Lets Encrypt und Geo-IP
Moin,
ich möchte für diverse Server Let's Encrypt einsetzen. Jetzt ist aber über unsere Firewall Geo-IP konfiguriert, idR sollen Aufrufe nur mit einer deutschen IP möglich sein. Das führt dann natürlich dazu, dass die Zertifikatüberprüfung geblockt wird.
Den Umweg über DNS-01 möchte ich vermeiden (bitte keine Diskussionen der Art "Mach das doch anders"!) und Let's Encrypt rückt die IPs der eigenen Validierungsserver nicht raus.
Ich habe mal ein wenig rumgespielt und bisher funktionierte es, wenn ich Zugriffe von einer US-IP ebenfalls zulasse. Kann sich ja aber ändern, vielleicht hatte ich beim Testen einfach nur Glück. Hat da jemand Erfahrungen?
Gruß
ich möchte für diverse Server Let's Encrypt einsetzen. Jetzt ist aber über unsere Firewall Geo-IP konfiguriert, idR sollen Aufrufe nur mit einer deutschen IP möglich sein. Das führt dann natürlich dazu, dass die Zertifikatüberprüfung geblockt wird.
Den Umweg über DNS-01 möchte ich vermeiden (bitte keine Diskussionen der Art "Mach das doch anders"!) und Let's Encrypt rückt die IPs der eigenen Validierungsserver nicht raus.
Ich habe mal ein wenig rumgespielt und bisher funktionierte es, wenn ich Zugriffe von einer US-IP ebenfalls zulasse. Kann sich ja aber ändern, vielleicht hatte ich beim Testen einfach nur Glück. Hat da jemand Erfahrungen?
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83412626092
Url: https://administrator.de/forum/lets-encrypt-und-geo-ip-83412626092.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
10 Kommentare
Neuester Kommentar
Ahoi,
dann machs doch mit der acme.sh / certbot - die haben Plugins für ziemlich viele DNS anbieter - für dich ändert sich in der Verwendung wenig.
Alternativ kannst du den _acme-challenge auch als CNAME auf eine Box weiterleiten, die nicht so restriktiv gehandhabt wird, dort das Zertifikat generieren und dann bei dir einspielen.
Das zweite Szenario haben wir hier am laufen, macht halt hauptsächlich Sinn, wenn das Automatisiert ist.
Lg,
Stefan
dann machs doch mit der acme.sh / certbot - die haben Plugins für ziemlich viele DNS anbieter - für dich ändert sich in der Verwendung wenig.
Alternativ kannst du den _acme-challenge auch als CNAME auf eine Box weiterleiten, die nicht so restriktiv gehandhabt wird, dort das Zertifikat generieren und dann bei dir einspielen.
Das zweite Szenario haben wir hier am laufen, macht halt hauptsächlich Sinn, wenn das Automatisiert ist.
Lg,
Stefan
ich möchte für diverse Server Let's Encrypt einsetzen. Jetzt ist aber über unsere Firewall Geo-IP konfiguriert, idR sollen Aufrufe nur mit einer deutschen IP möglich sein. Das führt dann natürlich dazu, dass die Zertifikatüberprüfung geblockt wird.
Was ein Zufall. Genau damit war ich heute u.a. auch beschäftigt.
Ich habe es so gelöst, dass es im Geoblocking Ausnahmen gibt für die über Google gefundenen Hosts
acme-v01.api.letsencrypt.org
acme-staging.api.letsencrypt.org
acme-v02.api.letsencrypt.org
acme-staging-v02.api.letsencrypt.org
Manuel
allerdings ist damit zu rechnen, dass die das immer wieder drehen, sonst könnten sie ja gleich die IPs rausrücken... Wäre doof, wenn das Wochen läuft und dann plötzlich nicht mehr.
Solange die nicht neue Hosts nutzen sollte es eigentlich laufen. Die Ausnahme in der Firewall ist auf FQDN gemünzt. Wechselnde IPs dürften also eigentlich kein Problem darstellen. Wechselnde oder neue Hostnamen natürlich schon.
Ich für meinen Teil würde aber in jedem Fall einen PRTG-Sensor drauf setzen
Ich auch.
Moin,
Gruß,
Dani
danke! Sowas hatte ich schon gesehen, allerdings ist damit zu rechnen, dass die das immer wieder drehen, sonst könnten sie ja gleich die IPs rausrücken...
das kann sich schon ändern, wenn du einen anderen DNS-Server abfragst. Wir haben in den letzten 5 Jahren keine Lösung dafür gefunden, welche alle Betroffenen zufrieden stellt. Letzt endlich haben wir alles auf DNS-01 umgestellt und alle Neuentwicklungen werden daran ausgerichtet. Alles andere ist früher oder später eine ABM.Ich habe eine FW-Regel gebaut, die in der Nacht für 10 Minuten den Zugriff aus USA freigibt.
Perfekt. Hast du mir noch eure WAN IP-Adresse? Alles andere findet sich. Die Ausnahme in der Firewall ist auf FQDN gemünzt. Wechselnde IPs dürften also eigentlich kein Problem darstellen. Wechselnde oder neue Hostnamen natürlich schon.
Die Firewall Cached aber auch die IP-Adressen. D.h. auch das ist eine potenzielle Fehlerquelle, was den Abruf verhindern kann.Gruß,
Dani