Lets Encrypt problem [SOLVED]

[24unix]

Hmm, aber für ns1 … ns3.24unix.net existieren IPv4 und IPv6 Einträge.

Ja ist alles richtig, ich dachte irgendwo an ein switching auf ip4 ...
Ist da noch eine externe (provider) Firewall davor?

Nein.
Medienkonverter => Fritte* => OPNSense

* FreeBSD kann kein Multithreading bei PPPOE, da kommen meine 4 Kerne mit GB nicht zurecht, also macht die Fritte TCP/IP aus dem PPPoE, etwas flapsig formuliert.

[24unix]

Code: Select all

traceroute to 2a03:7847:2252:180:5054:ff:fe6c:13d1 (2a03:7847:2252:180:5054:ff:fe6c:13d1), 30 hops max, 80 byte packets
 1  2001:1b60:1000:5::1 (2001:1b60:1000:5::1)  0.108 ms  0.100 ms  0.096 ms
 2  2001:1b60:3:35::1 (2001:1b60:3:35::1)  0.315 ms  0.435 ms  0.529 ms
 3  2001:1b60:0:1:0:1:0:1 (2001:1b60:0:1:0:1:0:1)  0.662 ms  0.775 ms  0.766 ms
 4  2001:1b60:0:14:0:1:0:1 (2001:1b60:0:14:0:1:0:1)  6.479 ms  6.592 ms  6.570 ms
 5  ipv6.de-cix.fra.de.as207790.stadtwerke-neumuenster.de (2001:7f8::3:2bae:0:1)  14.676 ms  14.778 ms  14.887 ms
 6  2a03:7840:1fc:30::1 (2a03:7840:1fc:30::1)  16.859 ms  16.534 ms  16.604 ms
 7  2a03:7847:2252:100:185:12:88:130 (2a03:7847:2252:100:185:12:88:130)  16.127 ms  18.885 ms  19.000 ms
 8  2a03:7847:2252:101:20d:b9ff:fe4c:5325 (2a03:7847:2252:101:20d:b9ff:fe4c:5325)  19.856 ms  19.970 ms  20.076 ms
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Danke, das bringt mich wohl weiter.
Hop7 müsste die Fritte sein, Hop8 OPNSense. Also Problem doch bei mir

Jetzt muss ich nur noch rausfinden, warum es bei einigen geht, bei einigen nicht.

[Ralph]

sysctl parameter könnten eventl. noch in Frage kommen ...

Code: Select all

sysctl -a

[24unix]

Icch vergleich jetzt erst mal die routen auf beiden Kisten, ich vermute sa ist was im Argen.

Gerade auf Plain Debian noch mal getstet, geht:

Code: Select all

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/phpmyadmin.lab.24unix.net-0001/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/phpmyadmin.lab.24unix.net-0001/privkey.pem
This certificate expires on 2024-09-16.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

[24unix]

Also, es ist doch die Firewall …

Und ich verstehe nicht, warum, es geht um die IP:

Code: Select all

2a03:7847:2252:180:5054:ff:fe6c:13d1

Code: Select all

[18-Jun-2024 18:05:30] ERROR | Apache: a Let's Encrypt error occurred: Verification ended with an error.
Details: 2a03:7847:2252:180:5054:ff:fe6c:13d1: Fetching http://dev.tierschnack.de/.well-known/acme-challenge/gKZV7OIuporzog2JYhgOH_HHRWKnc9Xj8fCbZ3_OymI: Timeout during connect (likely firewall problem)
Type: urn:ietf:params:acme:error:connection
Full response: {"type":"http-01","url":"https:\/\/acme-staging-v02.api.letsencrypt.org\/acme\/chall-v3\/12814037383\/HI-KHw","status":"invalid","validated":"2024-06-18T16:05:17Z","error":{"type":"urn:ietf:params:acme:error:connection","detail":"2a03:7847:2252:180:5054:ff:fe6c:13d1: Fetching http:\/\/dev.tierschnack.de\/.well-known\/acme-challenge\/gKZV7OIuporzog2JYhgOH_HHRWKnc9Xj8fCbZ3_OymI: Timeout during connect (likely firewall problem)","status":400},"token":"gKZV7OIuporzog2JYhgOH_HHRWKnc9Xj8fCbZ3_OymI","validationRecord":[{"url":"http:\/\/dev.tierschnack.de\/.well-known\/acme-challenge\/gKZV7OIuporzog2JYhgOH_HHRWKnc9Xj8fCbZ3_OymI","hostname":"dev.tierschnack.de","port":"80","addressesResolved":["2a03:7847:2252:180:5054:ff:fe6c:13d1"],"addressUsed":"2a03:7847:2252:180:5054:ff:fe6c:13d1"}]}
[18-Jun-2024 18:05:32] INFO | SNI configuration updated

