Metainformationen zur Seite
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
reverse_proxy_opnsense [2020/05/06 18:16] – [Übersicht zum Aufbau des Netzes] cb | reverse_proxy_opnsense [2020/05/06 18:26] – [Fehler, die mir unterkamen und ihre Ursachen] cb | ||
---|---|---|---|
Zeile 10: | Zeile 10: | ||
Die Debian-Web-Server, | Die Debian-Web-Server, | ||
Der benachbarte AdminPC kann irgendein Betriebssystem haben - solange ein Browser zur Firewallsteuerung läuft. \\ | Der benachbarte AdminPC kann irgendein Betriebssystem haben - solange ein Browser zur Firewallsteuerung läuft. \\ | ||
- | Die roten Netze existieren hier alle nur innerhalb des KVM-Systems als virtuelle Netze (ohne DHCP oder Hostverbindung). Von oben sind es Schulnetz, Demonetz und das winzige Management-Netz. Natürlich | + | Die roten Netze existieren hier alle nur innerhalb des KVM-Systems als virtuelle Netze (ohne DHCP oder Hostverbindung). Von oben sind es Schulnetz, Demonetz und das winzige Management-Netz. Natürlich |
- | So erfolgt der Zugriff aus dem Internet: Vom Clients ist zuerst die Fritzbox zu " | + | ==Uns so erfolgt |
+ | Vom Clients ist zuerst die Fritzbox zu " | ||
===Installation=== | ===Installation=== | ||
Plane das Netzwerk und die Serveradressen! Die restlichen Maschinen außer OPNsense können bereits installiert sein, man kann sie ja dann in den virtuellen Netzen verschieben. | Plane das Netzwerk und die Serveradressen! Die restlichen Maschinen außer OPNsense können bereits installiert sein, man kann sie ja dann in den virtuellen Netzen verschieben. | ||
- | IP-Adressen innerhalb des KVM-Servers: | + | Mögliche |
^ Maschine | ^ Maschine | ||
| OPNsense | | OPNsense | ||
Zeile 33: | Zeile 34: | ||
==OPNsense: Installation und erste Konfiguration== | ==OPNsense: Installation und erste Konfiguration== | ||
- | Stand: April 2020 | + | (Stand: April 2020) |
* Konfigurieren der virtuellen Netze | * Konfigurieren der virtuellen Netze | ||
* OPNsense installieren als FreeBSD 11.2 auf KVM, | * OPNsense installieren als FreeBSD 11.2 auf KVM, | ||
Zeile 89: | Zeile 90: | ||
* Die Verschlüsselung beim Public-Service greift auf das von Letsencrypt gelieferte Zertifikat zurück - sobald es da ist. Man kann den Public-Service für Port 443 also erst danach aktivieren! | * Die Verschlüsselung beim Public-Service greift auf das von Letsencrypt gelieferte Zertifikat zurück - sobald es da ist. Man kann den Public-Service für Port 443 also erst danach aktivieren! | ||
- | Unnötig zu sagen, dass HAProxy natürlich deutlich komplexer ist, als hier dargestellt. auch Backend-Server | + | Unnötig zu sagen, dass HAProxy natürlich deutlich komplexer ist, als hier dargestellt. |
Wenn es nicht funktioniert: | Wenn es nicht funktioniert: | ||
Zeile 111: | Zeile 112: | ||
* Enable HTTP/2 | * Enable HTTP/2 | ||
- | Schließlich kann man noch in dem DNS-Server der Domain einen CAA-Eintrag machen: | + | Schließlich kann man noch in dem DNS-Server der Domain |
example.org. CAA 128 issue " | example.org. CAA 128 issue " | ||
Zeile 117: | Zeile 118: | ||
===Fehler, die mir unterkamen und ihre Ursachen=== | ===Fehler, die mir unterkamen und ihre Ursachen=== | ||
* Letsencrypt kann das Zertifikat nicht aktualisieren | * Letsencrypt kann das Zertifikat nicht aktualisieren | ||
- | * -> überprüfe, | + | * -> überprüfe, |
* -> findet für diese URL eine Weiterleitung zu https statt, so ist entweder | * -> findet für diese URL eine Weiterleitung zu https statt, so ist entweder | ||
* eine solche im HAProxy eingerichtet worden (dann ergänze die Rule so, dass beim acme-challenge-Verfahren nicht weitergeleitet wird) oder | * eine solche im HAProxy eingerichtet worden (dann ergänze die Rule so, dass beim acme-challenge-Verfahren nicht weitergeleitet wird) oder | ||
* oben der Haken bei " | * oben der Haken bei " | ||
- | * HAProxy lässt sich nicht starten | + | * HAProxy lässt sich nicht starten |
* -> Teste die Konfiguration mit dem Button | * -> Teste die Konfiguration mit dem Button | ||
* -> Sind bei abgeschaltetem HAProxy die Ports 80 und 443 wirklich frei? D.h. nicht erreichbar? | * -> Sind bei abgeschaltetem HAProxy die Ports 80 und 443 wirklich frei? D.h. nicht erreichbar? |