Gitea öffentlich mit OPNsense betreiben

Ziele

Auch unterwegs ist es doch schön, auf die eigenen Dienste zugreifen zu können. Der Betrieb eines öffentlich zugänglichen, aber im lokalen Netzwerk installierten Gitea kann mit einem Let's Encrypt Zertifikat und HAProxy auf der OPNsense Firewall genial einfach realisiert werden.

Dennoch: Diese Ausbaustufe ist zwar nun für den öffentlichen Betrieb geeignet, muss aber regelmäßig nun aktualisiert und gepflegt werden. Nichts ist schlimmer als eine veraltete und damit angreifbare Installation.

Letzte Aktualisierung:

Voraussetzungen

Diagramm

Damit sieht das Setup so aus:

                                                               ┌─────────────────────────────┐
                                                               │ TrueNAS / FreeBSD           │
                  ┌──────────────────────┐                     │ ┌─────────────────────────┐ │
                  │ OPNsense             │                     │ │ jails/git               │ │
WAN: 0.0.0.0:80  ─┼─► acme.sh:80  ───────┼─ LAN: 0.0.0.0:3000 ─┼─┼─► gitea                 │ │
WAN: 0.0.0.0:443 ─┼─► HAProxy:443        │                     │ │                         │ │
                  │                      │                     │ └─────────────────────────┘ │
                  └──────────────────────┘                     └─────────────────────────────┘

Lets Encrypt Zertifikate

OPNsense ist mit dem ACME Client Plugin (os-acme-client) in der Lage Let's Encrypt Zertifikate zu erstellen und auch automatisch zu erneuern. Der riesen Vorteil ist, dass wir eine zentrale Zertifikatsverwaltung haben, nicht mühselig auf den internen Zielsystemen jeweils eine eigene Verwaltung der Zertifikate benötigen und keine NAT oder anderen Firewall Einstellungen vornehmen müssen.

Hier reichen die Grundeinstellungen wie hier beschrieben mit folgenden Definitionen:

  • EXTERNHOSTNAME = Der extern erreichbare Hostname (z.B. git.bsdbox.de)
  • EMAIL = E-Mail Adresse des Let's Encrypt Accounts (z.B. marcel@bsdbox.de)

HAProxy

HAProxy nimmt von außen die Aufrufe für den Port 443 entgegen, verschlüsselt die Verbindung und leitet diese dann an den interen Git Server auf Port 3000 weiter. Das schöne ist, das mehrere Dienste gleichzeitig auf Port 443 bereitgestellt werden können. Unterschieden wird über den aufgerufenen externen Hostnamen.
Damit ist es möglicht das z.B https://git.domain.de an Gitea und https://domain.de zur eigentlichen Webseite geleitet wird, obwohl beide eigentlich Port 443 auf der gleiche externen IP Adresse benötigen.

Hier geht ihr auch durch diesen Artikel mit folgenden Definitionen durch:

  • EXTERNHOSTNAME = Der extern erreichbare Hostname (z.B. git.bsdbox.de)
  • IP = IP Adresse des lokalen Gitea Servers (z.B. 192.168.1.102)
  • HOSTNAME = Hostname des lokalen Gitea Servers (z.B. git.bsdbox.local)
  • PORT = Port des lokalen Gitea Servers (3000)

Danach bitte folgendes Testen:

  • Der Aufruf https://EXTERNERHOSTNAME öffnet die Gitea Anmeldemaske - OK!
  • Der Aufruf https://EXTERNEIPADRESSE bekommt eine "Verboten" Fehlermeldung - OK!

Voilá