Follow

Problem: TLS/HTTPS via pound auf Virtuelle Maschinen leiten.

Infrastruktur:
Host: CentOS, iptables
VM1: pound
VM2-5: WebServer (mostly Apache) mit unterschiedlichen Domains & Content

Handling: Content von Port 80 via iptables zur VM1 zu leiten ist marginal. Die Config dazu ist simple!
Anders bei TLS. Da muss das Cert vorher bekannt sein & auch andere Tücken.

Letztlich knabbere ich da seit Monaten dranne, und so langsam will ich das mal fixen.

Any Ideas? Dokus?

@amaz1ng Hm, also, in dem Setup ist pound der HTTPS-Endpoint und der einzige Punkt, der sich um HTTPS kümmern kann und darf. Nu is apsis.ch grad down, die originale Doku kann ich also nich checken.
Aber hier is n Schnipsel für nen HTTPS-Endpoint in pound: thomas-krenn.com/de/wiki/HTTP_

@anathem Hey Dave, danke. Checke ich sofort und gebe dann mal Rückmeldung.

Danke für die Mühe!

<3

@amaz1ng Ich weiß halt nicht, ob pound mit mehreren certs auf der gleichen IP/Port arbeiten kann. Wenn dem nicht der Fall ist, brauchts nen anderen reverse proxy.

@anathem Jep, genau das ist die Herausforderung.

Ich guck trotzdem mal, denn ich kam mit dem Pound jetzt sehr gut zurecht. Schlank, bisher nie Probleme gemacht, sogar ne eigene API gebastelt, die mir die Config generierte, wenn Sub/Domains hinzukamen oder wegfielen.

Aber wenns eben mit Pound an der Stelle end wird, muss ich irgendwann auch mal ne andere Software ausprobieren :/

@amaz1ng Die nginx-cfg für reverse proxy ist auch relativ simpel, aber auch hier weiss ich nich, ob multicert möglich ist.

@anathem Ich kaue mich da nochmal durch.

Evtl. muss ich einfach für jeden Host in der Config das cert erreichbar machen bzw. zur VM mit Pound kopieren via scp.

Das kann ich ja alles mit bash automatisieren.

Mal gucken.. wenns funzt mach ich ne Doku, wenn nicht probier ich das mit nem andern Reverse-Proxy.

@qcat Danke schön!
Doch ist Squid ja eigentlich für die User2Inet Richtung gebaut & an sich schon 'ne sehr umfangreiche Software.

Das Reverse-Proxying (steht da etwas weiter unten) ist problematisch, weil es genau das Problem nicht fixen kann, welches ich genau habe ;)

Der Pound dagegen ist eine sehr schlanke Software & hauptsächlich dafür gedacht.

Ich denke, ich habe nur ein Logik-Problem mit dem Pound, dennoch müssen da gleichzeitig mehrere Mechanismen greifen.

Trotzdem danke!

@amaz1ng Ich kann mich dunkel erinnern sowas mal geloast zu haben mit apache und einer kombination aus mod_proxy und mod_ssl. Weiss jetzt aber nicht mehr genau wie.

Sign in to participate in the conversation
Ruhr.Social

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!