NGinx, SSL-Zertifikat Error ...

Zitat von Hape

Caused by NameResolutionError("<urllib3.connection.HTTPSConnection object at 0x7f746b75cba8>: Failed to resolve 'acme-v02.api.letsencrypt.org' ([Errno -3] Temporary failure in name resolution)"))

Das sieht nach einem DNS Thema aus, der NGINX Container kann die letsencrypt Adresse nicxht auflösen

Der LXC Container hat Webzugriff, das hast Du gecheckt nehme ich an?

Zitat von Hape

Setup: Proxmox-Server 8.03, lxc-Container, mit Ubuntu 22.04. Hierauf läuft NGinx im Docker mit Portainer. Bei Duckdns habe ich mir eine Subdomain eingerichtet. Die Ports 80 und 443 sind mit Weiterleitung auf die NGinx-Container-IP geroutet.

Der Fehler ist: Es ist nicht möglich, für die Subdomain über die Maske von NGinx ein SSL-Cert. zu bekommen. Als Meldung kommt "internal Error" ... was wohl nicht sehr aussagekräftig ist. Hier mal das log aus portainer:

Code

[7/12/2023] [8:59:05 PM] [Nginx    ] › ℹ  info      Reloading Nginx
[7/12/2023] [8:59:10 PM] [SSL      ] › ℹ  info      Requesting Let'sEncrypt certificates for Cert #12: engx.duckdns.org
[7/12/2023] [8:59:10 PM] [SSL      ] › ℹ  info      Command: certbot certonly --config "/etc/letsencrypt.ini" --work-dir "/tmp/letsencrypt-lib" --logs-dir "/tmp/letsencrypt-log" --cert-name "npm-12" --agree-tos --authenticator webroot --email "yyyyyy@zxxxx.de" --preferred-challenges "dns,http" --domains "YYYYY.duckdns.org"
[7/12/2023] [8:59:26 PM] [Nginx    ] › ⬤  debug     Deleting file: /data/nginx/temp/letsencrypt_12.conf
[7/12/2023] [8:59:26 PM] [Nginx    ] › ℹ  info      Reloading Nginx
[7/12/2023] [8:59:26 PM] [Express  ] › ⚠  warning   Command failed: certbot certonly --config "/etc/letsencrypt.ini" --work-dir "/tmp/letsencrypt-lib" --logs-dir "/tmp/letsencrypt-log" --cert-name "npm-12" --agree-tos --authenticator webroot --email "yyyyyi@xxxxx.de" --preferred-challenges "dns,http" --domains "yyyyy.duckdns.org"
Saving debug log to /tmp/letsencrypt-log/letsencrypt.log
An unexpected error occurred:
requests.exceptions.ConnectionError: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by NameResolutionError("<urllib3.connection.HTTPSConnection object at 0x7f746b75cba8>: Failed to resolve 'acme-v02.api.letsencrypt.org' ([Errno -3] Temporary failure in name resolution)"))
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /tmp/letsencrypt-log/letsencrypt.log or re-run Certbot with -v for more details.
[7/12/2023] [9:28:15 PM] [SSL      ] › ℹ  info      Renewing SSL certs close to expiry...
[7/12/2023] [9:28:15 PM] [Nginx    ] › ℹ  info      Reloading Nginx
[7/12/2023] [9:28:15 PM] [SSL      ] › ℹ  info      Renew Complete
[7/12/2023] [9:39:44 PM] [Nginx    ] › ⬤  debug     Deleting file: /data/nginx/proxy_host/4.conf
[7/12/2023] [9:39:44 PM] [Nginx    ] › ⬤  debug     Deleting file: /data/nginx/proxy_host/4.conf.err
[7/12/2023] [9:39:44 PM] [Nginx    ] › ⬤  debug     Could not delete file: {
"errno": -2,
"syscall": "unlink",
"code": "ENOENT",
"path": "/data/nginx/proxy_host/4.conf.err"
}

Alles anzeigen

Genau diese Probleme hatte ich mit Docker (Portainer) auch. Versuch mal im Container den DNS Server von deinen Router einzusetzten.

