Umleitung von IP auf Namen? (ajenti)

Hi. Jetzt, wo ich ein gültiges LE Zertifikat für den Server habe, wäre es natürlich elegant, wenn das auch immer verwendet wird, ganz gleich, ob ich
https://server oder https://server.meine-schule.de oder auch https://10.16.1.1
verwende.

Es muss also eine Weiterleitung her, die auf den FQDN umleitet, so dass dann auch das Zertifikat zur URL passt.

Hat das jemand im Einsatz? Ich bin nicht ganz sicher, wo man das eintragen muss.
Ist das eine ajenti-Einstellung oder kann man es mit .htaccess regeln oder wie/wo würde das gehen??

Schönen Gruß
Michael

Hallo Michael,

Du kannst dein Hostname in /etc/ajenti/config.yml unter name eintragen, und dann natürlich die Webui neu starten wie immer.
Oder habe ich deine Frage falsch verstanden ?

Gruß

Arnaud

Hi Arnaud,
da gibt es den Eintrag name: server.linuxmuster.meine-domain.de
es müsste aber ein redirect 301 her, das immer auf diesen Namen weiterleitet, oder?
Geht das mit ajenti?
Also so ähnlich wie mit apache und mod_rewrite bzw .htaccess?

Schöne Grüße,
Michael

Hi Michael,

Ich probiere mal zusammen zu fassen :

  • ajenti hört auf dem Port 443 auf deinen Server mit IP 10.16.1.1 (z.B.), und hat name server.linuxmuster.meine-domain.de in config.yml,
  • du möchtest, dass die Webui von Innen mit https://server.meine-schule.de erreicht wird.

Dafür müssen einfach die DNS angepasst werden.

Gruß

Arnaud

Hi.
Der DNS müsste aber alles kennen, was mir server* anfängt?!? Außerdem müsste es ja eine Weiterleitung geben, die auf https://server.linuxmuster.meine-schule.de umleitet, oder?
Sonst gibt es ja doch eine Zertifikatswarnung, oder?

Man kann’s auch am Bsp demonstrieren: Wenn man in den Browser eingibt
172.217.22.3 erhält man eine Weiterleitung nach htttps://www.google.de mit gültigem Zertifikat. Genauso, wenn ich nur http://google.de eingebe … alles wird umgleitet auf https://www.google.de. So meinte ich das …

Schöne Grüße,
Michael

Hallo Michael,

Man kann einfach einen Eintrag in der Form server IN A 10.16.1.1 in die DNS geben.

Es kommt darauf an, für welches Domain das Zertifikat läuft. Das Domain muss mit dem Zertifikatssubject übereinstimmen. Man kann das Zertifikat untersuchen mit openssl x509 -text -noout -in /PFAD/ZUR/ZERT.pem.

Ajenti kann nur entweder auf http, oder auf https hören. Wenn man mehr will, muss man ein WebServer als Proxy installieren, wie nginx oder apache2.
Damit kann man auch eine Weiterleitung von IP auf Domain einstellen.

Gruß

Arnaud

1 Like

Ich glaube ihr schreibt gerade zum Teil aneinander vorbei.

Michael will dass auch wenn per ipadresse zugegriffen wird das Zertifikat greift. Technisch so nur über eine Weiterleitung machbar, also das war Arnaud am Schluss beschreibt.

Ist aber auch unnötig. Wer kennt denn im Zweifelsfall die IP Adresse und nutzt diese? Der Zugriff sollte immer über den Namen erfolgen. Ipadressen auf dns Namen umzuleiten mag elegant erscheinen aber erhöht letzen endes nur die Komplexität. Du rufst ja sicher auch nicht golem, heise oder deine banking website per IP Adresse auf.

Hi.

Im Moment (6.x) habe ich viele Services über deren IP auf einer statischen html-Seite verlinkt. Ich selbst greife zudem andauernd über 10.16.1.1 auf den Server zu, weil das kürzer als der Name ist …
Mit der v7 will ich das aber möglichst über die Namen machen und vor allen Dingen gültigen Zertifikaten machen.

Da hier bereits der HAProxy (eigentlich für die DMZ) als Rev.Proxy funktioniert, kann ich das vermutlich auch ganz einfach darüber machen. Unter „Unbound DNS“ ist der Server ja bereits eingetragen. Den könnte ich auf den Rev.Proxy umbiegen und hätte direkt das, was mir vorschwebt — nehme ich zumindest an?!?

Schöne Grüße,
Michael

Danke, das habe ich mir auch gedacht … :slight_smile: