DynDNS Zertifkat erstellen schlägt fehl / Fehler

[nachon]

Hallo,

ich hoffe, dass ich hier richtig bin. Ich habe aktuell ein paar Problem und mir gehen langsam die Ideen aus, wo ich noch nach dem Fehler suchen soll.

Folgendes Problem habe ich:
Ich nutze eine DS218+ mit Docker und habe dort einige Container am laufen. Unter anderem eine Nextcloud, Bitwarden, NGINX Proxy Manager und auch IOBroker.
Der NGINX Proxy Manager hat sich dabei um die Zertifikate gekümmert und auch immer verlängert. Also um die automatische Verlängerung. Die entsprechende Subdomain wird dabei auf die interne IP umgeleitet, was bis dato auch super funktionierte. Für die Nextcloud hatte ich zudem auf der DS218+ noch einen Reverse Proxy eingerichtet.

Mein DynDNS Anbieter war bis dato twoDNS. Leider hat der seit längerem Probleme, die wohl nicht in den Griff zu bekommen sind. Daher machte ich mich auf die suche nach einem neuen, und seitdem bekomme ich nichts mehr zum laufen.

Bitwarden z.B. war über die DynDNS Domain bzw. dort über eine Subdomain erreichbar, ebenso Nextcloud.
Seitdem ich nun auf den neuen DynDNS Anbieter umgezogen bin, schaffe ich es nicht mehr die Zertifikate zu erstellen und hoffe, das mit vielleicht hier jemand helfen kann.

Insgesamt habe ich nun zwei DynDNS Anbieter ausprobiert. DDNSS und GoIP.
Aktuell habe ich GoIP angemeldet. Befinde ich mich in meinem Netzwerk, kann ich über die entsprechende Domain auch meine Container aufrufen. Von aussen leider nicht mehr.
Keine Ahnung wieso.

Port 80 und 443 sind ebenso freigegeben und zeigen auf den NGINX Proxy Manager.
Dennoch funktioniert die Zertifikatserstellung leider nicht. Ich erhalte einen Fehler, der wie folgt lautet:

Error: Command failed: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-29" --agree-tos --authenticator webroot --email "coolsman@freenet.de" --preferred-challenges "dns,http" --domains "nxc-nachon.goip.de" Saving debug log to /var/log/letsencrypt/letsencrypt.log Some challenges have failed. Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details. at ChildProcess.exithandler (node:child_process:402:12) at ChildProcess.emit (node:events:513:28) at maybeClose (node:internal/child_process:1100:16) at Process.ChildProcess._handle.onexit (node:internal/child_process:304:5)

Kann mir ggf. jemand helfen? Mir gehen langsam echt die Ideen aus, leider.

Besten Dank.

VG

 

[plang.pl]

Wenn du von extern nicht zugreifen kannst, unterstützt der Anbieter evtl kein Wildcard DNS?
DDNSS hab ich auch im Einsatz. Mit NGINX Reverse Proxy. Die Zertifikate macht bei mir allerdings der Container acme.sh, weil der NGINX bei mir das auch nicht hinbekam.
Schau mal in den Thread. Da hat @EDvonSchleck einige hilfreiche Tipps zum Aufsetzen von acme.sh gepostet. In version3 kann der Proxy Manager das auch selbst. Ich habe ihn allerdings nicht zum laufen bekommen bis jetzt. Hint: der latest-Tag zeigt noch auf die v2

 

[EDvonSchleck]

Ein Beispiel/Anleitung (acme.sh) für den Anbieter All.-Inkl findest du hier. Portfreigaben für das Erzeugen des Zertifikates sind bei acme.sh nicht notwendig.

DDNS.de
account.conf:

export DDNSS_Token="DeinAPIKey"
export SYNO_Username="AdminUser"
export SYNO_Password="AdminPasswort"

Zertifikat anfordern:

acme.sh --issue --dns dns_ddnss -d deinedomain.de -d *.deinedomain.de --dnssleep 300

Weitere DynDNS, die von acme.sh unterstützt werden, findest du hier.

Meinst du wirklich GoIP oder NoIP?

 

[Lambrone]

Hallo,

ich hoffe, dass ich hier richtig bin. Ich habe aktuell ein paar Problem und mir gehen langsam die Ideen aus, wo ich noch nach dem Fehler suchen soll.

