mpmic.de

Martin's Technik Website

PFSense (GUI) mit LetsEncrypt Cert bei verwendetem HA-Proxy

In einer Umgebung mit einer PFSense als Firewall auf der ein HA-Proxy läuft sollen für die GUI selbst auch LetsEncypt Zertifikate verwendet werden. Möglichst so, dass nach der Implementierung keine weitere Wartung erforderlich ist.

Ausgangssituation:

  • HA-Proxy belegt bereits die WAN Ports 80 und 443 und ist für Server eingerichtet
  • Es sollen keine DNS TXT Records verwendet werden für LetsEncypt

Realisierungsidee:

Port 80 der PFSense Firewall auf der LAN Seite für den acme Client (LetsEncypt) verwenden und durch den HA Proxy schleusen. Absichern des Ports durch eine Zeitsteuerung (Shedule).

Umsetzung (auf PFSense):

Installation acme

Zunächst muss der acme Client installiert werden:

System -> Package Manager -> Available Packages

Acme Key erstellen und registrieren

dazu im Menu [Services] -> [Acme Certificates] auswählen

Dann den Key erstellen:

HA-Proxy für Acme Client einrichten

Backend erstellen

Unter [Services] -> [HA-Proxy] den Punkt [Backend] auswählen.

Nun das Backend anlegen. Wobei die IP Adresse die der LAN-Schnittstelle der PFSense sein muss – der Name kann frei vergeben werden. Healthcheck auf „none“ setzen.

Frontend erstellen

Unter [Services] -> [HA-Proxy] -> [Frontend]

Name und Description kann frei vergeben werden
2 ACL’s anlegen eine für den echten Hostname (public fqdn) und einmal für die Public IP. Ich empfehle die Expression „Host matches“.
und die Action denfinieren (also was soll passieren wenn die Regel zutrifft). Hier genau den Namen verwenden, den wir bei der Regel verwendet haben und das Backend, das vorher angelegt wurde.

Firewall Regel erstellen

Damit der Acme Client erreicht werden kann muss noch der Firewall die Erlaubnis für den Port erteilt werden. Das geht unter [Firewall] -> [Rules] -> [LAN]

Nun die Regel setzen, dass auf der (PFSense eigenen) LAN Adresse auf Port 80 (http) zugegriffen werden darf.

Admin Portredirection abschalten

Unter [System] -> [Advanced] -> [Admin Access]
Hier das Redirect ausschalten – damit auch hier der Port 80 frei ist.

Zertifikat erstellen

Die Vorbereitungen sind abgeschlossen und nun kann das eigentliche Zertifikat erstellt werden.

Unter [Services] -> [Acme] -> [Certificats] nun das Zertifikat wie folgt erstellen
Bei Methode „Standalone Server“ auswählen und den vollen eigenen Hostnamen (der der PFSense) angeben. Acme Account (Key) muss der sein, welchen wir vorher angelegt haben

Durch Dücken auf „issue“ wird das Zertifikat erstellt.

Auto Renew aktivieren

Unter [General settings] den Haken für Cron Entry setzen

Zertifikat eintragen

Unter [System] -> [Advanced] -> [Admin Access] das neue Zertifikat auswählen

Sicherheit: Portregel beschränken

Zur Sicherheit richten wir noch einen Sheduler ein, damit der Port 80 auf der Firewall nur dann geöffnet ist, wenn auch ein Renewal gemacht wird.

[Firewall] -> [Schedules] auswählen und auf Add klicken
Name und Beschreibung vegeben. Auf die Tage (alle) klicken. und bei Time 3:15 bis 3:30 eingeben! Keine andere Zeit verwenden! Dann [Add Time] und [Save]

Zuletzt muss der Zeitplan noch in der Regel für den Port 80 hinterlegt werden. Dazu gehen wir nochmal in die Firewallregel die wir vorher erstellt haben und wählen unten den Punkt [Show advanced Options] aus.

Fertig. Wenn wir nun die Firewall über den public Name aufrufen bekommen wir keinen Zertifikats Fehler mehr.

ESXi 6.7 Update Problem ([Errno 28] No Space left on device)

Problem beim ESXi Update [Errno 28] No Space left on device beheben

Letztlich sollte mein ESXi (6.7.0 Update 1 Build 11675023)auf eine aktuelle Version (6.7.0 Update 2 Build 13644319) upgedatet werden. Dabei habe ich folgende Meldung bekommen:

Nach einigen Versuchen ließ sich das Problem wie folgt lösen:

cd /tmp

wget http://hostupdate.vmware.com/software/VUM/PRODUCTION/main/esx/vmw/vib20/tools-light/VMware_locker_tools-light_10.3.5.10430147-12986307.vib

esxcli software vib install -f -v /tmp/VMware_locker_tools-light_10.3.5.10430147-12986307.vib

Danach kann der Update ohne Probleme durchgeführt werden. Ich habe das mit folgendem Kommando gemacht und bin damit wieder aktuell:

esxcli software profile update -p ESXi-6.7.0-20190504001-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml

Als Abschluss den Reboot nicht vergessen…

Zabbix Server/Client von 3.4.xx auf 4.0 updaten

Zabbix von Version 3.4.x auf 4.0 updaten

Hintergrund

Das Vorgehen für den Zabbix Upgrade ist recht einfach und bei mir mehrfach problemfrei funktioniert. Dabei ist die Vorgehensweise für den Client und den Server nahezu identisch. Nach meiner Erfahrung kann ein Zabbix 4.0 Server mit Zabbix 3.4.x Clients zusammenarbeiten – deshalb ist ein gleichzeitiger Upgrade nicht zwingend erforderlich (aber zu empfehlen). Hier die offizielle Seite zum neuen Zabbix Release.

Upgrade

Anmelden über eine ssh-Sitzung. Danach das folgende Kommando absetzen und das Kennwort für den root User eingeben:

1
 sudo -s

Weiter geht es mit:

1
2
3
4
service zabbix-server stop
cd /tmp
wget https://repo.zabbix.com/zabbix/4.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_4.0-2+xenial_all.deb
dpkg -i zabbix-release_4.0-2+xenial_all.deb

Bildschirmausgabe1

Es folgen die Befehle für den nächsten Schritt:

1
2
apt update
apt upgrade

Wichtig ist es, die Abfrage nach dem Überschreiben der Zabbix-Konfigdatei mit N zu beantworten. Sonst werden alle Werte auf den Auslieferungszustand zurückgesetzt.

1
service zabbix-agent restart

Hier die Bildschirmausgabe:

Zabbix upgrade Teil2

Damit ist der Vorgang abgeschlossen.

KeepPass unter Linux (Ubuntu) installieren und verwenden

KeePass (KeePassX) unter Ubuntu (18.04 Desktop) installieren

Für die Installation von KeePass unter Unbunt setze ich zunächst ein installiertes Ubuntu Desktop System voraus. KeePass ist für Linux nicht direkt verfügbar deshalb muss man auf KeePassX zurückgreifen. Es ist aber kein Problem, denn KeePassX ist der direkte Linux Ableger und arbeitet problemlos mit unter Windows angelegten KDBX-Datenbanken zusammen.

Ablauf der Installation

Zunächst muss ein Terminalfenster geöffnet werden. Dazu auf dem Desktop die rechte Mousetaste drücken und [Terminal öffnen] auswählen.

Terminalfenster_open

Im Terminalfenster den Befehl

sudo -s

eingeben. Danach den Benutzernamen (Ubuntu Anmeldung) und das Login Kennwort – das ist notwendig um als Admin die Anwendung installieren zu können:

sudo_login

Die eigentliche Installation wird dann mit folgendem Kommando ausgeführt:

apt_install

apt install keepassx

keepass_inst

Der Rechner beginnt mit der Installation und fragt nochmal nach, ob alle erforderlichen Dateien installiert werden dürfen. Hier muss man mit J antworten. Wenn die Installation erfolgt ist kann man das Terminal wieder schließen. Die Anwendung ist nun installiert!

Erster Start von KeePassX

Die Anwendung befindet sich noch nicht auf dem Desktop. Man kann sie wie folgt in die Seitenleiste (Favoriten) hinzufügen, in dem man unten links auf die 9 Punkte klickt:

Anwendungsauswahl

Danach das Symbol für KeePassX auswählen,

KeePassX

dann rechte Mousetaste drücken und [Zu Favoriten hinzufügen] anklicken.

Wie man eine neue KeePass Datenbank erstellt habe ich hier beschrieben.

SSL-Zertifikate in KeePass speichern

SSL-Zertifikate in KeePass speichern

Mit der Zeit erwirbt man einige SSL-Zertifikate – oder legt selbst welche an oder man holt sich welche bei Let’s Encrypt. Meine Fragestellung war  – wie soll ich die Zertifikate ablegen und dass so, dass ich sie auch wieder finde.

Beste Lösung für mich war – ich lege sie in KeePass ab und das so, dass ich sie auch schnell wieder verwenden kann. (Wie man KeePass installiert und verwendet habe ich hier beschrieben).

SSL-Zertifikat  selbst erstellen

Zunächst benötigt man einen Linux Rechner. Mit dem Rechner verbinden wir uns über Putty per SSH. Dann die folgenden Befehle eingeben:

sudo -s
cd /tmp
openssl req -new -nodes -keyout server.key -out server.csr -newkey rsa:4096

Die Fragen auf der Konsole wie folgt beantworten (bitte dabei die eigenen Infos verwenden):
Country Name (2 letter code) [AU]: DE  (Wenn es sich um eine Deutsche Website handelt)
State or Province Name (full name) [Some-State]:Hessen
Locality Name (eg, city) []:Frankfurt
Organization Name (eg, company) [Internet Widgits Pty Ltd]:pscr.com
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:mail.pscr.de
Email Address []: xyz@spcr.com

Fertig – das Zertifikat ist nun angelegt. Nun müssen die Daten in KeePass übernommen werden – um sie bei entsprechenden Servern verwenden zu können.

Auf der Konsole:

cat server.csr

(nun mit der Mouse den Teil des Zertifikats markieren und dann CTRL und C Tasten drücken)

Dann KepPass öffnen und einen Eintag anlegen:

New Entry

Einen sprechenden Namen vergeben:

Namen vergeben

Dann auf [Advanced] klicken:

Add auswählen

Nun [Add] auswählen und klicken.

Namen vergeben

Einen sprechenden Namen vergeben – wie z. B. meinewebsisite-ssl-Zertifikat. Dann über [CTRL] + [V] in das untere Feld das kopierte Ergebnis von cat server.csr einfügen.

Wieder auf die Konsole gehen und den Befehl cat server.key eingeben. Die Bildschirmausgabe markieren und mit [ctrl] und [C] kopieren. Danach gehen wir wieder auf KeePass um den private Key zu sichern – wieder auf [Add] klicken . Sprechenden Namen vergeben und in das Feld [Value] mit [ctrl] + [V] den kopierten  Inhalt einfügen

priv Kee sichern

Fertig!

KeePass HowTo und Schnellstart

Wie man mit KeePass einfach startet…

eine kurze Anleitung zur Installation und ersten Schritten mit der Kennwortverwaltung KeePass.

Installation unter Windows

Zuerst muss das Programm herunter geladen werden. Dazu im Browser der Wahl einfach die folgende Website angeben:  https://keepass.info/download.html

KeePass download

Die folgende Meldung kann man mit „Behalten“ bestätigen.

Bei den meisten Browsern wird die Datei dann unter „Downloads“ abgelegt. Mit einem Doppelklick die Datei KeePass-2.40-Setup.exe ausführen

Dateiname

Über „Start“ die Anwendung KeePass starten.

KeePass Starten

Über das Menu nun „File“ und „New“ eine neue Kennwortdatenbank anlegen

New Database

diese Meldung mit OK bestätigen und den Speicherort auswählen (Achtung: Gut merken wo man die Datenbank speichert!) sowie einen Namen für die Datenbank vergeben (die Endung .kdbx muss dabei natürlich erhalten bleiben).

