FreshRSS öffentlich mit OPNsense betreiben

Ziele

Auch unterwegs ist es doch schön, auf die eigenen Dienste zugreifen zu können. Der Betrieb eines öffentlich zugänglichen, aber im lokalen Netzwerk installierten FreshRSS kann mit einem Let's Encrypt Zertifikat und HAProxy auf der OPNsense Firewall genial einfach realisiert werden.

Dennoch: Diese Ausbaustufe ist zwar nun für den öffentlichen Betrieb geeignet, muss aber regelmäßig nun aktualisiert und gepflegt werden. Nichts ist schlimmer als eine veraltete und damit angreifbare Installation.

Letzte Aktualisierung:

  • 07.09.2024: Initiales Dokument

Voraussetzungen

Diagramm

Damit sieht das Setup so aus:

                                                          ┌─────────────────────────────┐
                                                          │ TrueNAS / FreeBSD           │
                  ┌──────────────────────┐                │ ┌─────────────────────────┐ │
                  │ OPNsense             │                │ │ jails/rss               │ │
WAN: 0.0.0.0:80  ─┼─► acme.sh:80  ───────┼─ LAN: IP:443 ──┼─┼─► freshrss              │ │
WAN: 0.0.0.0:443 ─┼─► HAProxy:443        │                │ │                         │ │
                  └──────────────────────┘                │ └─────────────────────────┘ │
                                                          └─────────────────────────────┘

Lets Encrypt Zertifikate

OPNsense ist mit dem ACME Client Plugin (os-acme-client) in der Lage Let's Encrypt Zertifikate zu erstellen und auch automatisch zu erneuern. Der riesen Vorteil ist, dass wir eine zentrale Zertifikatsverwaltung haben, nicht mühselig auf den internen Zielsystemen jeweils eine eigene Verwaltung der Zertifikate benötigen und keine NAT oder anderen Firewall Einstellungen vornehmen müssen.

Hier reichen die Grundeinstellungen wie hier beschrieben mit folgenden Definitionen:

  • EXTERNHOSTNAME = Der extern erreichbare Hostname (z.B. rss.bsdbox.de)
  • EMAIL = Email Adresse des Let's Encrypt Accounts (z.B. marcel@bsdbox.de)

HAProxy

HAProxy nimmt von außen die Aufrufe für den Port 443 entgegen, verschlüsselt die Verbindung und leitet diese dann an den interen FreshRSS Server ebenfalls auf Port 443 weiter. Das schöne ist, das mehrere Dienste gleichzeitig auf Port 443 bereitgestellt werden können. Unterschieden wird über den aufgerufenen externen Hostnamen.
Damit ist es möglicht das z.B https://freshss.domain.de an FreshRSS und https://domain.de zur eigentlichen Webseite geleitet wird, obwohl beide eigentlich Port 443 auf der gleiche externen IP Adresse benötigen.

Hier geht ihr auch durch diesen Artikel mit folgenden Definitionen durch:

  • EXTERNHOSTNAME = Der extern erreichbare Hostname (z.B. rss.bsdbox.de)
  • IP = IP Adresse des lokalen FreshRSS Servers (z.B. 192.168.1.102)
  • HOSTNAME = Hostname des lokalen FreshRSS Servers (z.B. rss.bsdbox.local)
  • PORT = Port des lokalen FreshRSS Servers (443)

Danach bitte folgendes Testen:

  • Der Aufruf https://EXTERNERHOSTNAME öffnet die FreshRSS Anmeldemaske - OK!
  • Der Aufruf https://EXTERNEIPADRESSE bekommt eine "Verboten" Fehlermeldung - OK!

Voilá