DS Lite - Lokaler Reserve Proxy - SSL

Bauanga · 7. Mai 2024 um 13:30

Hallo zusammen!

Und schon wieder ein leidiger DS Lite Beitrag. Vielleicht kann mir jemand weiterhelfen, bevor ich mir weiter die Zähne ausbeiße. Ist folgender Aufbau grundsätzlich möglich?

Ein Hetzner Server ist mir einem WireGuard Tunnel mit einem Client in meinem Netzwerk (DS Lite Anschluss) verbunden. Eine Domain zeigt auf den Hetzner Server. Port 80 und 443 werden durchgereicht und der Traffic wird durch ein NAT übersetzt. (Danke an @aibix für das Wireguard - FritzBox - OPNSENSE Video). Lokal läuft ein Reserve Proxy Manager, der SLL Zertifikate verwaltet.

Sobald ich bei diesem Aufbau versuche im lokalen NGINX Proxy Manager ein Zertifikat für eine Domain anzufordern, die auf den Hetzner Server zeigt, bekomme ich eine Fehlermeldung.

Habe ich einen Denkfehler oder ist dieser Aufbau grundsätzlich nicht möglich?

Liebe Grüße!

Bauanga · 7. Mai 2024 um 14:02

Der Traffic (80, 443) wird natürlich auf den lokalen Client mir dem Proxy Manager durchgereicht.

336522430 · 7. Mai 2024 um 16:41

Wenn du die Domain auf dem NPM per dig auflöst, wird dann die IP-Adress des NPM Servers oder von Hetzner aufgelöst? Ich tippe auf erstes. Kannst du evtl. für die Validierung anstatt HTTP-01 auf DNS-01 setzen? Setzt natürlich voraus, dass dein Domain Hoster eine API hat und diese von acme.sh unterstützt wird.

Bauanga · 7. Mai 2024 um 17:06

Danke für die Antwort und den Hinweis auf einige Bereiche, in die ich mich wohl einlesen muss. Die Validierungsmechanismen HTTP-01 oder DNS-01 sind mir unbekannt. Ich habe eine Domain bei Strato, bei der habe ich einen A Record mit der IPv4 des Hetzner Server gesetzt habe. Bei dem NPM habe ich dann einfach versucht ein SLL Zertifikat zu beziehen.

336522430 · 7. Mai 2024 um 18:10