Folgendes Problem habe ich:
Ich nutze eine DS218+ mit Docker und habe dort einige Container am laufen. Unter anderem eine Nextcloud, Bitwarden, NGINX Proxy Manager und auch IOBroker.
Der NGINX Proxy Manager hat sich dabei um die Zertifikate gekümmert und auch immer verlängert. Also um die automatische Verlängerung. Die entsprechende Subdomain wird dabei auf die interne IP umgeleitet, was bis dato auch super funktionierte. Für die Nextcloud hatte ich zudem auf der DS218+ noch einen Reverse Proxy eingerichtet.

Mein DynDNS Anbieter war bis dato twoDNS. Leider hat der seit längerem Probleme, die wohl nicht in den Griff zu bekommen sind. Daher machte ich mich auf die suche nach einem neuen, und seitdem bekomme ich nichts mehr zum laufen.

Bitwarden z.B. war über die DynDNS Domain bzw. dort über eine Subdomain erreichbar, ebenso Nextcloud.
Seitdem ich nun auf den neuen DynDNS Anbieter umgezogen bin, schaffe ich es nicht mehr die Zertifikate zu erstellen und hoffe, das mit vielleicht hier jemand helfen kann.

Insgesamt habe ich nun zwei DynDNS Anbieter ausprobiert. DDNSS und GoIP.
Aktuell habe ich GoIP angemeldet. Befinde ich mich in meinem Netzwerk, kann ich über die entsprechende Domain auch meine Container aufrufen. Von aussen leider nicht mehr.
Keine Ahnung wieso.

Port 80 und 443 sind ebenso freigegeben und zeigen auf den NGINX Proxy Manager.
Dennoch funktioniert die Zertifikatserstellung leider nicht. Ich erhalte einen Fehler, der wie folgt lautet:


Kann mir ggf. jemand helfen? Mir gehen langsam echt die Ideen aus, leider.

Besten Dank.

VG

Die alten Certifikate löschen. Weil die DDyn Adresse im Zertifikat ein wesentlicher Bestandteil ist. Abschliessend neu certifizieren.

 

[nachon]

Wenn du von extern nicht zugreifen kannst, unterstützt der Anbieter evtl kein Wildcard DNS?
DDNSS hab ich auch im Einsatz. Mit NGINX Reverse Proxy. Die Zertifikate macht bei mir allerdings der Container acme.sh, weil der NGINX bei mir das auch nicht hinbekam.
Schau mal in den Thread. Da hat @EDvonSchleck einige hilfreiche Tipps zum Aufsetzen von acme.sh gepostet. In version3 kann der Proxy Manager das auch selbst. Ich habe ihn allerdings nicht zum laufen bekommen bis jetzt. Hint: der latest-Tag zeigt noch auf die v2

Hi, vielen Dank.

Tatsächlich nutze ich bei meinem NGINX Proxy Manager die Version 2.9.19.
Ich nutze den Container von jc21.

Wildcard unterstützt der Anbieter tatsächlich nicht, allerdings habe ich es geschafft bei der Anmeldung des DDNS Anbieters in der Fritzbox so anzumelden, dass alle Subdomains funktionieren und angemeldet sind. Kann es dennoch daran liegen?

Ich würde es auch mit DDNSS probieren, aber da bin ich nicht sicher, wie ich das einstellen muss. Das hatte bei mir bis jetzt nicht wie gewünscht funktioniert.

Müsste ich denn sonst etwas freigeben? Mich wundert einfach, dass es so gar nicht geht. Das twoDNS die Probleme nicht in den Griff bekommt ist natürlich erst spät aufgefallen, leider.

@EDvonSchleck :
Ne, ich meinte tatsächlich GoIP. (https://www.goip.de/)


@Lambrone :
Welche alten Zertifikate soll ich denn löschen? Die mit dem alten DDNS Anbieter? Für die nun aktiven Anbieter besteht ja noch kein Zertifkat, weil ich das einfach nicht durch bekomme.

Kann doch eigentlich nicht so schwer sein. Ich verstehe leider nicht woran es wirklich hängt.

ACME kann ich mir gern mal anschauen. Hoffe, dass ich damit klar komme.

Vielen Dank nochmal.

