Page 1 of 2
Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sat 30. Mar 2024, 17:34
by goldene-zeiten
Liebe KeyHelp-Freunde,
auf einem Server von mir bekomme ich seit einigen Tagen eine Rückmeldung, dass im Grunde genommen alle Zertifikate nicht mehr neu erstellt werden können (wegen einem Problem mit der Firewall, welches es aber wohl vorher nicht gab):
Code: Select all
Failed to aquire a Let's Encrypt certificate for superbrain.hahnefeld.it.
Verification ended with an error.
Details: 217.160.193.173: Fetching https://superbrain.hahnefeld.it/.well-known/acme-challenge/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ: Timeout during connect (likely firewall problem)
Type: urn:ietf:params:acme:error:connection
Full response: {"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:connection","detail":"217.160.193.173: Fetching https:\/\/superbrain.hahnefeld.it\/.well-known\/acme-challenge\/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ: Timeout during connect (likely firewall problem)","status":400},"url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall-v3\/332262836387\/h0JF2w","token":"EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ","validationRecord":[{"url":"http:\/\/superbrain.hahnefeld.it\/.well-known\/acme-challenge\/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ","hostname":"superbrain.hahnefeld.it","port":"80","addressesResolved":["217.160.193.173","2001:8d8:1801:5f5::1"],"addressUsed":"2001:8d8:1801:5f5::1","resolverAddrs":["A:10.1.12.89:26534","AAAA:10.1.12.81:31390"]},{"url":"http:\/\/superbrain.hahnefeld.it\/.well-known\/acme-challenge\/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ","hostname":"superbrain.hahnefeld.it","port":"80","addressesResolved":["217.160.193.173","2001:8d8:1801:5f5::1"],"addressUsed":"217.160.193.173","resolverAddrs":["A:10.1.12.89:26534","AAAA:10.1.12.81:31390"]},{"url":"https:\/\/superbrain.hahnefeld.it\/.well-known\/acme-challenge\/EfJztqv2p6xtqAiGxQCa4S6Di7KnnA_d414z4yMXciQ","hostname":"superbrain.hahnefeld.it","port":"443","addressesResolved":["217.160.193.173","2001:8d8:1801:5f5::1"],"addressUsed":"2001:8d8:1801:5f5::1","resolverAddrs":["A:10.1.12.87:28704","AAAA:10.1.12.86:25223"]}],"validated":"2024-03-29T23:01:14Z"}
Woran könnte das liegen?
Viele Grüße von
Hahni
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sat 30. Mar 2024, 18:22
by Florian
Hallo,
funktionieren die IPv6 Adressen, auf die Domains aufgelöst werden? Häufig ist hier das Problem.
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Mon 1. Apr 2024, 20:27
by goldene-zeiten
Das scheint eine sehr interessante Fährte zu sein. Die IP lautet 2001:8d8
5f5::1 und tatsächlich kommt beim PIng:
Code: Select all
Zeitüberschreitung der Anforderung.
Ping-Statistik für 2001:8d8:1801:5f5::1:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Mon 1. Apr 2024, 23:45
by tab-kh
Spannend
. Eventuell läufst du da in das gleiche Problem, das ich auch mit meinen Servern von Strato habe. Die kommen ja letztlich auch von 1&1 Ionos. Ist das Netzwerk statisch konfiguriert oder holt sich der Server seine IPs vom DHCP-Server wie bei Strato? Bei mir geht da in der Standardkonfiguration des Strato-Image die IPv6-Konnektivität nach der Keyhelp-Installation verloren.
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Tue 2. Apr 2024, 00:07
by 24unix
Mein vServer bei IONOS verweigerte das Backup vor ein paar Tagen.
IPv6 war weg.
Habe keine Zeit investiert, Neustart, und gut war es …
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Fri 5. Apr 2024, 14:30
by goldene-zeiten
Also die IP hat sich nicht geändert. Laut Fehlermeldung soll ja die Firewall schuld sein. Nun ist die Frage, ob es die von Ionos oder die von KeyHelp ist. Und vor allem: warum ging es bisher und nun nicht mehr?
