Hey Dennis, eine Anleitung die OPNsense als reverse Proxy via HAproxy und LetsEncrypt einzurichten wäre sicher auch nen cooles video in der Reihe 😊 Habs es selbst vor einiger Zeit mal eingerichtet und es war wirklich ein kleiner Kampf bis es funktioniert hat.
Ich mühe mich damit auch gerade ab. Ein Video OPNSENSE als reverse Proxy via HAProxy und LetsEncrypt um den Zugriff auf eine Diskstation mittels DynDNS UND LE-Zertikat zu ermöglichen wäre Klasse. Daumen hoch schon mal für das Video.
dem kann ich mich nur anschließen. Das würde mich auch sehr interessieren. Wäre Klasse von dir Dennis, wenn du hierzu auch einmal ein Tutorial machen könntest. Danke dir!
Das ist ne tolle Idee! Bin da auch sehr dafür. Zumal ich meinen Nginx Proxy Manager nicht mehr richtig zum laufen bringe. Let'sEncrypt signiert mir dort keine Zertifikate mehr. Umso besser wäre es, wenn ich das ganze schon direkt auf der OPNsense machen könnte. :)
cooles video, könntest du das bitte noch erweitern mit dem ha proxy? damit man die opnsense als reverse proxy nutzen kann und damit mehrere services vom homelab von extern mit verschiedenen dns namen mit jeweiligen zertifikat erreichbar sind?
Ist das Interface dann auch vom Internet aus erreichbar? Geht der Traffic ins Internet, wenn ich vom LAN aus über die Domain, die ja zur WAN IP auflöst, zugreife? Wäre local DNS nicht besser, um von der Domain zur lokalen IP aufzulösen?
Daumen hoch, dass Du DNS Challenge gezeigt hast - kleine rTipp: Bei Lets Encrypt gibts ne Übersicht, über alle die das anbieten, sobald es geht, kannst Du Dich da ja nennen lassen, ist bestimtm gute Werbung für den Dienst :-) Kurze Frage noch: Wenn man das so einrichtet öffnet man ja Ports, und auch die Weboberfläche der OPNSense? Ist das nicht ein Sicherheitsrisiko im Vergleich zu geschlossenen Ports?
Hey Dennis, wieder ein super Video. Was auch noch ein Video wert wäre sind Self Signed Certificate ohne Lets Encrypt. Ich hab mich damit jetzt locker eine Woche beschäftigt, weil ich vaultwarden ohne Portfreigaben, sondern ausschließlich per WireGuard über das iPhone erreichbar gemacht hab. Damit das funktioniert muss man sich selber ein Zertifikat ausstellen und das selber im iPhone importieren. War schon was tricky aber funzt jetzt super 😅
@@stefan7076 hab vaultwarden auch am laufen ebenfalls hinter wireguard (mit acl aufm nginx reverse Proxy, damit Zugriff nur ausm wireguard erlaubt wird) jedoch verwende ich mein LetsEncrypt Wildcard Zertifikat und kein self Signed, musste hierfür nix besonderes beachten ist wie jeder anderer Webservice auch.
@@IamtheUli Ich habe aber keine eigene Domain bei einem Hoster und dann wird mir das Zertifikat von Lets Encrypt verweigert 😅 Wie hast du das gelöst? Es führen ja immer viele Wege nach Rom und über einen Tip bin ich dankbar 😄
Nachdem das Ausstellen des Zertifikates mit letsencrypt erfolgreich GETESTET wurde, muss im Account auf die Default Certificate Authority umgestellt und das Zertifikat noch einmal erneuert werden. Ansonsten wird das Zertifikat im Browser als nicht vertrauenswürdig abgelehnt. Optional kann noch ein Automatismus angelegt werden, um die WebGui neu zu starten. Dieser angelegte Automatismus wird in der Zertifikats Konfiguration angegeben. Nach dem erfolgreichen Aktualisieren wird dann die WebGui neu gestartet und verwendet das neue Zertifikat.