Nachdem ich nun schon einige Stunden im Netz mit der Fehlersuche verbracht habe, bin ich mit meinem "Wissen" am Ende ... Habt vllt. eine Idee/Hinweise? Danke schon mal vorab! Beachte, LE hat ne Sicherheit, dass bei zu vielen fehlgeschlagenen Versuchen die zertifizierung für einige Stunden gesperrt wird. Das ganze kann man umgehen, wenn man die option --dryrun verwendet.

LG

Ben

Ich hatte diese Probleme auch habe den Fehler dann damit lösen können das ich IPv6 deaktiviert habe. Da ich es eh nicht brauche.

Aber nicht mit NGIX sondern Traefik / LetsCrypt

In der UDR aber ich kann dir Aktuell leider nicht sagen unter was genau da meine aktuell im Recovery Mode ist. Wenn du aber nach IPv6 Dream Maschine deaktivieren suchst solltest du es schnell finde. Wie ist dein System den Aufgebaut ?

Modem - Dream

FritzBox (EXPosetHost) - Dream

Das was oben schon geschrieben wurde bzgl. DNS hast du alles geprüft. Sprich keine externen DNS sondern der/die VM/LCX DNS laufen über die USG DNS.

Und im Proxmox hast du für die VM/LCX die Firewall aus oder halt Konfiguriert.

Wenn du nmap -p- localhost auf der VM/LCX machst ist der Port 80/443 auf ?

Ich habe mit docker und Ubuntu auch Aktuell so meine Probleme wenn ich die Compose nicht mit root Rechte ausführe öffnet er mir nicht die Ports UWF im Ubuntu dazu habe ich leider noch kein Lösung gefunden, außer halt als mit sudo dann klappt das ohne probleme

DNS !!!

Zitat von Hape

DSL-Provider ist Vodafone mit dsl100 ...

schön wie hier 1000 Tips gegeben werden sind ohne das jemand nach den Basics fragt....

Neben DNS Problemen hast du überhaupt eine Öffentliche IP ?

bei Vodafone stehen die changen gut das du hinter einem GNAT bist (wo vodafon Dir eine

Private IP gibt und selber ein NAT macht, damit bist du von EXTERN nicht zu erreichen)

Die IP mit der du Verbunden ist steht steht üblicherweise oben links im Contorller

(sonst in den Einstellungen beim Internet)

Ist das irgendwas in Bereich von

100.64.0.1 - 100.127.255.254 brauchst du an der Stelle nicht weitermachen.

Du bist hinter einem GNAT vom Provider.. Soweit ich weis gibt Vodofon dir

ne Öffentliche IP wenn du extra zahlst...

So dann wollen wir mal deine Probleme in den Griff bekommen. Mit meinen Leihen haften Wissen^^.

Wenn Port 80 in Benutzung ist was hast du den bis jetzt alles aktiv auf dem LXC am laufen. Oder läuft da Aktuell nur der NGIX ?

versuch mal in der Console des LXC folgerndes einzugeben:

ping heise.de

oder als Alternative

ping vodafone.de

Sollte dann so aussehen:

Klappt das?

Zitat von Hape

Aber damit ich den Test mit SSL noch mal durchführen kann, wäre es gut, wenn mir jemand die Frage nach:

Beachte, LE hat ne Sicherheit, dass bei zu vielen fehlgeschlagenen Versuchen die zertifizierung für einige Stunden gesperrt wird. Das ganze kann man umgehen, wenn man die option --dryrun verwendet.

beantworten könnte, wo und wie ich diesen Befehl eingeben sollte.

Ich muss gestehen, ich kenne LXC nicht, bin mehr oder weniger mit Docker vertraut. Google informiert mich jedoch, dass es sich ebenfalls um ein Linux Container handelt. Dieser sollte über eine SSH funktion verfügen (Quelle: https://bobcares.com/blog/ssh-to-lxc-containers/ ) Einfach die Schnittstelle konfigurieren, via SSH drauf und manuell zertifizieren. Welche Befehle dafür benötigt werden ist auf der LE Seite: https://www.cloudinsidr.com/co…sencrypt-tips-and-tricks/ gut beschrieben.

LG
Ben