Meine Aliase:

Die relevanten rules:

Port 80:

State violation.

Aber warum?

Auf der Kiste geht es:

Code: Select all

❯ ip -6 route
2a03:7847:2252:180::/64 dev enp0s1 proto kernel metric 256 pref medium
2a03:7847:2252:180::/64 dev enp0s1 proto ra metric 512 expires 86034sec mtu 1500 hoplimit 64 pref high
fd93:2021:8480:4549::/64 dev enp0s1 proto ra metric 1024 expires 1393sec pref medium
fdd1:12a7:9785::/64 proto ra metric 1024 expires 1631sec pref medium
	nexthop via fe80::180f:c1ea:e1e2:21cc dev enp0s1 weight 1
	nexthop via fe80::c4:17b0:d285:808b dev enp0s1 weight 1
	nexthop via fe80::82c:f5aa:e52:164c dev enp0s1 weight 1
fe80::/64 dev enp0s1 proto kernel metric 256 pref medium
default via fe80::20d:b9ff:fe4c:5324 dev enp0s1 proto ra metric 512 expires 1434sec mtu 1500 hoplimit 64 pref high
default via fe80::20d:b9ff:fe4c:5324 dev enp0s1 proto static metric 1024 pref medium

Auf der nicht:

Code: Select all

❯ ip -6 route
2a03:7847:2252:180::/64 dev enp0s1 proto kernel metric 256 pref medium
2a03:7847:2252:180::/64 dev enp0s1 proto ra metric 1024 expires 85999sec pref medium
fd93:2021:8480:4549::/64 dev enp0s1 proto ra metric 1024 expires 1358sec pref medium
fdd1:12a7:9785::/64 proto ra metric 1024 expires 1777sec pref medium
	nexthop via fe80::180f:c1ea:e1e2:21cc dev enp0s1 weight 1
	nexthop via fe80::c4:17b0:d285:808b dev enp0s1 weight 1
	nexthop via fe80::82c:f5aa:e52:164c dev enp0s1 weight 1
fe80::/64 dev enp0s1 proto kernel metric 256 pref medium
default via fe80::20d:b9ff:fe4c:5324 dev enp0s1 proto static metric 1024 pref medium

Übersehe ich etwas? Manchmal ist man ja betriebsblind …

[Florian]

Hallo,

und dass da bei der Regel für Port 80 IPv4 als Protokoll steht spielt keine Rolle?

[24unix]

Hallo,

und dass da bei der Regel für Port 80 IPv4 als Protokoll steht spielt keine Rolle?

Oh. Moment.

[24unix]

Hallo,

und dass da bei der Regel für Port 80 IPv4 als Protokoll steht spielt keine Rolle?

Danke, Florian, ich sag ja, betriebsblind.
Beim anderen host klappte es wohl, weil er schon gültige Certs hatte.
Anscheinend habe ich irgendwann beim Aufräumen der Regeln gepennt.

Edit: Nun ist mich auch klar, warum es für einige ging, und für einige nicht:
IPv4 war für alle offen, IPv6 nicht.
Wer kein IPv6 hat, kam nicht an Port 80.