PS: 1) Der Port (80 bzw. 443) für die HTTP Challenge wird nur temporär zum Internet (WAN Interface) geöffnet bis die Challenge abgeschlossen ist. Die Webgui sollte, wenn überhaupt, auf dem WAN Interface diese Ports NICHT verwenden. 2) Wenn beim Ausstellen des Zertifikates Fehler auftreten, hilft oft ein Blick in die Logs des ACME Clients.
So kann man aber das Zertifikatproblem nicht lösen, wenn man die OPNSense mit der lokalen Adresse aufruft. Da hätte noch ein Eintrag gemacht werden müssen, wo zusätzlich die lokale IP eingetragen wird. Oder liege ich hier falsch? So ist es zumindest wenn ich die Zertifikate auf der Opensense selbst erstelle. Wie löst Du das Problem das die OPNSense von Außen über die Dyndns Adresse erreichbar ist? Bei mir kommt immer DNS_PROBE_FINISHED_NXDOMAIN ! Danke wenn ich eine Antwort bekomme
Kann sein, dass ich jetzt den Hintergrund nicht ganz verstanden habe, aber ist das nicht grundsätzlich ungünstig, seine Firewall aus dem Internet zugänglich zu machen, auch wenn es über HTTPS ist? Man könnte das doch sicher auch intern, im eigenen LAN lösen, ohne übers Internet gehen zu müssen. Vielleicht steh ich aber auch gerade auf dem Schlauch.
@Raspbbery Pi Cloud Moin Dennis, ich hätte da 2 Fragen: 1. Der Wechsel zur OpenSense auf Wunsch der Community oder in deinen Augen mitlerweile besser? (wenn ja warum?) 2. LawrenceSystems hat mal einen englischen Guide zu Pfsense mit acme, letsencryp und HA proxy gemacht, auf Deutsch ist dazu nix zu finden wo alles in einem Video oder Videoreihe mal abgearbeitet wird, ich denke da warten bestimmt viele auf eine aktuelle Anleitung, vlt. wäre das ja mal etwas für dich und die community? 3. hier mal der Link zum Video: ruclips.net/video/gVOEdt-BHDY/видео.html
@@RaspberryPiCloud Sicher? Bei pfSense muss das GUI nicht öffentlich zugänglich sein. Denn das wäre ja auch fatal. Die acme Challenge wird auf dem HTTP Server der pfSense ausgeführt, aber der Port bzw. das GUI sollten ja eh ein anderer sein.
@@RaspberryPiCloud noch zu erwähnen ist, dass kein aktives Port Mapping der Ports 443 + 80 verwendet werden darf. Lets Encrypt signiert über Port 443 bzw. 80 . Genauso wenn das ganze via Nginx Reverse Proxy durchgeführt wird.
@@dennisdistrict6205 So ist es. Ausserdem wäre vielleicht ein deutlicher Warn-Hinweis angebracht gewesen, dass es generell keine gute Idee ist, seine Firewall aus dem Internet zugänglich zu machen, wenn es nicht ganz konkrete Erfordernisse dafür gibt. Gerade wenn die Anleitung für "Anfänger" gedacht ist, sollte man auch ein bisschen auf die Best Practices eingehen sonst wird das einfach leichtfertig nachgebaut ohne die Konsequenzen davon zu bedenken.
Hallo habe dies heute auf mein Smartphone entdeckt, irgendeine Organisation aus usa hat Zugriff. Habe Keine Ahnung darüber und möchte sowas auch nicht ohne meine Erlaubnis!.
Hey Dennis, eine Anleitung die OPNsense als reverse Proxy via HAproxy und LetsEncrypt einzurichten wäre sicher auch nen cooles video in der Reihe 😊
Habs es selbst vor einiger Zeit mal eingerichtet und es war wirklich ein kleiner Kampf bis es funktioniert hat.
Ich mühe mich damit auch gerade ab. Ein Video OPNSENSE als reverse Proxy via HAProxy und LetsEncrypt um den Zugriff auf eine Diskstation mittels DynDNS UND LE-Zertikat zu ermöglichen wäre Klasse. Daumen hoch schon mal für das Video.
dem kann ich mich nur anschließen. Das würde mich auch sehr interessieren. Wäre Klasse von dir Dennis, wenn du hierzu auch einmal ein Tutorial machen könntest. Danke dir!
