1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

lets encrypt in oder hinter einer fritzbox für div. jails

Dieses Thema im Forum "Netzwerk" wurde erstellt von Frank, 7 Oktober 2017.

  1. Frank

    Frank Anfänger

    Registriert seit:
    3 September 2003
    Beiträge:
    353
    Ort:
    Bergisch Gladbach
    Hallo zusammen,

    ich habe ein paar Verständnisprobleme und komme gerade nicht richitg weiter.

    Ich habe eine fritzbox die ich unter einem eigenen Domainmanem erreichen kann, mit dynamicDNS.
    Beispiel: https://meinetollefritzbox.de dann kann ich mich auf die Fritzbox einloggen.

    Über diverse Port-Weiterleitungen kommt man auf diverse Jails für owncloud, cgit wordpress usw.
    Beispiel Einstellung in der Fritzbox:
    meinetollefritzbox.de:50043 -> interne IP 192.168.0.200 an Port 543 dort ist eine Jail mit Owncloud
    meinetollefritzbox.de:50044 -> interne IP 192.168.0.2001 an Port 543 dort ist eine Jail mit Wordpress

    Die diversen Browser merkern über das Zertifikat.
    Das möchte ich gerne ändern und Zertifakte von/mit letsencrypt benutzen.

    Wie mache ich das am einfachsten?

    Ein letsencrypt-Zertifikat auf die Fritzbox (habe gelesen wie das geht)?
    Werden dann alle Portweiterleitungen automatisch mit erschlagen?

    Oder muss in jede Jail ein eigenens Zertifikat?
    Dann bräuchte ich mehrere Domains, oder?

    Über einen Tipp wäre ich sehr dankbar.
    VG
    Frank
     
  2. foxit

    foxit Moderator Mitarbeiter

    Registriert seit:
    4 Juli 2012
    Beiträge:
    1.433
    Ort:
    /home
    Kann sein, dass ich nicht mehr ganz aktuell bin aber ich denke für die Prüfung der Domäne brauchst du zwingend Port 80 oder 443, auf der Seite der Fritzbox. Intern im Netzwerk kannst du aber natürlich andere Ports definiert haben (Stichwort Proxy).

    Du kannst das aber auch so unterteilen:
    • owncloud.meinetollefritzbox.de
    • wordpress.meinetollefritzbox.de
    Beide Records zeigen auf die gleiche IP Adresse (deine externe) und du hast dann einen Proxy der auf die verschiedenen Jails im internen Netzwerk zeigt. In diesem Fall bräuchte dann jede Jail ein eigenes LE Zertifikat. Wildcard Zertifikate gibt es im Moment noch nicht bei LE. Dies soll in der nächsten Version aber möglich sein. Allerdings nur per DNS Check.
     
  3. mapet

    mapet Active OpenBSD User

    Registriert seit:
    5 Januar 2007
    Beiträge:
    1.466
    Ort:
    /Germany/Neuss
    Ein Zertifikat kann auch mehrere alternative Namen haben; somit wäre theoretisch nur ein Zertifikat nötig. acme-client macht es einem sehr leicht, da die Namen einfach in der config angelegt werden können. Letsencrypt macht logischerweise pro Namen eine challenge
     
  4. zuglufttier

    zuglufttier Well-Known Member

    Registriert seit:
    2 November 2004
    Beiträge:
    1.653
    Ort:
    Ostfriesland
    Ich persönlich habe zu Hause einen Web-Server, der als Proxy vor all meinen Anwendungen fungiert, der hat dann auch die passenden Zertifikate. Dann müssen nur noch in der Fritzbox Port 80 und 443 auf den Web-Server weitergeleitet werden.

    Das finde ich sehr vorteilhaft, weil ich dann nur den Web-Server für SSL konfigurieren muss. Die anderen Server können dann im Heimnetz sogar unverschlüsselt und auch auf merkwürdigen Ports laufen, alles kein Problem.
     