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Fri 5. Apr 2024, 15:12
by 24unix
goldene-zeiten wrote: ↑Fri 5. Apr 2024, 14:30
Also die IP hat sich nicht geändert. Laut Fehlermeldung soll ja die Firewall schuld sein. Nun ist die Frage, ob es die von Ionos oder die von KeyHelp ist. Und vor allem: warum ging es bisher und nun nicht mehr?
Fehlermeldungen sind manchmal nicht hilfreich.
Ich kann Deine IPv6 nicht pingen und weder auf 80 noch 443 reagiert sie.
Was sagt
, was
?
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sat 6. Apr 2024, 20:32
by goldene-zeiten
Code: Select all
root@superbrain:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:50:56:39:d5:5a brd ff:ff:ff:ff:ff:ff
altname enp11s0
inet 217.160.193.173/32 brd 217.160.193.173 scope global dynamic ens192
valid_lft 26922sec preferred_lft 26922sec
inet6 fe80::250:56ff:fe39:d55a/64 scope link
valid_lft forever preferred_lft forever
Code: Select all
root@superbrain:~# netstat -luntep
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 0 29697 839/dovecot
tcp 0 0 127.0.0.1:10002 0.0.0.0:* LISTEN 0 29618 860/postsrsd
tcp 0 0 127.0.0.1:10001 0.0.0.0:* LISTEN 0 29617 860/postsrsd
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 0 29699 839/dovecot
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 0 29672 839/dovecot
tcp 0 0 217.160.193.173:53 0.0.0.0:* LISTEN 109 30015 894/named
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 0 31291 1302/perl
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 109 30011 894/named
tcp 0 0 127.0.0.1:12345 0.0.0.0:* LISTEN 117 30353 1017/opendkim
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 101 28495 675/systemd-resolve
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 0 32418 1528/master
tcp 0 0 127.0.0.1:10024 0.0.0.0:* LISTEN 120 32768 925/amavisd-new (ma
tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 0 32523 1528/master
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 32412 1528/master
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 110 30773 1038/mariadbd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 29973 886/sshd: /usr/sbin
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 29670 839/dovecot
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 0 32424 1528/master
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 109 30067 894/named
tcp 0 0 0.0.0.0:4190 0.0.0.0:* LISTEN 0 29662 839/dovecot
tcp6 0 0 :::443 :::* LISTEN 0 30411 1055/apache2
tcp6 0 0 :::143 :::* LISTEN 0 29698 839/dovecot
tcp6 0 0 fe80::250:56ff:fe39::53 :::* LISTEN 109 30019 894/named
tcp6 0 0 :::993 :::* LISTEN 0 29700 839/dovecot
tcp6 0 0 :::995 :::* LISTEN 0 29673 839/dovecot
tcp6 0 0 :::465 :::* LISTEN 0 32419 1528/master
tcp6 0 0 ::1:953 :::* LISTEN 109 30068 894/named
tcp6 0 0 :::25 :::* LISTEN 0 32413 1528/master
tcp6 0 0 :::21 :::* LISTEN 111 484238 47778/proftpd: (acc
tcp6 0 0 :::22 :::* LISTEN 0 29992 886/sshd: /usr/sbin
tcp6 0 0 :::110 :::* LISTEN 0 29671 839/dovecot
tcp6 0 0 ::1:783 :::* LISTEN 0 31290 1302/perl
tcp6 0 0 :::587 :::* LISTEN 0 32425 1528/master
tcp6 0 0 ::1:10024 :::* LISTEN 120 32769 925/amavisd-new (ma
tcp6 0 0 ::1:53 :::* LISTEN 109 30017 894/named
tcp6 0 0 :::4190 :::* LISTEN 0 29663 839/dovecot
tcp6 0 0 :::80 :::* LISTEN 0 30407 1055/apache2
udp 0 0 217.160.193.173:53 0.0.0.0:* 109 30014 894/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 109 30010 894/named
udp 0 0 127.0.0.53:53 0.0.0.0:* 101 28494 675/systemd-resolve
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 28379 616/dhclient
udp 0 0 0.0.0.0:52437 0.0.0.0:* 120 222477 1562/amavisd-new (c
udp 0 0 0.0.0.0:36873 0.0.0.0:* 120 222476 1561/amavisd-new (c
udp6 0 0 ::1:53 :::* 109 30016 894/named
udp6 0 0 fe80::250:56ff:fe39::53 :::* 109 30018 894/named
udp6 0 0 fe80::250:56ff:fe39:546 :::* 0 28595 729/dhclient
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sat 6. Apr 2024, 20:38
by 24unix
Du hast keine öffentliche IPv6.