Das ist ne tolle Idee! Bin da auch sehr dafür. Zumal ich meinen Nginx Proxy Manager nicht mehr richtig zum laufen bringe. Let'sEncrypt signiert mir dort keine Zertifikate mehr. Umso besser wäre es, wenn ich das ganze schon direkt auf der OPNsense machen könnte. :)
Danke für die Anleitung. Funzt 1A!
cooles video, könntest du das bitte noch erweitern mit dem ha proxy? damit man die opnsense als reverse proxy nutzen kann und damit mehrere services vom homelab von extern mit verschiedenen dns namen mit jeweiligen zertifikat erreichbar sind?
ja das Thema würde ich auch klasse finden
Ist das Interface dann auch vom Internet aus erreichbar?
Geht der Traffic ins Internet, wenn ich vom LAN aus über die Domain, die ja zur WAN IP auflöst, zugreife?
Wäre local DNS nicht besser, um von der Domain zur lokalen IP aufzulösen?
Daumen hoch, dass Du DNS Challenge gezeigt hast - kleine rTipp: Bei Lets Encrypt gibts ne Übersicht, über alle die das anbieten, sobald es geht, kannst Du Dich da ja nennen lassen, ist bestimtm gute Werbung für den Dienst :-) Kurze Frage noch: Wenn man das so einrichtet öffnet man ja Ports, und auch die Weboberfläche der OPNSense? Ist das nicht ein Sicherheitsrisiko im Vergleich zu geschlossenen Ports?
Kleiner Hinweis: Bei Alt Names muss nochmal der FQDN aus dem CN rein, da es sonst zu Problemen kommen kann.
Hey Dennis, wieder ein super Video. Was auch noch ein Video wert wäre sind Self Signed Certificate ohne Lets Encrypt. Ich hab mich damit jetzt locker eine Woche beschäftigt, weil ich vaultwarden ohne Portfreigaben, sondern ausschließlich per WireGuard über das iPhone erreichbar gemacht hab. Damit das funktioniert muss man sich selber ein Zertifikat ausstellen und das selber im iPhone importieren. War schon was tricky aber funzt jetzt super 😅
Wo genau war dein Problem:
"openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out server.crt -keyout server.key"
und gut ist?
@@IamtheUli Da ist schon ein bisschen mehr nötig. Siehe Wiki bei Vaultwarden
@@stefan7076 hab vaultwarden auch am laufen ebenfalls hinter wireguard (mit acl aufm nginx reverse Proxy, damit Zugriff nur ausm wireguard erlaubt wird) jedoch verwende ich mein LetsEncrypt Wildcard Zertifikat und kein self Signed, musste hierfür nix besonderes beachten ist wie jeder anderer Webservice auch.
@@IamtheUli Ich habe aber keine eigene Domain bei einem Hoster und dann wird mir das Zertifikat von Lets Encrypt verweigert 😅 Wie hast du das gelöst? Es führen ja immer viele Wege nach Rom und über einen Tip bin ich dankbar 😄
Nachdem das Ausstellen des Zertifikates mit letsencrypt erfolgreich GETESTET wurde, muss im Account auf die Default Certificate Authority umgestellt und das Zertifikat noch einmal erneuert werden.
Ansonsten wird das Zertifikat im Browser als nicht vertrauenswürdig abgelehnt.
Optional kann noch ein Automatismus angelegt werden, um die WebGui neu zu starten.
Dieser angelegte Automatismus wird in der Zertifikats Konfiguration angegeben.
Nach dem erfolgreichen Aktualisieren wird dann die WebGui neu gestartet und verwendet das neue Zertifikat.
Ich warte jetzt nur noch auf eine Anleitung für die DNS- Challenge :)
Daumen hoch ! #NiveaSoft
PS:
1) Der Port (80 bzw. 443) für die HTTP Challenge wird nur temporär zum Internet (WAN Interface) geöffnet bis die Challenge abgeschlossen ist.
Die Webgui sollte, wenn überhaupt, auf dem WAN Interface diese Ports NICHT verwenden.
2) Wenn beim Ausstellen des Zertifikates Fehler auftreten, hilft oft ein Blick in die Logs des ACME Clients.
