Zertifikatsprobleme nach Umstellung auf OPNsense

Guten Morgen und euch allen ein Gutes neues Jahr.

ich habe gestern meine UDM Base mit einerOPNsense ersetzt.

Es läuft soweit erstmal alles, nur ein Problem ist aufgetaucht.

Vorweg, ich habe einen Proxmox, darauf läuft u.a. NGINX, Nextcloud und Bitwarden.

Die Zerts für Nextcloud und Bitwarden erledigt NGINX was bisher auch einwandfrei funktionierte.

Nun haut aber OPNsense dazwischen, wenn ich die beiden aufrufen möchte kommt eine certfehler Seite und da haut wohl das Standardcert von OPNsense rein und ich komme nicht auf meine beiden Programme.

Hat hier jemand von euch Erfahrung damit und kann mir hier helfen das die wieder funktionieren?

Danke für deine Antwort, ich verstehe das nicht was du meinst damit? Wie nehme ich das und lasse es in NGINX zertifizieren?

Nein du hast mich falsch verstanden

Ich habe auf Proxmox eine NGINX laufen worüber ich meine Nextcloud und mein Bitwarden die ebenfalls auf Proxmox gehostet sind bei mir zuhause. In dem NGINX ReverseProxy habe ich für die jeweiligen IP's ein Lets Entcryptzertifikat erstellt das auch alles super funktioniert hat bis zur OPNsense.

Für die beiden Dienste habe ich eine Subdomain erstellt und bei meinem Domainanbieter einen A-Record erstellt auf meine feste IP Adresse um die beiden DIenste über die Subdomain zu erreichen.

Auch das hatte funktioniert. Also selbst bei den Diensten ist kein Zertifikat direkt hinterlegt, nur in der NGINX.

Nun ist die Frage was die OPNsense hier anstellt das diese Aufrufe nicht mehr funktionieren?

Alle Dienste die in der NGINX vorher gingen kann ich nicht mehr über die Subdomains aufrufen.

Nur noch intern über die entsprechende IP mit Port dahinter.

Ich hoffe ich habs deutlicher beschrieben jetzt?

Zitat von kleinp

Die Ports 80 & 443 hast Du per portweiterleitung in der OPNsense zum nginx eingerichtet?

Ja die sind eingerichtet auf die IP des NGINX

Hier noch ein Beispiel was ich für eine Meldung bekomme

yy.xx.de verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

Fehlercode: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

Zertifikat anzeigen

OPNsense.localdomain, das ist der Zertifikatsname der hier Grund für den Fehler ist

Habe ich gemacht aber dann kommt rebindschutz wenn ich den abschalte komm ich trotz meiner korrekten subdomain auf den OPNsense Login, es hängt den neuen Port grad hinten dran

Ist es evtl. besser ich mache das alle neu über den OPNsense?

Also Letsencrypt und Reverseproxy?

Zitat von kleinp

Port ändern web gui

HTTP Redirect deaktivieren

Ports weiterleiten

Von extern Testen

Wenn du von intern drauf willst (per Domain) musst du einen Host override anlegen

Mehr hab ich afaik beim Umstieg von der USG-Pro 4 nicht gemacht.

Alles anzeigen

Also Test von extern hat funktioniert

Host override? kurz nen Tipp was ich da machen muss?

Würde gerne auch intern über die Domain gehen

hm also hab das angelegt unter unbound DNS Override

Habs mal am Handy getestet, und intressant ist das ich z.b am Handy über WLAN gleiches Netz wie der Laptop auf die Domain meines Bitwarden zugreifen kann am Laptop gehts nicht mit verschiedenen Browsern getestet

Meine Nextcloud jedoch geht auch am Handy nicht im WLAN nur extern

So kleines Update

Ich habe nun umgestellt auf HA-proxy und den ACME Client

Habe eine Anleitung gefunden und danach alles gemacht.

Habe nun intern über den Subdomain Namen eine gesicherte Verbindung, aber nun komme ich von extern nicht drauf, keine Verbindung möglich.

Ports 80 und 443 sind auf die Firewall freigegeben auf dem Wanport

Hat jemand eine Idee was ich da evtl. übersehe?