 

[EDvonSchleck]

@EDvonSchleck :
Ne, ich meinte tatsächlich GoIP. (https://www.goip.de/)

Wird trotzdem nicht unterstützt bis jetzt bzw. nur mit Umweg.

Warum benötigst du unbedingt den Nginx-Proxy-Manager? Ich bin immer noch auf den Synology Reverse Proxy und muss mir wegen acme noch nicht einmal Gedanken machen über Subdomain (Wildcard) oder Verlängerung.

 

[Lambrone]

Ja - die Certificate vom „alten“ Anbieter sind zu löschen. Im Reverse Proxy ist das neue Certificat auf die Subdomain eiberichtet? Oder immer noch das alte?

siehe auch:https://www.interssl.com/de/index.php?rp=/knowledgebase/27

 

[nachon]

Also liegt es ggf. doch am Anbieter?
Welchen kannst Du dann empfehlen?

Ich habe den zwischengebaut weil ich es komfortabel fand, wie er die Zertifkate selbst handelt. Das hatte ich beim Syno Reverse Proxy nicht gesehen. Zudem läuft er in einem Container und ich habe nicht gleich die ganze DS im Netz (also nur den Container).


Wenn ich aber von außen aktuell ohnehin nicht auf die Seiten komme, scheine ich doch noch ein ganz anderes Problem zu haben, oder?

 

[EDvonSchleck]

Weitere DynDNS, die von acme.sh unterstützt werden, findest du hier.

Oder Netcup für eine eigene Domain – Im Angebot bei knapp 1,60 € im 1,70 € im Jahr! Dann hat man auch keine lange Adresse, wie bei den DynDNS-Anbietern. Dort sind die Adressen auch nur Subdomain, worauf du dir dann eine Sub-Sub-Domain erstellen kannst. Das macht die URL aber lang und unkomfortabel:

Das habe ich aber auch schon im Thread von @plang.pl geschrieben.

Schau mal in den Thread.

 

[nachon]

Sicher nicht unattraktiv, aber derzeit eben nicht zu dem Preis zu haben. Ich bräuchte aber jetzt eine Lösung.
Das mit dem langen Namen ist sicher unkomfortabel, keine Frage.

Der Tipp ist auf jeden fall gut. Bis dahin würde ich aber versuchen es hier hinzubekommen.

 

[EDvonSchleck]

Kannst du doch. In #3 hast du die Anleitung für DDNS.de doch bereits bekommen und den Link auf weitere Anbieter. Das musst du nur einrichten, was in 5–10 Minuten komplett geschafft ist. Die 3 Befehle bekommt jeder mit Copy-and-paste hin.

Wenn es ein Angebot gibt, schwenkst du einfach um und gut ist.

 

[Lambrone]

Sicher nicht unattraktiv, aber derzeit eben nicht zu dem Preis zu haben. Ich bräuchte aber jetzt eine Lösung.
Das mit dem langen Namen ist sicher unkomfortabel, keine Frage.

Der Tipp ist auf jeden fall gut. Bis dahin würde ich aber versuchen es hier hinzubekommen.

Einfach gefragt - eine öffentliche IP Adresse von einem Provider hast du? Wenn ja, ich kenne den DDyn No-IP - hatte lange die Dienstleistung genutzt. Da hast du die Möglichkeit kostenlos - aber mit immer wiederkehrenden kurzen Certificat Aktualisierungen (die nerven) oder für rund 15 $/ pro Jahr mit Subdomain oder C-Adressen die ebenfalls auf die A-Adresse verweisen.

 

[nachon]

Wenn ich über DDNSS gehe, erhalte ich beim Aufruf der Domain ohne Zertifkat folgende Meldung:

FRITZ!Box

FRITZ!Box​

Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.
Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein.
Wenn Sie über einen anderen Hostnamen auf die FRITZ!Box zugreifen wollen, ergänzen Sie diesen bitte als Ausnahme in der Benutzeroberfläche Ihrer FRITZ!Box unter "Heimnetz > Netzwerk > Netzwerkeinstellungen" im Bereich "DNS-Rebind-Schutz".

Deshalb bin ich anschließend zu GoIP gegangen und hatte andere Dienste wieder deaktiviert. Den richtigen scheine ich da noch nicht gefunden zu haben.

Mit GoIP hatte ich diese Meldung nämlich nicht.