inet6 fe80::250:56ff:fe39:d55a/64 scope link
ist Link Local. Vergleichbar mit 192.168.x.y.
LE vermutet einen Firewallfehler, weil eine IPv6 im DNS existiert, aber nicht erreichbar ist.
Workaround: AAAA im DNS deaktivieren. Neu testen, ich meine, LE ignoriert die TTL und fragt immer direkt nach (nagel mich nicht drauf fest, es kommt mir aber so vor).
Lösung: IPv6 ans Laufen bringen.
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sat 6. Apr 2024, 20:52
by goldene-zeiten
Zunächst einmal vielen lieben Dank, dass du dich der Sache annimmst. Den Workaround würde ich weniger gern wählen. LIeber wäre mir, ich könnte den Fehler komplett beseitigen. Bei einem anderen Root-Server von Ionos klappt es ja auch - nur eben beim Server seit wenigen Tagen nicht...
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sat 6. Apr 2024, 20:54
by 24unix
Wann hast Du den letzten reboot gemacht?
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sat 6. Apr 2024, 20:55
by Jolinar
goldene-zeiten wrote: ↑Sat 6. Apr 2024, 20:52
LIeber wäre mir, ich könnte den Fehler komplett beseitigen
Dann mach das doch
24unix wrote: ↑Sat 6. Apr 2024, 20:38
Lösung: IPv6 ans Laufen bringen
Der Hinweis wurde ja schon gegeben.
Wie sieht denn deine aktuelle Netzwerkkonfiguration aus?
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sat 6. Apr 2024, 22:32
by goldene-zeiten
24unix wrote: ↑Sat 6. Apr 2024, 20:54
Wann hast Du den letzten reboot gemacht?
Vor wenigen Tagen, um auszuschließen, dass es daran liegt Aber das kann ich sehr gerne machen, um zu sehen, was dann passiert.
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sat 6. Apr 2024, 22:33
by goldene-zeiten
Jolinar wrote: ↑Sat 6. Apr 2024, 20:55
goldene-zeiten wrote: ↑Sat 6. Apr 2024, 20:52
LIeber wäre mir, ich könnte den Fehler komplett beseitigen
Dann mach das doch
24unix wrote: ↑Sat 6. Apr 2024, 20:38
Lösung: IPv6 ans Laufen bringen
Der Hinweis wurde ja schon gegeben.
Wie sieht denn deine aktuelle Netzwerkkonfiguration aus?
Noch bin ich damit überfordert.
Re: Probleme mit Erzeugung von LE-Zertifikaten
Posted: Sun 7. Apr 2024, 10:42
by 24unix
goldene-zeiten wrote: ↑Sat 6. Apr 2024, 22:32
24unix wrote: ↑Sat 6. Apr 2024, 20:54
Wann hast Du den letzten reboot gemacht?
Vor wenigen Tagen, um auszuschließen, dass es daran liegt Aber das kann ich sehr gerne machen, um zu sehen, was dann passiert.
Ist ja schnell gemacht.
Und dann mal schauen, wie das Interface konfiguriert wird, da baut ja jeder Hoster gerne mal individuelle Lösungen.
5f5::1 und tatsächlich kommt beim PIng: