coreknabe
Goto Top

Lets Encrypt und Geo-IP

Moin,

ich möchte für diverse Server Let's Encrypt einsetzen. Jetzt ist aber über unsere Firewall Geo-IP konfiguriert, idR sollen Aufrufe nur mit einer deutschen IP möglich sein. Das führt dann natürlich dazu, dass die Zertifikatüberprüfung geblockt wird.

Den Umweg über DNS-01 möchte ich vermeiden (bitte keine Diskussionen der Art "Mach das doch anders"!) und Let's Encrypt rückt die IPs der eigenen Validierungsserver nicht raus.
Ich habe mal ein wenig rumgespielt und bisher funktionierte es, wenn ich Zugriffe von einer US-IP ebenfalls zulasse. Kann sich ja aber ändern, vielleicht hatte ich beim Testen einfach nur Glück. Hat da jemand Erfahrungen?

Gruß

Content-ID: 83412626092

Url: https://administrator.de/forum/lets-encrypt-und-geo-ip-83412626092.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

Epixc0re
Epixc0re 06.02.2024 aktualisiert um 10:07:12 Uhr
Goto Top
Ahoi,

dann machs doch mit der acme.sh / certbot - die haben Plugins für ziemlich viele DNS anbieter - für dich ändert sich in der Verwendung wenig.

Alternativ kannst du den _acme-challenge auch als CNAME auf eine Box weiterleiten, die nicht so restriktiv gehandhabt wird, dort das Zertifikat generieren und dann bei dir einspielen.

Das zweite Szenario haben wir hier am laufen, macht halt hauptsächlich Sinn, wenn das Automatisiert ist.

Lg,
Stefan
Coreknabe
Coreknabe 06.02.2024 um 10:22:12 Uhr
Goto Top
Moin Stefan,

danke für den Hinweis, schaue ich mir mal an.

Aktuelle "Lösung", ist zwar eher ein Workaround, funktioniert aber: Ich lege eine FW-Regel an, die den Zugriff nur für einige Minuten zulässt, danach ist wieder abgeschlossen.

Und automatisiert muss das schon funktionieren, sonst macht der ganze Aufriss keinen Sinn.

Gruß
Epixc0re
Epixc0re 06.02.2024 um 10:38:20 Uhr
Goto Top
Falls du Unterstützung brauchst, einfach melden - ich kann dir die Ansible Playbooks gerne bereit stellen.

LG,
Stefan
ITwissen
ITwissen 06.02.2024 um 12:33:06 Uhr
Goto Top
Man kann Zertifikate auch kaufen, die dann 1 Jahr gültig sind.
Da die Prüfung dabei nicht via Webzugriff passiert, würde das mit der Firewall gehen.
Coreknabe
Coreknabe 06.02.2024 um 13:01:03 Uhr
Goto Top
Moin,

Man kann Zertifikate auch kaufen, die dann 1 Jahr gültig sind.
Da die Prüfung dabei nicht via Webzugriff passiert, würde das mit der Firewall gehen.

Ach was, tatsächlich? Ist aber nicht die Frage, trotzdem danke.

Gruß
manuel-r
manuel-r 06.02.2024 um 17:33:42 Uhr
Goto Top
ich möchte für diverse Server Let's Encrypt einsetzen. Jetzt ist aber über unsere Firewall Geo-IP konfiguriert, idR sollen Aufrufe nur mit einer deutschen IP möglich sein. Das führt dann natürlich dazu, dass die Zertifikatüberprüfung geblockt wird.

Was ein Zufall. Genau damit war ich heute u.a. auch beschäftigt.
Ich habe es so gelöst, dass es im Geoblocking Ausnahmen gibt für die über Google gefundenen Hosts
acme-v01.api.letsencrypt.org
acme-staging.api.letsencrypt.org
acme-v02.api.letsencrypt.org
acme-staging-v02.api.letsencrypt.org
Das erstmalige Erstellen des Zertifikats hat damit zumindest funktioniert und eine testweise manuelle Erneuerung ein Weilchen später auch. Ob das dann auch in 90 Tagen nochmal funktioniert werde ich sehen wenn es soweit ist face-wink

Manuel
Coreknabe
Coreknabe 06.02.2024 um 20:17:21 Uhr
Goto Top
Moin Manuel,

danke! Sowas hatte ich schon gesehen, allerdings ist damit zu rechnen, dass die das immer wieder drehen, sonst könnten sie ja gleich die IPs rausrücken... Wäre doof, wenn das Wochen läuft und dann plötzlich nicht mehr. Ich für meinen Teil würde aber in jedem Fall einen PRTG-Sensor drauf setzen, der das Kreischen anfängt, sobald ein Zertifikat nur noch 20 Tage gültig ist. Nach 30 Tagen ersetzt Let's Encrypt ja das alte Zertifikat.

Aktuell reicht es für uns, im Geo-IP die USA freizugeben, ist natürlich mit der Schrotflinte abgedrückt. Und auch das kann ja morgen anders sein. Ich habe eine FW-Regel gebaut, die in der Nacht für 10 Minuten den Zugriff aus USA freigibt. Gleichzeitig in den Linux-VMs nen Cron-Eintrag gesetzt, der zu der Zeit die Zertifikate abfragt.
Bin jetzt noch an unserem Mailstore-Server, aktuell habe ich noch nicht herausgefunden, wann der sich bei Let's Encrypt meldet und ob man die Zeit selbst irgendwo festlegen kann. Ticket beim Support, die sind erst mal misstrauisch und fragen, warum ich das wissen will face-wink Ich werde berichten...

Gruß
manuel-r
manuel-r 06.02.2024 um 20:32:49 Uhr
Goto Top
allerdings ist damit zu rechnen, dass die das immer wieder drehen, sonst könnten sie ja gleich die IPs rausrücken... Wäre doof, wenn das Wochen läuft und dann plötzlich nicht mehr.

Solange die nicht neue Hosts nutzen sollte es eigentlich laufen. Die Ausnahme in der Firewall ist auf FQDN gemünzt. Wechselnde IPs dürften also eigentlich kein Problem darstellen. Wechselnde oder neue Hostnamen natürlich schon.

Ich für meinen Teil würde aber in jedem Fall einen PRTG-Sensor drauf setzen

Ich auch.
Dani
Dani 06.02.2024 um 22:36:34 Uhr
Goto Top
Moin,
danke! Sowas hatte ich schon gesehen, allerdings ist damit zu rechnen, dass die das immer wieder drehen, sonst könnten sie ja gleich die IPs rausrücken...
das kann sich schon ändern, wenn du einen anderen DNS-Server abfragst. Wir haben in den letzten 5 Jahren keine Lösung dafür gefunden, welche alle Betroffenen zufrieden stellt. Letzt endlich haben wir alles auf DNS-01 umgestellt und alle Neuentwicklungen werden daran ausgerichtet. Alles andere ist früher oder später eine ABM.

Ich habe eine FW-Regel gebaut, die in der Nacht für 10 Minuten den Zugriff aus USA freigibt.
Perfekt. Hast du mir noch eure WAN IP-Adresse? Alles andere findet sich. face-wink

Die Ausnahme in der Firewall ist auf FQDN gemünzt. Wechselnde IPs dürften also eigentlich kein Problem darstellen. Wechselnde oder neue Hostnamen natürlich schon.
Die Firewall Cached aber auch die IP-Adressen. D.h. auch das ist eine potenzielle Fehlerquelle, was den Abruf verhindern kann.


Gruß,
Dani
Coreknabe
Coreknabe 07.02.2024 um 10:12:37 Uhr
Goto Top
Moin,

meine FW-Lösung wird durch Mailstore torpediert, Frechheit face-wink
Falls es andere interessiert, hier mal die Antwort des Supports auf die Frage, wann Mailstore eine Validierung probiert:

Sobald ein Let´s Encrypt Zertifikat das Alter von 60 Tagen erreicht hat, versucht der MailStore Server Dienst alle 12 Stunden, ein neues Let´s Encrypt Zertifikat zu erhalten.
Die Uhrzeit richtet sich nach dem letzten Start des MailStore Serverdienstes.

Hindert mich nicht zwingend dran, starte ich halt in der Nacht den Dienst neu, angepasst an die Freigabe in der FW. So als Hintenrumarbeit aka Workaround.

@Dani
Ich habe eine FW-Regel gebaut, die in der Nacht für 10 Minuten den Zugriff aus USA freigibt.
Perfekt. Hast du mir noch eure WAN IP-Adresse? Alles andere findet sich.

Na ja, das Risiko halte ich eher für überschaubar. Da würde es für 10 Minuten ein Zeitfenster geben. Gehen wir mal davon aus, dass da automatisierte Versuche laufen, ist das aus meiner Sicht eher unwahrscheinlich, dass da was passiert. Und wenn es gezielt jemand mit ausreichenden Kenntnissen auf uns abgesehen hat, mal ehrlich, da bin ich eh geliefert. Wie übrigens die allermeisten bei gezielten und maßgeschneiderten Angriffen hier auch face-wink

Ich sehe mir das aber mit DNS-01 noch einmal genauer an, scheint mir die idealere Lösung zu sein.

Gruß