 

[EDvonSchleck]

Die Fehlermeldung ist von der Fritz!Box/Router und ein Sicherheitsfeature. Das kannst du einfach in der Fritz!Box deaktiviert.
Dort musst du lediglich jede Domain/DynDNS eintragen. Es hat nicht mit dem Provider zu tun!

 

[nachon]

Ja, das habe ich auch gefunden. Aber wieso muss ich für den einen Anbieter Ausnahmen definieren, für den anderen aber nicht?
Das erschließt sich mir erstmal nicht.

Ist eben nicht mein Kernthema, daher stoße ich derzeit auf die Fragen. Sorry dafür.

Wenn ich es eintrage zeigt jede Domain (Auch die Sub-Sub-Domains) auf die Oberfläche meines Routers. Dann soll es ja eigentlich nicht.


Unabhängig von den Zertifikaten, funktioniert das alles irgendwie nicht. Leider.
Die Domains werden irgendwie nicht durchgeroutet und ich verstehe aktuell nicht wieso. Ich finde den Fehler dazu nicht. Bin nun wieder auf DDNSS gewechselt, komme damit aber noch weniger weiter als mit GoIP.

Irgendwo mache ich sicher einen Fehler, aber ich finde ihn leider nicht.

 

[Lambrone]

In einigen Fällen ist ein DHCP-Server möglicherweise nicht verfügbar. Zum Beispiel kann der Server vorübergehend ausgefallen sein oder es gibt keinen DHCP-Server im Netzwerk.

Wenn dies geschieht und APIPA aktiviert ist, wählt der Clientcomputer eine IP-Adresse aus einem Bereich vordefinierter Adressen aus - 169.254.0.0 bis 169.254.255.255 - und weist diese Adresse automatisch sich selbst zu. Die Internet Assigned Numbers Authority (IANA) reserviert diese Adressen speziell für APIPA-Anwendungsfälle, um sicherzustellen, dass sie nicht mit DHCP-Routtable-Adressen in Konflikt stehen. Du verwendest offensichtlich eine der vor erwähnten IP Adressen. Ohne vom einem Provider gelöste IP Adresse ist die Sache mit DDNS nicht möglich - die Aktualisierung von einem Certifikat wird nicht funktionieren.

 

[EDvonSchleck]

Wenn ich es eintrage zeigt jede Domain (Auch die Sub-Sub-Domains) auf die Oberfläche meines Routers. Dann soll es ja eigentlich nicht.

???
Das ist nur: Die interne Domain nicht nach außen geht und wieder nach innen. Mehr macht der Rebind-Schutz nicht. Das ist doch keine DynDNS.
Wenn du das ändern willst, kannst du auch einen DNS-Server, AdGuard oder Pi-Hole installieren und die Umschreibungen direkt machen. Dann bleibt alles im Netzwerk. Der Schutz greift auch nur in deinem internen Netz und hat nichts mit der Verbindung nach außen zu tun!

 

[nachon]

Logo, dass es kein DynDNS ist. Da stimme ich Dir ja zu. Dennoch scheint doch irgendwas nicht zu stimmen.
Da fällt mir ein, ein AdGuard habe ich ebenfalls installiert und am laufen. Das klappt auch gut.
Aber mir fällt gerade auf, dass der als DNS Server gar nicht mehr eingetragen ist. Hmm.... wie kann das passiert sein? Egal. Irgendwie scheint hier der Wurm drin zu sein und ich komme ich nicht weiter.

 

[nachon]

@Lambrone

Einfach gefragt - eine öffentliche IP Adresse von einem Provider hast du? Wenn ja, ich kenne den DDyn No-IP - hatte lange die Dienstleistung genutzt. Da hast du die Möglichkeit kostenlos - aber mit immer wiederkehrenden kurzen Certificat Aktualisierungen (die nerven) oder für rund 15 $/ pro Jahr mit Subdomain oder C-Adressen die ebenfalls auf die A-Adresse verweisen.

Ja, ich habe eine öffentliche IP, die wird auch bei dem DDNS Anbieter angezeigt, nachdem die Fritzbox sich dort angemeldet hat.

 

[EDvonSchleck]

Wenn du AdGuard nutzt, kannst du deine Domain/DynDNS einfach unter Filter > Umschreibung hinzufügen. Der Rebindeintrag in der Fritz!Box ist dann nicht mehr notwendig.