NGinx, SSL-Zertifikat Error ...

Es gibt 127 Antworten in diesem Thema, welches 19.728 mal aufgerufen wurde. Der letzte Beitrag () ist von swag.

  • Setup: Proxmox-Server 8.03, lxc-Container, mit Ubuntu 22.04. Hierauf läuft NGinx im Docker mit Portainer. Bei Duckdns habe ich mir eine Subdomain eingerichtet. Die Ports 80 und 443 sind mit Weiterleitung auf die NGinx-Container-IP geroutet.


    Der Fehler ist: Es ist nicht möglich, für die Subdomain über die Maske von NGinx ein SSL-Cert. zu bekommen. Als Meldung kommt "internal Error" ... was wohl nicht sehr aussagekräftig ist. Hier mal das log aus portainer:


    Nachdem ich nun schon einige Stunden im Netz mit der Fehlersuche verbracht habe, bin ich mit meinem "Wissen" am Ende ... Habt vllt. eine Idee/Hinweise? Danke schon mal vorab!

  • Caused by NameResolutionError("<urllib3.connection.HTTPSConnection object at 0x7f746b75cba8>: Failed to resolve 'acme-v02.api.letsencrypt.org' ([Errno -3] Temporary failure in name resolution)"))

    Das sieht nach einem DNS Thema aus, der NGINX Container kann die letsencrypt Adresse nicxht auflösen

    Der LXC Container hat Webzugriff, das hast Du gecheckt nehme ich an?

  • Das ist jetzt wahrscheinlich eine super blöde Frage, aber wie checke ich das? :smiling_face_with_halo: (man sieht, ich lerne wohl noch ... :grinning_face_with_smiling_eyes: )


    Andererseits, bisher bin ich davon ausgegangen, das er das hat. Alle Updates usw. für das System im Container wurden gezogen, die Installation hat geklappt ...

  • Setup: Proxmox-Server 8.03, lxc-Container, mit Ubuntu 22.04. Hierauf läuft NGinx im Docker mit Portainer. Bei Duckdns habe ich mir eine Subdomain eingerichtet. Die Ports 80 und 443 sind mit Weiterleitung auf die NGinx-Container-IP geroutet.


    Der Fehler ist: Es ist nicht möglich, für die Subdomain über die Maske von NGinx ein SSL-Cert. zu bekommen. Als Meldung kommt "internal Error" ... was wohl nicht sehr aussagekräftig ist. Hier mal das log aus portainer:


    Genau diese Probleme hatte ich mit Docker (Portainer) auch. Versuch mal im Container den DNS Server von deinen Router einzusetzten.

    Nachdem ich nun schon einige Stunden im Netz mit der Fehlersuche verbracht habe, bin ich mit meinem "Wissen" am Ende ... Habt vllt. eine Idee/Hinweise? Danke schon mal vorab! Beachte, LE hat ne Sicherheit, dass bei zu vielen fehlgeschlagenen Versuchen die zertifizierung für einige Stunden gesperrt wird. Das ganze kann man umgehen, wenn man die option --dryrun verwendet.


    LG


    Ben

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:


  • Im USG habe ich im Controller DNS auf "Auto" stehen .... --> was sollte ich das im lxc eingeben?


    Das Kommando bzgl. LE --dryrun, wo gebe ich das ein? In der NGinx GUI finde ich diese Option nicht ...

  • In der UDR aber ich kann dir Aktuell leider nicht sagen unter was genau da meine aktuell im Recovery Mode ist. Wenn du aber nach IPv6 Dream Maschine deaktivieren suchst solltest du es schnell finde. Wie ist dein System den Aufgebaut ?


    Modem - Dream


    FritzBox (EXPosetHost) - Dream

  • Das System besteht aus Draytek Vigor130 --> USG4 --> Switch 24POE --> 2UAP-AC-Pro u. 1UAC-AC-M ... DSL-Provider ist Vodafone mit dsl100 ...


    IPv6 ist im USG nicht konfiguriert.

  • Das was oben schon geschrieben wurde bzgl. DNS hast du alles geprüft. Sprich keine externen DNS sondern der/die VM/LCX DNS laufen über die USG DNS.

    Und im Proxmox hast du für die VM/LCX die Firewall aus oder halt Konfiguriert.


    Wenn du nmap -p- localhost auf der VM/LCX machst ist der Port 80/443 auf ?



    Ich habe mit docker und Ubuntu auch Aktuell so meine Probleme wenn ich die Compose nicht mit root Rechte ausführe öffnet er mir nicht die Ports UWF im Ubuntu dazu habe ich leider noch kein Lösung gefunden, außer halt als mit sudo dann klappt das ohne probleme

  • Das Kommando nmap ist nicht implementiert, kann aber nachinstalliert werden, das klappt aber irgendwie nicht




