Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Replies 2 replies
  • Subscribers 8 subscribers
  • Views 120 views
  • Users 0 members are here
Options
Suggested

Lets Encrypt Zertifikate mit redundanten Schnittstellen

SteffenDutschke

Wir wollen mit dem Update auf SFOS 21.0.0 GA-Build 169 die Zertifikate für die Firewall und die per WAF geschützten Server per Let's Encrypt direkt erstellen lassen. Das Problem dabei ist, dass ich 2 redundante Internet Anbindungen mit jeweils anderen IP habe, aber in der Anfrage immer nur genau eine Schnittstelle angegeben werden kann. Es kommt folgende Fehlermeldung (für die 2. Adresse):

Weiß jemand, wie man diesen Fehler umgehen kann? Ich möchte nicht jedes Mal die DNS Einstellungen für unsere Domain ändern.



Added TAGs
[edited by: Raphael Alganes at 2:11 PM (GMT -8) on 15 Jan 2025]
Parents
  • 0

    Eine Lösung habe ich leider nicht parat.

    Habe ich das richtig verstanden? Ein DNS-Name mit 2 redundanten IP's?

    LE probiert es doch sicher mehrfach, wird nicht auch irgendwann das richtige Interface verwendet? 

    Ich hatte aber auch schon DNS-Provider, welche beide IP's immer in der gleichen Reihenfolge ausgeliefert haben (ohne RoundRobbin). 

    Hier müsste die "primäre" IP funktionieren.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Wir haben 2 Internet-Provider und demzufolge 2 unterschiedliche öffentliche IP je Dienst. Diese sind wegen der Redundanz bei einem Ausfall einer Leitung und zeigen beide auf den Reverseproxy der FW. DNS kann ich selbst konfigurieren. Egal ob feste Reihenfolge oder RoundRobin immer das gleiche Ergebnis. Im LE Vorgang kann ich genau eine Schnittstelle für die Zertifikatsabfrage einstellen. LE fragt aber immer beide DNS Einträge ab und die automatische FW Regel bezieht sich immer nur auf den gewählten Eintrag in "gehostete Adresse". Damit kommt es nicht zum Ausstellen Zertifikate. Hier müsste Sophos nachbessern und die Auswahl mehrerer Schnittstellen zulassen.

Reply
  • 0 in reply to dirkkotte

    Wir haben 2 Internet-Provider und demzufolge 2 unterschiedliche öffentliche IP je Dienst. Diese sind wegen der Redundanz bei einem Ausfall einer Leitung und zeigen beide auf den Reverseproxy der FW. DNS kann ich selbst konfigurieren. Egal ob feste Reihenfolge oder RoundRobin immer das gleiche Ergebnis. Im LE Vorgang kann ich genau eine Schnittstelle für die Zertifikatsabfrage einstellen. LE fragt aber immer beide DNS Einträge ab und die automatische FW Regel bezieht sich immer nur auf den gewählten Eintrag in "gehostete Adresse". Damit kommt es nicht zum Ausstellen Zertifikate. Hier müsste Sophos nachbessern und die Auswahl mehrerer Schnittstellen zulassen.

Children
No Data
Unfiltered HTML