Probleme mit Erzeugung von LE-Zertifikaten [GELÖST]

[goldene-zeiten]

Liebe KeyHelp-Freunde,

auf einem Server von mir bekomme ich seit einigen Tagen eine Rückmeldung, dass im Grunde genommen alle Zertifikate nicht mehr neu erstellt werden können (wegen einem Problem mit der Firewall, welches es aber wohl vorher nicht gab):

Code: Select all

Failed to aquire a Let's Encrypt certificate for superbrain.hahnefeld.it.
Verification ended with an error.
Details: 217.160.193.173: Fetching https://superbrain.hahnefeld.it/.well-known/acme-challenge/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ: Timeout during connect (likely firewall problem)
Type: urn:ietf:params:acme:error:connection
Full response: {"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:connection","detail":"217.160.193.173: Fetching https:\/\/superbrain.hahnefeld.it\/.well-known\/acme-challenge\/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ: Timeout during connect (likely firewall problem)","status":400},"url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall-v3\/332262836387\/h0JF2w","token":"EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ","validationRecord":[{"url":"http:\/\/superbrain.hahnefeld.it\/.well-known\/acme-challenge\/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ","hostname":"superbrain.hahnefeld.it","port":"80","addressesResolved":["217.160.193.173","2001:8d8:1801:5f5::1"],"addressUsed":"2001:8d8:1801:5f5::1","resolverAddrs":["A:10.1.12.89:26534","AAAA:10.1.12.81:31390"]},{"url":"http:\/\/superbrain.hahnefeld.it\/.well-known\/acme-challenge\/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ","hostname":"superbrain.hahnefeld.it","port":"80","addressesResolved":["217.160.193.173","2001:8d8:1801:5f5::1"],"addressUsed":"217.160.193.173","resolverAddrs":["A:10.1.12.89:26534","AAAA:10.1.12.81:31390"]},{"url":"https:\/\/superbrain.hahnefeld.it\/.well-known\/acme-challenge\/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ","hostname":"superbrain.hahnefeld.it","port":"443","addressesResolved":["217.160.193.173","2001:8d8:1801:5f5::1"],"addressUsed":"2001:8d8:1801:5f5::1","resolverAddrs":["A:10.1.12.87:28704","AAAA:10.1.12.86:25223"]}],"validated":"2024-03-29T23:01:14Z"}

Woran könnte das liegen?

Viele Grüße von

Hahni

[Florian]

Hallo,

funktionieren die IPv6 Adressen, auf die Domains aufgelöst werden? Häufig ist hier das Problem.

[goldene-zeiten]

Das scheint eine sehr interessante Fährte zu sein. Die IP lautet 2001:8d85f5::1 und tatsächlich kommt beim PIng:

Code: Select all

Zeitüberschreitung der Anforderung.

Ping-Statistik für 2001:8d8:1801:5f5::1:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust),

[tab-kh]

Spannend . Eventuell läufst du da in das gleiche Problem, das ich auch mit meinen Servern von Strato habe. Die kommen ja letztlich auch von 1&1 Ionos. Ist das Netzwerk statisch konfiguriert oder holt sich der Server seine IPs vom DHCP-Server wie bei Strato? Bei mir geht da in der Standardkonfiguration des Strato-Image die IPv6-Konnektivität nach der Keyhelp-Installation verloren.

[24unix]

Mein vServer bei IONOS verweigerte das Backup vor ein paar Tagen.
IPv6 war weg.
Habe keine Zeit investiert, Neustart, und gut war es …

[goldene-zeiten]

Also die IP hat sich nicht geändert. Laut Fehlermeldung soll ja die Firewall schuld sein. Nun ist die Frage, ob es die von Ionos oder die von KeyHelp ist. Und vor allem: warum ging es bisher und nun nicht mehr?

[24unix]

Also die IP hat sich nicht geändert. Laut Fehlermeldung soll ja die Firewall schuld sein. Nun ist die Frage, ob es die von Ionos oder die von KeyHelp ist. Und vor allem: warum ging es bisher und nun nicht mehr?

Fehlermeldungen sind manchmal nicht hilfreich.

Ich kann Deine IPv6 nicht pingen und weder auf 80 noch 443 reagiert sie.

Was sagt

Code: Select all

 ip a

, was

Code: Select all

netstat -luntep

?

[goldene-zeiten]

Code: Select all

root@superbrain:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:50:56:39:d5:5a brd ff:ff:ff:ff:ff:ff
    altname enp11s0
    inet 217.160.193.173/32 brd 217.160.193.173 scope global dynamic ens192
       valid_lft 26922sec preferred_lft 26922sec
    inet6 fe80::250:56ff:fe39:d55a/64 scope link
       valid_lft forever preferred_lft forever

