Auch unterwegs ist es doch schön, auf die eigenen Dienste zugreifen zu können. Der Betrieb eines öffentlich zugänglichen, aber im lokalen Netzwerk installierten FreshRSS kann mit einem Let's Encrypt Zertifikat und HAProxy auf der OPNsense Firewall genial einfach realisiert werden.
Dennoch: Diese Ausbaustufe ist zwar nun für den öffentlichen Betrieb geeignet, muss aber regelmäßig nun aktualisiert und gepflegt werden. Nichts ist schlimmer als eine veraltete und damit angreifbare Installation.
Letzte Aktualisierung:
Damit sieht das Setup so aus:
┌─────────────────────────────┐
│ TrueNAS / FreeBSD │
┌──────────────────────┐ │ ┌─────────────────────────┐ │
│ OPNsense │ │ │ jails/rss │ │
WAN: 0.0.0.0:80 ─┼─► acme.sh:80 ───────┼─ LAN: IP:443 ──┼─┼─► freshrss │ │
WAN: 0.0.0.0:443 ─┼─► HAProxy:443 │ │ │ │ │
└──────────────────────┘ │ └─────────────────────────┘ │
└─────────────────────────────┘
OPNsense ist mit dem ACME Client Plugin (os-acme-client) in der Lage Let's Encrypt Zertifikate zu erstellen und auch automatisch zu erneuern. Der riesen Vorteil ist, dass wir eine zentrale Zertifikatsverwaltung haben, nicht mühselig auf den internen Zielsystemen jeweils eine eigene Verwaltung der Zertifikate benötigen und keine NAT oder anderen Firewall Einstellungen vornehmen müssen.
Hier reichen die Grundeinstellungen wie hier beschrieben mit folgenden Definitionen:
HAProxy nimmt von außen die Aufrufe für den Port 443 entgegen, verschlüsselt die Verbindung und leitet diese dann an den interen FreshRSS Server ebenfalls auf Port 443 weiter.
Das schöne ist, das mehrere Dienste gleichzeitig auf Port 443 bereitgestellt werden können. Unterschieden wird über den aufgerufenen externen Hostnamen.
Damit ist es möglicht das z.B https://freshss.domain.de an FreshRSS und https://domain.de zur eigentlichen Webseite geleitet wird, obwohl beide eigentlich Port 443 auf der gleiche externen IP Adresse benötigen.
Hier geht ihr auch durch diesen Artikel mit folgenden Definitionen durch:
Danach bitte folgendes Testen:
Voilá