Provider vertraut und was es zu schützen gibt.
Wir betreiben Server auf Exoscale, dem ich eher vertrauen würde, dennoch ist auch der Verkehr zwischen HAproxy und den Backends verschlüsselt.
Aber das darfst du entscheiden.Dann habe ich noch wie in der Anleitung, die ichg jetzt nicht mehr finde (Sorry) das hier eingetragen, ich hoffe das passt so!?
Das forwardfor? Das fügt die Client IP in einen HTTP Header ein, den man dann am Backend loggen kann, um den tatsächlichen Client zu sehen. Ansonsten sieht es ja nur HAproxy als Client.
-
@viragomann
ok wenn ich das so richtig verstehe bist du der Meinung das HAproxy korrekt konfiguriert ist. Hmmm
Nextcloud auch ...Ja vor HAproxy gibt es noch den Hetzner DNS über den ich die Subdomains bereit stelle, und ein DNS Eintrag setze der diese dann zur IP der pfSense weiter reicht.
brauche ich die AAAA Einträge überhaupt, ich mache eigentlich alles über IPv4
-
@micha_loe said in Nextcloud und SSL über pfSense Configurieren:
ok wenn ich das so richtig verstehe bist du der Meinung das HAproxy korrekt konfiguriert ist. Hmmm
Nextcloud auch ...Das hatte ich nicht behauptet. Was ich gesehen habe, scheint mir aber in Ordnung.
Alles hast du ja nicht gezeigt. Bspw. wie das Frontend das richtige Backend findet.
Aber das ist erstmal anscheinend nicht das Problem.Kannst du deine WAN IP überhaupt erreichen? Bspw. mittels direkten Ping oder eben auch über https://<WAN IP>?
Während du das versuchst, kannst du auf pfSense am WAN interface ein Packet Capture laufen lassen. Dann solltest du die entsprechenden Pakete sehen können.Wenn das okay ist, versuche dasselbe mit der Cloud-Domain, am besten mit https.
Nein, AAAA Records sind nur für Verbindungen via IPv6. Wenn du das nicht eingerichtet hast, sind die Einträge unnütz.
-
@viragomann said in Nextcloud und SSL über pfSense Configurieren:
https://<WAN IP>
Sooo Fehler gefunden, es waren die IPv6 Einträge, gelöscht und es funktioniert!
Über DSL von Zuhause konnten alle anfragen Aufgelöst werden, über bein Test gerät welches über Mobiele Daten ging nicht... da dieses vermutlich IPv6 genutzt hatte.
Besten Danke für die unterstützung