Code: Select all

root@superbrain:~# netstat -luntep
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      0          29697      839/dovecot
tcp        0      0 127.0.0.1:10002         0.0.0.0:*               LISTEN      0          29618      860/postsrsd
tcp        0      0 127.0.0.1:10001         0.0.0.0:*               LISTEN      0          29617      860/postsrsd
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      0          29699      839/dovecot
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      0          29672      839/dovecot
tcp        0      0 217.160.193.173:53      0.0.0.0:*               LISTEN      109        30015      894/named
tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN      0          31291      1302/perl
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      109        30011      894/named
tcp        0      0 127.0.0.1:12345         0.0.0.0:*               LISTEN      117        30353      1017/opendkim
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      101        28495      675/systemd-resolve
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      0          32418      1528/master
tcp        0      0 127.0.0.1:10024         0.0.0.0:*               LISTEN      120        32768      925/amavisd-new (ma
tcp        0      0 127.0.0.1:10025         0.0.0.0:*               LISTEN      0          32523      1528/master
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      0          32412      1528/master
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      110        30773      1038/mariadbd
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          29973      886/sshd: /usr/sbin
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      0          29670      839/dovecot
tcp        0      0 0.0.0.0:587             0.0.0.0:*               LISTEN      0          32424      1528/master
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      109        30067      894/named
tcp        0      0 0.0.0.0:4190            0.0.0.0:*               LISTEN      0          29662      839/dovecot
tcp6       0      0 :::443                  :::*                    LISTEN      0          30411      1055/apache2
tcp6       0      0 :::143                  :::*                    LISTEN      0          29698      839/dovecot
tcp6       0      0 fe80::250:56ff:fe39::53 :::*                    LISTEN      109        30019      894/named
tcp6       0      0 :::993                  :::*                    LISTEN      0          29700      839/dovecot
tcp6       0      0 :::995                  :::*                    LISTEN      0          29673      839/dovecot
tcp6       0      0 :::465                  :::*                    LISTEN      0          32419      1528/master
tcp6       0      0 ::1:953                 :::*                    LISTEN      109        30068      894/named
tcp6       0      0 :::25                   :::*                    LISTEN      0          32413      1528/master
tcp6       0      0 :::21                   :::*                    LISTEN      111        484238     47778/proftpd: (acc
tcp6       0      0 :::22                   :::*                    LISTEN      0          29992      886/sshd: /usr/sbin
tcp6       0      0 :::110                  :::*                    LISTEN      0          29671      839/dovecot
tcp6       0      0 ::1:783                 :::*                    LISTEN      0          31290      1302/perl
tcp6       0      0 :::587                  :::*                    LISTEN      0          32425      1528/master
tcp6       0      0 ::1:10024               :::*                    LISTEN      120        32769      925/amavisd-new (ma
tcp6       0      0 ::1:53                  :::*                    LISTEN      109        30017      894/named
tcp6       0      0 :::4190                 :::*                    LISTEN      0          29663      839/dovecot
tcp6       0      0 :::80                   :::*                    LISTEN      0          30407      1055/apache2
udp        0      0 217.160.193.173:53      0.0.0.0:*                           109        30014      894/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           109        30010      894/named
udp        0      0 127.0.0.53:53           0.0.0.0:*                           101        28494      675/systemd-resolve
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          28379      616/dhclient
udp        0      0 0.0.0.0:52437           0.0.0.0:*                           120        222477     1562/amavisd-new (c
udp        0      0 0.0.0.0:36873           0.0.0.0:*                           120        222476     1561/amavisd-new (c
udp6       0      0 ::1:53                  :::*                                109        30016      894/named
udp6       0      0 fe80::250:56ff:fe39::53 :::*                                109        30018      894/named
udp6       0      0 fe80::250:56ff:fe39:546 :::*                                0          28595      729/dhclient

[24unix]

Du hast keine öffentliche IPv6.

inet6 fe80::250:56ff:fe39:d55a/64 scope link
ist Link Local. Vergleichbar mit 192.168.x.y.

LE vermutet einen Firewallfehler, weil eine IPv6 im DNS existiert, aber nicht erreichbar ist.

Workaround: AAAA im DNS deaktivieren. Neu testen, ich meine, LE ignoriert die TTL und fragt immer direkt nach (nagel mich nicht drauf fest, es kommt mir aber so vor).

Lösung: IPv6 ans Laufen bringen.

[goldene-zeiten]

Zunächst einmal vielen lieben Dank, dass du dich der Sache annimmst. Den Workaround würde ich weniger gern wählen. LIeber wäre mir, ich könnte den Fehler komplett beseitigen. Bei einem anderen Root-Server von Ionos klappt es ja auch - nur eben beim Server seit wenigen Tagen nicht...

[24unix]

Wann hast Du den letzten reboot gemacht?

[Jolinar]

LIeber wäre mir, ich könnte den Fehler komplett beseitigen

Dann mach das doch

Lösung: IPv6 ans Laufen bringen

Der Hinweis wurde ja schon gegeben.
Wie sieht denn deine aktuelle Netzwerkkonfiguration aus?

[goldene-zeiten]

Wann hast Du den letzten reboot gemacht?

Vor wenigen Tagen, um auszuschließen, dass es daran liegt Aber das kann ich sehr gerne machen, um zu sehen, was dann passiert.

[goldene-zeiten]

LIeber wäre mir, ich könnte den Fehler komplett beseitigen

Dann mach das doch

Lösung: IPv6 ans Laufen bringen

Der Hinweis wurde ja schon gegeben.
Wie sieht denn deine aktuelle Netzwerkkonfiguration aus?

Noch bin ich damit überfordert.

[24unix]

Wann hast Du den letzten reboot gemacht?

Vor wenigen Tagen, um auszuschließen, dass es daran liegt Aber das kann ich sehr gerne machen, um zu sehen, was dann passiert.

Ist ja schnell gemacht.

Und dann mal schauen, wie das Interface konfiguriert wird, da baut ja jeder Hoster gerne mal individuelle Lösungen.