Datenbank speichern

Danach wird die Sicherheit für die Kennwortdatenbank eingerichtet. Ich empfehle ein Kennwort und eine „Sicherheitsdatei“ zu verwenden:

  • Masterkennwort vergeben (Lang und Zahlen und Zeichen verwenden)
  • Expert Optionen anklicken
  • Dann KeyFile auswählen und auf Create klicken und den Speicherort auswählen

Sicherheit für Keepass einrichten

In der folgenden Maske werden die Zufallszahlen für das KeyFile (Sicherheitsdatei) erzeugt. So lang mit der Mouse über das „gepunktete“ Feld fahren bis der untere Balken voll ist und grün wird. Danach mit OK bestätigen.

Maske zur Erzeugung eines KeyFiles

Im nächsten Schritt noch einen sprechenden „Anzeigenamen“ für die DB vergeben und, wenn gewünscht, auch eine Beschreibung (das ist dann hilfreich wenn man mehrere Datenbanken verwendet).

Name der Datenbank vergeben

Nun fragt KeePass, ob man die Rettungsinformationen ausdrucken möchte (mach natürlich Sinn!)

Rettungsdaten ausdrucken

Und schon ist man fertig und kann die Kennworteinträge anlegen.

Leere Keepass Datenbank

Ich hoffe es hat alles gut geklappt. In einem späteren Beitrag werde ich noch beschreiben, wie man das ganze zusammen mit der nextcloud auf mehreren Rechnern nutzen kann und die Kennworte automatisch synchronisiert werden.

Umgang mit persönlichen Kennworten

Wie man mit persönlichen Kennworten umgeht…

Ich will hier kurz auf dieses Thema eingehen, denn bei den Projekten und Servern die ich auf diesen Seiten beschreibe ist es immer wieder ein Thema, dass Kennworte vergeben werden. Aus Sicherheitsgründen verwende ich immer unterschiedliche Passworte – aber – wie soll ich mir diese alle merken.

Ich habe ein Tool gefunden, das ich gerne verwende und das ich auch allen die meinen Anleitungen folgen empfehlen kann. Es handelt sich um um das Open Source Tool KeePass.

Screenshot KeePass

Das Tool ist kostenfrei und für die wichtigsten Plattformen verfügbar.

Ich empfehle vor Beginn der Installation der Server dieses Tool zu installieren. Dabei muss man zunächst eine Datenbank anlegen und die Art der Zugriffssicherheit festlegen. Ich finde dabei die Kombination aus Sicherheitsfile und Kennwort am besten. In meinem Fall hat es sich bewährt mehrere Kennwortdatenbanken anzulegen:

  • Kennwortdatenbank für persönliche Zugänge
  • Kennwortdatenbank für Serverumfeld mit technischen Kennungen

Zu einem späteren Zeitpunkt werde ich noch eine detaillierte Anleitung schreiben, wie man KeePass einrichtet und zusammen mit nextcloud so einsetzt, dass man es sicher und komfortabel überall zur Verfügung hat.

Die Website beginnt

Langsam geht es los und die ersten kleinen Inhalte entstehen auf dieser Website. Ich plane ausführliche Bewertungen zu den Themen pfsense, Zabbix, nextcloud und Zimbra vorzunehmen. Dazu soll es dann auch eigene Technikseiten geben.

Vor allem für das Thema Zabbix werde ich einige skripte einstellen, die ich anpepasst und verbessert habe. Herzstück werden aber kleine und übersichtliche HowTow’s sein, die helfen sollen mit den technischen Möglichkeiten gut klar zu kommen.

Zunächst werde ich jedoch ein Projekt Dokumentieren bei dem es darum geht für eine kl. Firma oder Verein ein virtuelles, gehostetes Rechenzentrum in der Cloud aufzubauen. Dabei werden die folgenden Funktionalitäten zum Einsatz kommen:

  • Firewall mit SSL-Proxy
  • Webmail (mit eigenem Mailserver) und Spamgateway
  • Filesharing über nextcloud und collabora
  • Systemüberwachung mittels Zabbix
  • Webserver

 

© 2024 mpmic.de

Theme von Anders NorénHoch ↑