Let's Encrypt funktioniert bei Split-DNS nicht  [GELÖST]

Locked
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Let's Encrypt funktioniert bei Split-DNS nicht  [GELÖST]

Post by Blackmoon »

Hallo zusammen,
es gibt zwei Internetseiten welche über Homepage-Baukasten bisher noch bereitgestellt werden. In diesem Fall soll KeyHelp bzw. Apache2 als Reverse Proxy agieren.

In der Datei /etc/hosts des KeyHelp-Servers wurden die IP-Adressen mit der domaina.de und domainb.de hinzugefügt. Grund dafür ist, dass der Webserver der Internetseiten ausschließlich auf die FQDN hört. In den DNS-Zonen des autoriven DNS-Server sind für domaina.de und domainb.de die IP-Adresse des KeyHelp-Servers eingetragen.

Im Protokoll der Wartungsaufgabe finde ich folgende Einträge:

Code: Select all

[29-Feb-2020 00:55:03] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-5e59a857bc5f08.16044778
[29-Feb-2020 00:55:03] INFO  --> URL: http://domaina.de/.well-known/acme-challenge/local-check-5e59a857bc5f08.16044778 | HTTP code: 204 | HTTP body (first 100 chars): 
[29-Feb-2020 00:55:03] ERROR --> a Let's Encrypt error occurred: Local resolving checks failed for domain "domaina.de". Please ensure that your domain is locally resolvable
Gibt es eine Möglichkeit die Prüfroutine (local resolving) zu deaktivieren? Weil die Auflösung von LE wäre korrekt.

Grüße
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Blackmoon »

Hallo in die Runde,
das Problem ist nach wie vor existent.
Aus welchen Grund wird durch KH eine Prüfung durchgeführt?


Grüße
nevakee
Posts: 52
Joined: Wed 5. Oct 2016, 21:31

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by nevakee »

Hast du mal geprüft, ob http://domaina.de/.well-known/acme-challenge/... auch auf dem Keyhelp Server bleibt und nicht vom Reverse Proxy mit auf dem Homepage-Baukasten "umgeleitet" wird?
User avatar
Alexander
Keyweb AG
Posts: 3813
Joined: Wed 20. Jan 2016, 02:23

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Alexander »

Aus welchen Grund wird durch KH eine Prüfung durchgeführt?
Klar wäre es ein leichtes, die Prüfung mittels Checkbox generell zu überspringen, aber irgendwann kommt man bei zu vielen unberechtigten Anfragen bei der Let's Encrypt CA auch ins Rate-Limit. Und das könnte sich dann auf alle anderen Domains auf dem Server auswirken.

Der Grund warum die Prüfung durchgeführt wird ist, dass die Leute zuerst Ihre DNS/Webserver-Einstellungen korrekt einstellen sollten, bevor sie gegen die Let's-Encrypt Überprüfung rennen. (Damit will ich jetzt nicht pauschal sagen, dass deine Einstellungen inkorrekt sind.)

Überprüfe einmal, wie nevakee schreibt, was beim Aufruf der URL passiert.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Blackmoon »

Guten Abend.
Kommentiere ich nämlich die Einträge in der Datei /etc/hosts aus, so kann problemlos die Zertifikate abgerufen werden.
Meine Konfiguration ist daher in Ordnung.
Der Grund warum die Prüfung durchgeführt wird ist, dass die Leute zuerst Ihre DNS/Webserver-Einstellungen korrekt einstellen sollten, bevor sie gegen die Let's-Encrypt Überprüfung rennen. (Damit will ich jetzt nicht pauschal sagen, dass deine Einstellungen inkorrekt sind.
Könntest du dir einen Parameter/Schalter vorstellen, wo das Verhalten explizit ausgeschaltet werden kann? Gerne pro Domain, um so das Risiko zu minimieren?


Grüße
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Jolinar »

Blackmoon wrote: Mon 29. Jun 2020, 21:18 Könntest du dir einen Parameter/Schalter vorstellen, wo das Verhalten explizit ausgeschaltet werden kann? Gerne pro Domain, um so das Risiko zu minimieren?
Ich befürchte, daß es sowas nicht gibt. :?

Zwei denkbare alternative Lösungsansätze:
  • Die beiden Webseiten auf den KH-Server umziehen. Dann mußt du garnicht frickeln.
  • Die beiden Webseiten auf dem jetzigen Hosting unter sub.domaina.de und sub.domainb.de erreichbar machen. Dann brauchst du die /etc/hosts nicht mehr und kannst die Domains mit Proxypass direkt auf die Subdomains weiterleiten.
    Wenn du jetzt noch auf dem aktuellen Hosting den Zugriff auf die Seiten mittels .htaccess auf den KH-Server beschränkst, sollte alles flutschen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Blackmoon »

Code: Select all

Die beiden Webseiten auf den KH-Server umziehen. Dann mußt du garnicht frickeln.
Geht leider nicht. Es sind Homepage Baukasten und kein CMS.
Die beiden Webseiten auf dem jetzigen Hosting unter sub.domaina.de und sub.domainb.de erreichbar machen. Dann brauchst du die /etc/hosts nicht mehr und kannst die Domains mit Proxypass direkt auf die Subdomains weiterleiten.
Lässt der Webhoster auf Nachfrage leider auch nicht zu. Grund ist, dass der Homepage-Baukasten im Quellcode den absoluten Pfad verwendet und zwar von der angegebene Hauptdomain. Ändere ich dies ab erscheint zwar "nur" eine Warnung aber die Seite wird anschließend unvollständig dargestellt. Weil CSS, Javascript, etc... nicht mehr geladen werden kann.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Jolinar »

Blackmoon wrote: Mon 29. Jun 2020, 23:19 Lässt der Webhoster auf Nachfrage leider auch nicht zu. Grund ist, dass der Homepage-Baukasten im Quellcode den absoluten Pfad verwendet und zwar von der angegebene Hauptdomain. Ändere ich dies ab erscheint zwar "nur" eine Warnung aber die Seite wird anschließend unvollständig dargestellt. Weil CSS, Javascript, etc... nicht mehr geladen werden kann.
Das ist natürlich bescheiden. :cry:

Okay, eine Sache fällt mir grad noch ein...
Du könntest möglicherweise mit einem X-Forwarded-Host Header die Domain bei der Weiterleitung mitgeben und könntest so den Proxypass auf die IP zeigen lassen. Dann wäre auch hier die Frickelei mit der hosts-Datei überflüssig und dein KH-Server könnte problemlos die Certs ziehen.
Nagel mich aber nicht darauf fest, ich hab schon zu lange keine individuellen Proxy-Configs mehr gebastelt.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Tobi
Community Moderator
Posts: 2813
Joined: Thu 5. Jan 2017, 13:24

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Tobi »

Der Proxy kann mehr als nur durchleiten.
Mittels SUBSTITUTE ist es möglich während der Durchleitung einzelne Teile der Seite zu ersetzen.

Hier mal ein Beispiel von einem ähnlichen Projekt.

Code: Select all


        SSLProxyEngine On
        ProxyPass / https://www.baukasten.de/
        ProxyPassReverse / https://www.baukasten.de/

        RequestHeader unset Accept-Encoding

        <Location />
                AddOutputFilterByType SUBSTITUTE text/html
                Substitute "s|https://www.baukasten.de/|https://www.meine-Domain.de/|i"
               
        </Location>


Auf diese Weise kannst du die komplette Webseite zur Not komplett umbauen.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Blackmoon »

Du könntest möglicherweise mit einem X-Forwarded-Host Header die Domain bei der Weiterleitung mitgeben und könntest so den Proxypass auf die IP zeigen lassen.
Die Header habe ich ebenfalls versucht - funktioniert nicht. Da stell ich mir allerdings die Frage, wie solche Header überhaupt geblockt werden kann. Normalerweise würde ich nun den technischen Support konsultieren, aber da ruscht nur der Satz "Ist nicht unterstützt" durch.
Mittels SUBSTITUTE ist es möglich während der Durchleitung einzelne Teile der Seite zu ersetzen.
Vielen Dank für den Hinweis. Schau ich mir am Weekend in Ruhe an.
User avatar
Tobi
Community Moderator
Posts: 2813
Joined: Thu 5. Jan 2017, 13:24

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Tobi »

Zu deiner Header-Frage.
Mit mod_proxy lassen sich auch sämtliche Header der Verbindung manipulieren und anpassen.

Wahrscheinlich musst du dich mit Trial&Error rantasten, grundsätzlich sollte es aber funktionieren.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Blackmoon »

Zu deiner Header-Frage.
Mit mod_proxy lassen sich auch sämtliche Header der Verbindung manipulieren und anpassen.
Ich bzw. auch mein Kollege haben mehrere Stunden probiert und überlegt. Haben es aber nicht zum Fliegen bekommen. Irgendwann steht der Aufwand zum Ergebnis nicht mehr im Verhältnis und daher Split-DNS.
User avatar
Tobi
Community Moderator
Posts: 2813
Joined: Thu 5. Jan 2017, 13:24

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Tobi »

Jaja die lieben Header haben auch mich verzweifeln lassen.

Erfolg brachte dann das hinzufügen von

Code: Select all

RequestHeader unset Accept-Encoding
RequestHeader unset Origin
RequestHeader set Referer https://www.zielserver.de/
Hattest du die probiert?
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by Blackmoon »

Leider bin ich erst heute Nachmittag im Rahmen einer Wartung dazu gekommen.

Diese sch*** Homepage Baukasten liefern gerade JS und CS Dateien über CDN wie Cloudfront ä.u. Innerhalb der Dateien steht wiederrum statisch der FQDN drin. Wir haben die Internetseite soweit inhaltlich zum Laufen bekommen. Aber das Design und Funktionen über JS haben alle samt nicht voll geladen. Über die Entwickler Konsole konnte man den Requests "live" mitfiebern und die Daumen drücken. Hat leider nichts gebracht.

Wir haben kurz um nun ein Bashskript geschrieben, dass nachts für x Minuten die Split DNS Konfiguration aufhebt, die Let's Encrypt Anfragen abarbeitet und anschließend die Konfiguration für die betroffenen Domains wieder aktiviert. Das Arbeitsleben ist kurz und es warten noch andere Probleme auf mich - leider. :roll:
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Let's Encrypt funktioniert bei Split-DNS nicht

Post by OlliTheDarkness »

Blackmoon wrote: Fri 31. Jul 2020, 22:00 ...
Über die Entwickler Konsole konnte man den Requests "live" mitfiebern und die Daumen drücken. Hat leider nichts gebracht.
...
Tja , hättest bescheid gesagt hier im Forum hätten wir alle die Daumen gedrück.
Dann hätte es geklappt :P
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
Locked