👍
So kann man aber das Zertifikatproblem nicht lösen, wenn man die OPNSense mit der lokalen Adresse aufruft. Da hätte noch ein Eintrag gemacht werden müssen, wo zusätzlich die lokale IP eingetragen wird. Oder liege ich hier falsch? So ist es zumindest wenn ich die Zertifikate auf der Opensense selbst erstelle. Wie löst Du das Problem das die OPNSense von Außen über die Dyndns Adresse erreichbar ist? Bei mir kommt immer DNS_PROBE_FINISHED_NXDOMAIN !
Danke wenn ich eine Antwort bekomme
Kannst du das mal für pfsense ei Hetzner zeigen, ich kriege es nicht hin...
Kann sein, dass ich jetzt den Hintergrund nicht ganz verstanden habe, aber ist das nicht grundsätzlich ungünstig, seine Firewall aus dem Internet zugänglich zu machen, auch wenn es über HTTPS ist? Man könnte das doch sicher auch intern, im eigenen LAN lösen, ohne übers Internet gehen zu müssen. Vielleicht steh ich aber auch gerade auf dem Schlauch.
Und wie man eine Wildcard von LetsEncrypt einrichtet. um dann interne zertifikate zu erstellen oder so!
Wäre cool
Hallo Dennis, hatte heute Vormittag ein Kommentar geschrieben und abgeschickt. Jetzt fehlt dieser. Gibt es Gründe wieso?
hab das eben genau so eingestellt. nun geht der Web GUI garnicht mehr, kommt nicht mehr auf der sense, selbst nach Neustart nicht... ;(
Hallo
Bei mir kommt immer validation failed.
Was mache ich falsch?
@Raspbbery Pi Cloud
Moin Dennis, ich hätte da 2 Fragen:
1. Der Wechsel zur OpenSense auf Wunsch der Community oder in deinen Augen mitlerweile besser? (wenn ja warum?)
2. LawrenceSystems hat mal einen englischen Guide zu Pfsense mit acme, letsencryp und HA proxy gemacht, auf Deutsch ist dazu nix zu finden wo alles in einem Video oder Videoreihe mal abgearbeitet wird, ich denke da warten bestimmt viele auf eine aktuelle Anleitung, vlt. wäre das ja mal etwas für dich und die community?
3. hier mal der Link zum Video: ruclips.net/video/gVOEdt-BHDY/видео.html
Zu Frage 1 würde ich mir auch gerne eine Antwort wünschen. Bin gespannt, warum es jetzt OPNsense wurde.
Ich bekomme immer die Meldung validation failed.
Wahrscheinlich ne saudumme Frage, aber muss für die HTTP Challange die Web-UI der Opnsense im Internet stehen bzw. aus dem Internet erreichbar sein?
Zum Zeitpunkt der Signierung, JA.
@@RaspberryPiCloud Sicher? Bei pfSense muss das GUI nicht öffentlich zugänglich sein. Denn das wäre ja auch fatal. Die acme Challenge wird auf dem HTTP Server der pfSense ausgeführt, aber der Port bzw. das GUI sollten ja eh ein anderer sein.
@@RaspberryPiCloud noch zu erwähnen ist, dass kein aktives Port Mapping der Ports 443 + 80 verwendet werden darf. Lets Encrypt signiert über Port 443 bzw. 80 . Genauso wenn das ganze via Nginx Reverse Proxy durchgeführt wird.
@@dennisdistrict6205 So ist es. Ausserdem wäre vielleicht ein deutlicher Warn-Hinweis angebracht gewesen, dass es generell keine gute Idee ist, seine Firewall aus dem Internet zugänglich zu machen, wenn es nicht ganz konkrete Erfordernisse dafür gibt. Gerade wenn die Anleitung für "Anfänger" gedacht ist, sollte man auch ein bisschen auf die Best Practices eingehen sonst wird das einfach leichtfertig nachgebaut ohne die Konsequenzen davon zu bedenken.
Hallo habe dies heute auf mein Smartphone entdeckt, irgendeine Organisation aus usa hat Zugriff.
Habe Keine Ahnung darüber und möchte sowas auch nicht ohne meine Erlaubnis!.
Ist Dein Vorhang käuflich zu erwerben? Frage für keinen Freund