Hey Dennis, eine Anleitung die OPNsense als reverse Proxy via HAproxy und LetsEncrypt einzurichten wäre sicher auch nen cooles video in der Reihe 😊 Habs es selbst vor einiger Zeit mal eingerichtet und es war wirklich ein kleiner Kampf bis es funktioniert hat.

cooles video, könntest du das bitte noch erweitern mit dem ha proxy? damit man die opnsense als reverse proxy nutzen kann und damit mehrere services vom homelab von extern mit verschiedenen dns namen mit jeweiligen zertifikat erreichbar sind?

Danke für die Anleitung. Funzt 1A!

Hallo Dennis, ist nun Deine API hinterlegt bei Let´s E ?

Ist das Interface dann auch vom Internet aus erreichbar? Geht der Traffic ins Internet, wenn ich vom LAN aus über die Domain, die ja zur WAN IP auflöst, zugreife? Wäre local DNS nicht besser, um von der Domain zur lokalen IP aufzulösen?

@Raspbbery Pi Cloud Moin Dennis, ich hätte da 2 Fragen: 1. Der Wechsel zur OpenSense auf Wunsch der Community oder in deinen Augen mitlerweile besser? (wenn ja warum?) 2. LawrenceSystems hat mal einen englischen Guide zu Pfsense mit acme, letsencryp und HA proxy gemacht, auf Deutsch ist dazu nix zu finden wo alles in einem Video oder Videoreihe mal abgearbeitet wird, ich denke da warten bestimmt viele auf eine aktuelle Anleitung, vlt. wäre das ja mal etwas für dich und die community? 3. hier mal der Link zum Video: kzbin.info/www/bejne/nYeydpeqYqd7ers

Daumen hoch, dass Du DNS Challenge gezeigt hast - kleine rTipp: Bei Lets Encrypt gibts ne Übersicht, über alle die das anbieten, sobald es geht, kannst Du Dich da ja nennen lassen, ist bestimtm gute Werbung für den Dienst :-) Kurze Frage noch: Wenn man das so einrichtet öffnet man ja Ports, und auch die Weboberfläche der OPNSense? Ist das nicht ein Sicherheitsrisiko im Vergleich zu geschlossenen Ports?

Kannst du das mal für pfsense ei Hetzner zeigen, ich kriege es nicht hin...

Kleiner Hinweis: Bei Alt Names muss nochmal der FQDN aus dem CN rein, da es sonst zu Problemen kommen kann.

Hallo Dennis. Danke für das ausführliche Video und vielen Erklärungen. Leider klappt es bei mir nicht mit dem Zertifikat: "validation failed".

Hey Dennis, wieder ein super Video. Was auch noch ein Video wert wäre sind Self Signed Certificate ohne Lets Encrypt. Ich hab mich damit jetzt locker eine Woche beschäftigt, weil ich vaultwarden ohne Portfreigaben, sondern ausschließlich per WireGuard über das iPhone erreichbar gemacht hab. Damit das funktioniert muss man sich selber ein Zertifikat ausstellen und das selber im iPhone importieren. War schon was tricky aber funzt jetzt super 😅

Nachdem das Ausstellen des Zertifikates mit letsencrypt erfolgreich GETESTET wurde, muss im Account auf die Default Certificate Authority umgestellt und das Zertifikat noch einmal erneuert werden. Ansonsten wird das Zertifikat im Browser als nicht vertrauenswürdig abgelehnt. Optional kann noch ein Automatismus angelegt werden, um die WebGui neu zu starten. Dieser angelegte Automatismus wird in der Zertifikats Konfiguration angegeben. Nach dem erfolgreichen Aktualisieren wird dann die WebGui neu gestartet und verwendet das neue Zertifikat.

Kann sein, dass ich jetzt den Hintergrund nicht ganz verstanden habe, aber ist das nicht grundsätzlich ungünstig, seine Firewall aus dem Internet zugänglich zu machen, auch wenn es über HTTPS ist? Man könnte das doch sicher auch intern, im eigenen LAN lösen, ohne übers Internet gehen zu müssen. Vielleicht steh ich aber auch gerade auf dem Schlauch.

Wahrscheinlich ne saudumme Frage, aber muss für die HTTP Challange die Web-UI der Opnsense im Internet stehen bzw. aus dem Internet erreichbar sein?

hab das eben genau so eingestellt. nun geht der Web GUI garnicht mehr, kommt nicht mehr auf der sense, selbst nach Neustart nicht... ;(

Und wie man eine Wildcard von LetsEncrypt einrichtet. um dann interne zertifikate zu erstellen oder so! Wäre cool

Hallo Dennis, hatte heute Vormittag ein Kommentar geschrieben und abgeschickt. Jetzt fehlt dieser. Gibt es Gründe wieso?

Hallo Bei mir kommt immer validation failed. Was mache ich falsch?

PS: 1) Der Port (80 bzw. 443) für die HTTP Challenge wird nur temporär zum Internet (WAN Interface) geöffnet bis die Challenge abgeschlossen ist. Die Webgui sollte, wenn überhaupt, auf dem WAN Interface diese Ports NICHT verwenden. 2) Wenn beim Ausstellen des Zertifikates Fehler auftreten, hilft oft ein Blick in die Logs des ACME Clients.

So kann man aber das Zertifikatproblem nicht lösen, wenn man die OPNSense mit der lokalen Adresse aufruft. Da hätte noch ein Eintrag gemacht werden müssen, wo zusätzlich die lokale IP eingetragen wird. Oder liege ich hier falsch? So ist es zumindest wenn ich die Zertifikate auf der Opensense selbst erstelle. Wie löst Du das Problem das die OPNSense von Außen über die Dyndns Adresse erreichbar ist? Bei mir kommt immer DNS_PROBE_FINISHED_NXDOMAIN ! Danke wenn ich eine Antwort bekomme

Ich warte jetzt nur noch auf eine Anleitung für die DNS- Challenge :)

Ich bekomme immer die Meldung validation failed.

Daumen hoch ! #NiveaSoft

Hallo habe dies heute auf mein Smartphone entdeckt, irgendeine Organisation aus usa hat Zugriff. Habe Keine Ahnung darüber und möchte sowas auch nicht ohne meine Erlaubnis!.

Ist Dein Vorhang käuflich zu erwerben? Frage für keinen Freund

👍