    Code
      Temporary failure resolving 'archive.ubuntu.com'
    E: Failed to fetch http://archive.ubuntu.com/ubuntu/pool/main/l/lapack/libblas3_3.10.0-2ubuntu1_amd64.deb  Temporary failure resolving 'archive.ubuntu.com'
    E: Failed to fetch http://archive.ubuntu.com/ubuntu/pool/universe/libl/liblinear/liblinear4_2.3.0%2bdfsg-5_amd64.deb  Temporary failure resolving 'archive.ubuntu.com'
    E: Failed to fetch http://archive.ubuntu.com/ubuntu/pool/main/l/lua5.3/liblua5.3-0_5.3.6-1build1_amd64.deb  Temporary failure resolving 'archive.ubuntu.com'
    E: Failed to fetch http://archive.ubuntu.com/ubuntu/pool/universe/l/lua-lpeg/lua-lpeg_1.0.2-1_amd64.deb  Temporary failure resolving 'archive.ubuntu.com'
    E: Failed to fetch http://archive.ubuntu.com/ubuntu/pool/universe/n/nmap/nmap-common_7.91%2bdfsg1%2breally7.80%2bdfsg1-2ubuntu0.1_all.deb  Temporary failure resolving 'archive.ubuntu.com'
    E: Failed to fetch http://archive.ubuntu.com/ubuntu/pool/universe/n/nmap/nmap_7.91%2bdfsg1%2breally7.80%2bdfsg1-2ubuntu0.1_amd64.deb  Temporary failure resolving 'archive.ubuntu.com'
    E: Unable to fetch some a
  • ???? bitte ein wenig klarer, bin leider nicht sehr bewandert (noch nicht :smiling_face_with_halo: --> was schlägst Du konkret vor ... Ping test auf 2.8.8.8 funktioniert, auf den Router funktioniert auch


    --> ok, erledigt, ich habe nun den DNServer im USG auf 8.8.8.8 und alternativ auf 1.1.1.1 gesetzt. Den 8.8.8.8 habe ich dann auch in der Konsole vom lxc-Container manuell eingetragen --> jetzt habe ich wieder iNet, Befehl nmap kann geladen werden.

    Einmal editiert, zuletzt von Hape ()

  • Code
    PORT     STATE SERVICE
    22/tcp   open  ssh
    25/tcp   open  smtp
    80/tcp   open  http
    81/tcp   open  hosts2-ns
    443/tcp  open  https
    9443/tcp open  tungsten-http

    hier die Antwort auf nmap ...

  • DSL-Provider ist Vodafone mit dsl100 ...

    schön wie hier 1000 Tips gegeben werden sind ohne das jemand nach den Basics fragt....


    Neben DNS Problemen hast du überhaupt eine Öffentliche IP ?

    bei Vodafone stehen die changen gut das du hinter einem GNAT bist (wo vodafon Dir eine

    Private IP gibt und selber ein NAT macht, damit bist du von EXTERN nicht zu erreichen)


    Die IP mit der du Verbunden ist steht steht üblicherweise oben links im Contorller

    (sonst in den Einstellungen beim Internet)



    Ist das irgendwas in Bereich von

    100.64.0.1 - 100.127.255.254 brauchst du an der Stelle nicht weitermachen.

    Du bist hinter einem GNAT vom Provider.. Soweit ich weis gibt Vodofon dir

    ne Öffentliche IP wenn du extra zahlst...





    Einmal editiert, zuletzt von gierig ()

  • Danke für alle Tipps!


    Okay, die öffentliche IP liegt im 88er Bereich und sollte somit "safe" sein.


    Ping vom lxc Container auf meine subdomain 2 Pakete verschickt und zwei empfangen.


    Der Befehl nc -1 -p80 ergibt: Adress already in use.


    Meine Subdomain vom Handybrowser aus ohne WLAN ergibt das ich auf meinem host (also auf der in NGinx hinterlegten Adresse, also in diesem Testfall Portainer lande) ....


    Könnt ihr hiermit was anfangen?


    Aber damit ich den Test mit SSL noch mal durchführen kann, wäre es gut, wenn mir jemand die Frage nach:


    Beachte, LE hat ne Sicherheit, dass bei zu vielen fehlgeschlagenen Versuchen die zertifizierung für einige Stunden gesperrt wird. Das ganze kann man umgehen, wenn man die option --dryrun verwendet.


    beantworten könnte, wo und wie ich diesen Befehl eingeben sollte.

  • So dann wollen wir mal deine Probleme in den Griff bekommen. Mit meinen Leihen haften Wissen^^.


    Wenn Port 80 in Benutzung ist was hast du den bis jetzt alles aktiv auf dem LXC am laufen. Oder läuft da Aktuell nur der NGIX ?

  • Aber damit ich den Test mit SSL noch mal durchführen kann, wäre es gut, wenn mir jemand die Frage nach:


    Beachte, LE hat ne Sicherheit, dass bei zu vielen fehlgeschlagenen Versuchen die zertifizierung für einige Stunden gesperrt wird. Das ganze kann man umgehen, wenn man die option --dryrun verwendet.


    beantworten könnte, wo und wie ich diesen Befehl eingeben sollte.

    Ich muss gestehen, ich kenne LXC nicht, bin mehr oder weniger mit Docker vertraut. Google informiert mich jedoch, dass es sich ebenfalls um ein Linux Container handelt. Dieser sollte über eine SSH funktion verfügen (Quelle: https://bobcares.com/blog/ssh-to-lxc-containers/ ) Einfach die Schnittstelle konfigurieren, via SSH drauf und manuell zertifizieren. Welche Befehle dafür benötigt werden ist auf der LE Seite: https://www.cloudinsidr.com/co…sencrypt-tips-and-tricks/ gut beschrieben.


    LG
    Ben

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow: