Metainformationen zur Seite
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
sysbetr:reverse_proxy_opnsense [2020/04/17 18:13] – [Fehler, die mir unterkamen und ihre Ursachen] cb | sysbetr:reverse_proxy_opnsense [2020/04/27 23:11] – [Verschlüsselung optimieren] cb | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====Reverse-Proxy auf Basis von OPNsense==== | ====Reverse-Proxy auf Basis von OPNsense==== | ||
===Grund=== | ===Grund=== | ||
- | Ich möchte ((Der Wechsel ist u.a. ein Gebot der Vernunft, da z.B. die Weiterentwicklung der von mir verwendeten und geschätzten Shorewall fraglich ist. Bei der Konfiguration bin ich wegen des eher seltenen Aufbaus auf mich alleine gestellt - keine Firma würde das supporten. Da ist OPNsense erfolgversprechender.)) von Debian mit Shorewall | + | Ich möchte ((Der Wechsel ist u.a. ein Gebot der Vernunft, da z.B. die Weiterentwicklung der von mir verwendeten und geschätzten Shorewall fraglich ist. Bei der Konfiguration bin ich wegen des eher seltenen Aufbaus auf mich alleine gestellt - keine Firma würde das supporten. Da ist OPNsense erfolgversprechender.)) von der Firewallbasis |
Zeile 89: | Zeile 89: | ||
Unnötig zu sagen, dass HAProxy natürlich deutlich komplexer ist, als hier dargestellt. auch Backend-Server können Regeln haben. Benutzeranmeldung kann gemacht werden... | Unnötig zu sagen, dass HAProxy natürlich deutlich komplexer ist, als hier dargestellt. auch Backend-Server können Regeln haben. Benutzeranmeldung kann gemacht werden... | ||
+ | |||
+ | Wenn es nicht funktioniert: | ||
+ | |||
+ | ===Verschlüsselung optimieren=== | ||
+ | Voraussetzung: | ||
+ | |||
+ | Nun kann man die Verschlüsselung bei [[SSLLabs.com]] testen. Vermutlich erhält man eine B-Note. Bei T hat man etwas falsch gemacht... | ||
+ | Um auf die Note A+ zu kommen sind nun wenige Optimierungen in den HAProxy-Settings nötig: | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Bei Settings-> | ||
+ | * Maximum SSL DH Size aus 2048 erhöhen | ||
+ | * Bind options: no-tlsv11 ergänzen | ||
+ | * Cipher List: Löschen und die Zeichenfolge von Mozilla " | ||
+ | |||
+ | Beim Virtual Service-> | ||
+ | * Bind options: no-tlsv11 ergänzen | ||
+ | * Cipher List: Löschen und die Zeichenfolge von Mozilla " | ||
+ | * Enable HTTP/2 | ||
+ | |||
+ | Schließlich kann man noch in dem DNS-Server der Domain einen CAA-Eintrag machen: | ||
+ | example.org. CAA 128 issue " | ||
+ | |||
===Fehler, die mir unterkamen und ihre Ursachen=== | ===Fehler, die mir unterkamen und ihre Ursachen=== | ||
* Letsencrypt kann das Zertifikat nicht aktualisieren | * Letsencrypt kann das Zertifikat nicht aktualisieren | ||
- | * -> überprüfe, | + | * -> überprüfe, |
* -> findet für diese URL eine Weiterleitung zu https statt, so ist entweder | * -> findet für diese URL eine Weiterleitung zu https statt, so ist entweder | ||
* eine solche im HAProxy eingerichtet worden (dann ergänze die Rule so, dass beim acme-challenge-Verfahren nicht weitergeleitet wird) oder | * eine solche im HAProxy eingerichtet worden (dann ergänze die Rule so, dass beim acme-challenge-Verfahren nicht weitergeleitet wird) oder | ||
Zeile 102: | Zeile 126: | ||
* Die Server sind aus dem LAN zwischen Fritzbox und OPNsense nicht zu erreichen. | * Die Server sind aus dem LAN zwischen Fritzbox und OPNsense nicht zu erreichen. | ||
* Private Network Adresses für WAN-Interface gesperrt? (OPNsense-WAN-Interface-Konfiguration) | * Private Network Adresses für WAN-Interface gesperrt? (OPNsense-WAN-Interface-Konfiguration) | ||
- | * Namensauflösung gescheitert, | + | * Namensauflösung gescheitert, |
+ | * Kein HTTPS-Zugriff mit Firefox möglich, mit anderen Browsern klappt es: | ||
+ | * -> In Letsencrypt OCSP Must Staple angeklickt? Sonst eine gute Idee, wird aber von HAProxy nicht unterstützt und Firefox beschwert sich zu Recht. Also Haken weg, Zertifikat neu ausstellen lassen, fertig. | ||
===Quellen & Links=== | ===Quellen & Links=== | ||
Deutsche Anleitungen: | Deutsche Anleitungen: | ||
Zeile 109: | Zeile 135: | ||
Englische Anleitung: | Englische Anleitung: | ||
- | * OPBsense-Forum: [[https:// | + | * OPNsense-Forum: [[https:// |
- | * | + | * OPNsense-Dokumentation: |
+ | * Patric Green: [[https:// | ||
Mozilla SSL-Konfiguration: | Mozilla SSL-Konfiguration: | ||
* [[https:// | * [[https:// | ||
+ | * Liefert eine Liste empfehlenswerter Verschlüsselungstechniken (Cipher). | ||
+ | * " | ||
+ | * Man sollte die Einstellungen z.B. jährlich aktualisieren... | ||
+ | * Derzeit (April 2020) lautet sie: | ||
+ | |||
+ | | ||
+ | |||
+ | {{tag> |