Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
reverse_proxy_opnsense [2020/05/06 18:22] – [Verschlüsselung optimieren] cbreverse_proxy_opnsense [2020/05/10 09:52] (aktuell) – [Quellen & Links] cb
Zeile 118: Zeile 118:
 ===Fehler, die mir unterkamen und ihre Ursachen=== ===Fehler, die mir unterkamen und ihre Ursachen===
     * Letsencrypt kann das Zertifikat nicht aktualisieren     * Letsencrypt kann das Zertifikat nicht aktualisieren
-      * -> überprüfe, dass die URL (die mit /.well-known beginnt) von außen per HTTP (Port 80) erreichbar ist+      * -> überprüfe, dass die URL (die mit /.well-known beginnt) von außen per HTTP (Port 80) erreichbar ist - z.B. mit [[curl|cURL]].
       * -> findet für diese URL eine Weiterleitung zu https statt, so ist entweder       * -> findet für diese URL eine Weiterleitung zu https statt, so ist entweder
         * eine solche im HAProxy eingerichtet worden (dann ergänze die Rule so, dass beim acme-challenge-Verfahren nicht weitergeleitet wird) oder         * eine solche im HAProxy eingerichtet worden (dann ergänze die Rule so, dass beim acme-challenge-Verfahren nicht weitergeleitet wird) oder
         * oben der Haken bei "Disable web GUI redirect rule" nicht gesetzt worden!         * oben der Haken bei "Disable web GUI redirect rule" nicht gesetzt worden!
-    * HAProxy lässt sich nicht starten+    * HAProxy lässt sich nicht starten (Kontrolle im Dashboard)
       * -> Teste die Konfiguration mit dem Button       * -> Teste die Konfiguration mit dem Button
       * -> Sind bei abgeschaltetem HAProxy die Ports 80 und 443 wirklich frei? D.h. nicht erreichbar?       * -> Sind bei abgeschaltetem HAProxy die Ports 80 und 443 wirklich frei? D.h. nicht erreichbar?
Zeile 131: Zeile 131:
     * Kein HTTPS-Zugriff mit Firefox möglich, mit anderen Browsern klappt es:     * Kein HTTPS-Zugriff mit Firefox möglich, mit anderen Browsern klappt es:
       * -> In Letsencrypt OCSP Must Staple angeklickt? Sonst eine gute Idee, wird aber von HAProxy nicht unterstützt und Firefox beschwert sich zu Recht. Also Haken weg, Zertifikat neu ausstellen lassen, fertig.       * -> In Letsencrypt OCSP Must Staple angeklickt? Sonst eine gute Idee, wird aber von HAProxy nicht unterstützt und Firefox beschwert sich zu Recht. Also Haken weg, Zertifikat neu ausstellen lassen, fertig.
 +===Mozilla SSL-Konfiguration===
 +    * [[https://ssl-config.mozilla.org/#server=haproxy&version=2.21&config=intermediate&openssl=1.1.1f&ocsp=false|SSL Configuration Generator]]
 +    * Liefert eine Liste empfehlenswerter Verschlüsselungstechniken (Cipher).
 +    * "intermediate" dürfte für die meisten Anwender praktikabel sein.
 +    * Man sollte die Einstellungen z.B. jährlich aktualisieren...
 +    * Derzeit (April 2020) lautet sie: 
 +
 +         ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
 +         
 ===Quellen & Links=== ===Quellen & Links===
 Deutsche Anleitungen: Deutsche Anleitungen:
Zeile 141: Zeile 150:
     * Patric Green: [[https://blog.bagro.se/lets-encrypt-with-haproxy-on-opnsense/|Let's Encrypt with HAProxy on OPNsense]]     * Patric Green: [[https://blog.bagro.se/lets-encrypt-with-haproxy-on-opnsense/|Let's Encrypt with HAProxy on OPNsense]]
  
-Mozilla SSL-Konfiguration: 
-    * [[https://ssl-config.mozilla.org/#server=haproxy&version=2.21&config=intermediate&openssl=1.1.1f&ocsp=false|SSL Configuration Generator]] 
-    * Liefert eine Liste empfehlenswerter Verschlüsselungstechniken (Cipher). 
-    * "intermediate" dürfte für die meisten Anwender praktikabel sein. 
-    * Man sollte die Einstellungen z.B. jährlich aktualisieren... 
-    * Derzeit (April 2020) lautet sie:  
  
-         ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 
                    
 {{tag>OPNsense Reverse-Proxy Firewall Letsencrypt HAProxy HTTP HTTPS Portnummer Dyn-DNS Fritzbox Zertifikat SSL-Offloading HowTo}} {{tag>OPNsense Reverse-Proxy Firewall Letsencrypt HAProxy HTTP HTTPS Portnummer Dyn-DNS Fritzbox Zertifikat SSL-Offloading HowTo}}