  5. mapet

    mapet Active OpenBSD User

    Registriert seit:
    5 Januar 2007
    Beiträge:
    1.466
    Ort:
    /Germany/Neuss
    Evtl. kannst du damit auch einen redirect auf deine Fritzbox erstellen und damit auch die config wieder von außen verfügbar machen. Ich weiss nicht, was eine Fritzbox für Anmeldemöglichkeiten bietet, aber evtl. kann der Proxy sonst auch Clientzertifikate checken und damit die Anmeldung weiter absichern.
     
  6. Frank

    Frank Anfänger

    Registriert seit:
    3 September 2003
    Beiträge:
    353
    Ort:
    Bergisch Gladbach
    Vielen Dank für Eure Antworten.
    Einige Begriffe sind für mich noch böhmische Dörfer :)
    Ich weiß jetzt aber, wonach ich suchen muss...

    @zuglufttier: Welchen Proxy benutzt Du? Läuft der in einer Mail oder auf eigener Hardware?

    VG
    Frank
     
  7. foxit

    foxit Moderator Mitarbeiter

    Registriert seit:
    4 Juli 2012
    Beiträge:
    1.433
    Ort:
    /home
    Ich würde auf Nginx oder Apache tippen :)
     
  8. zuglufttier

    zuglufttier Well-Known Member

    Registriert seit:
    2 November 2004
    Beiträge:
    1.653
    Ort:
    Ostfriesland
    Nginx. Bei mir läuft alles unter bhyve.
     
  9. KobRheTilla

    KobRheTilla used register

    Registriert seit:
    20 Januar 2011
    Beiträge:
    1.184
    Ich rate auf jeden Fall dazu, die staging-Umgebung von Let's Encrypt zu nutzen, bis du alles fertig getestet hast.

    Rob
     
  10. Frank

    Frank Anfänger

    Registriert seit:
    3 September 2003
    Beiträge:
    353
    Ort:
    Bergisch Gladbach
    Danke. Wichtiger Hinweis mit der staging-Umgebung.
    Lese mich jetzt erstmal in nginx als Proxy ein...
     
  11. Frank

    Frank Anfänger

    Registriert seit:
    3 September 2003
    Beiträge:
    353
    Ort:
    Bergisch Gladbach
    Ich werde jetzt versuchen:
    1) nginx als Proxy in einer jail (alle Verbindungen leitet die Fritzbox auf den Proxy weiter, der dann auf die jails verteilt)
    2) letsencrypt besser einlesen
    3) Zertifikate auf den Proxy
    offe das dauert alles nicht zu lange :)

    Vielen Dank!
     
  12. zuglufttier

    zuglufttier Well-Known Member

    Registriert seit:
    2 November 2004
    Beiträge:
    1.653
    Ort:
    Ostfriesland
    So ne nginx Konfiguration ist manchmal in fünf Minuten erledigt. Oder sie dauert zwei Tage, weil man ein / übersehen hat...

    Mach immer nur einen Schritt auf einmal und teste in Ruhe ;)
     
  13. KobRheTilla

    KobRheTilla used register

    Registriert seit:
    20 Januar 2011
    Beiträge:
    1.184
  14. zuglufttier

    zuglufttier Well-Known Member

    Registriert seit:
    2 November 2004
    Beiträge:
    1.653
    Ort:
    Ostfriesland
    Bei letsencrypt: Mach nichts per Hand, sondern nutze die Programme, die vom OS oder letsencrypt bereitgestellt werden! Alles andere wird früher oder später Ärger machen.
     
  15. pchris

    pchris Member

    Registriert seit:
    25 August 2004
    Beiträge:
    119
    Schau dir meine Antwort in diesem Thread an. Da hab ich einen Ausschnitt aus meiner nginx.conf gepostet. In diesem Fall dient der nginx auch als Proxy für mehrere Webserver, die nicht direkt aus dem Internet erreichbar sind.

    Und für die letsencrypt Zertifikate nutze ich dehydrated. Stoße ich einmal pro Monat über einen cronjob an.