pille Posted September 21, 2023 Share Posted September 21, 2023 (edited) Nabend zusammen, wie der Titel bereits vermuten lässt habe ich ein Problem beim erstellen der Zertifikate für Vaultwarden. Ich bin zunächst nach der Anleitung hier vorgegangen https://knilixun.wordpress.com/bitwarden-2/ Explizit ist es bei mir nun so: ich habe vom Provider eine öffentliche IPv4 Adresse meine DuckDNS Domain verweist auf diese öffentliche IP Duck DNS läuft als Docker mit Network Type : Bridge Subdomain ist ohne duckdns.org eingetragen und Token ebenfalls kopiert und eingefügt Vaultwarden läuft via Network: br0 mit fester IP NPM läuft via Network: br0 ebenfalls mit fester IP Für die NPM Adresse ist im Router Portforwarding für 80 und 443 aktiviert mit curl ifconfig.io erhalte ich als Ausgabe meine öffentliche IPv4 Adresse ebenfalls erhalte ich beim Befehl curl -sS http://IP_VOM_VAULTWARDEN_CONTAINER:80/ >/dev/null && echo "Container is reachable" die Ausgabe "Container is reachable" Im NPM selbst wollte ich dann den Host über Proxy Host hinzufügen (siehe angehängte Bilder) log vom NPM sagt folgendes: Quote [9/21/2023] [8:13:34 PM] [Nginx ] › ⬤ debug Deleting file: /data/nginx/proxy_host/9.conf [9/21/2023] [8:13:34 PM] [Nginx ] › ⬤ debug Could not delete file: { "errno": -2, "syscall": "unlink", "code": "ENOENT", "path": "/data/nginx/proxy_host/9.conf" } [9/21/2023] [8:13:34 PM] [Nginx ] › ⬤ debug Deleting file: /data/nginx/proxy_host/9.conf.err [9/21/2023] [8:13:34 PM] [Nginx ] › ⬤ debug Could not delete file: { "errno": -2, "syscall": "unlink", "code": "ENOENT", "path": "/data/nginx/proxy_host/9.conf.err" } [9/21/2023] [8:13:34 PM] [Nginx ] › ℹ info Reloading Nginx [9/21/2023] [8:13:39 PM] [SSL ] › ℹ info Requesting Let'sEncrypt certificates for Cert #19: meinedomainvonduckdns.duckdns.org [9/21/2023] [8:13:39 PM] [SSL ] › ℹ info Command: certbot certonly --config "/etc/letsencrypt.ini" --work-dir "/tmp/letsencrypt-lib" --logs-dir "/tmp/letsencrypt-log" --cert-name "npm-19" --agree-tos --authenticator webroot --email "[email protected]" --preferred-challenges "dns,http" --domains "meinedomainvonduckdns.duckdns.org" [9/21/2023] [8:13:42 PM] [Nginx ] › ⬤ debug Deleting file: /data/nginx/temp/letsencrypt_19.conf [9/21/2023] [8:13:42 PM] [Nginx ] › ℹ info Reloading Nginx [9/21/2023] [8:13:42 PM] [Express ] › ⚠ warning Command failed: certbot certonly --config "/etc/letsencrypt.ini" --work-dir "/tmp/letsencrypt-lib" --logs-dir "/tmp/letsencrypt-log" --cert-name "npm-19" --agree-tos --authenticator webroot --email "[email protected]" --preferred-challenges "dns,http" --domains "meinedomainvonduckdns.duckdns.org" Saving debug log to /tmp/letsencrypt-log/letsencrypt.log Some challenges have failed. Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /tmp/letsencrypt-log/letsencrypt.log or re-run Certbot with -v for more details. Hat jemand eine Idee, woran es liegen könnte? Beste Grüße Edited September 21, 2023 by pille Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 (edited) Die Logdatei innerhalb des Container von "/tmp/letsencrypt-log/letsencrypt.log" wäre schon ganz nützlich zu haben um herauszufinden wo das Problem liegt. Was eventuell interessant zu wissen wäre ist welcher NPM Container das ist. Edit: So nebenbei, sicher das der TCP Port 433 freigegeben & weitergeleitet wurde? Müsste 443 sein. Edited September 21, 2023 by Mainfrezzer Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 1 hour ago, Mainfrezzer said: Die Logdatei innerhalb des Container von "/tmp/letsencrypt-log/letsencrypt.log" wäre schon ganz nützlich zu haben um herauszufinden wo das Problem liegt. Was eventuell interessant zu wissen wäre ist welcher NPM Container das ist. Edit: So nebenbei, sicher das der TCP Port 433 freigegeben & weitergeleitet wurde? Müsste 443 sein. wenn du mir sagst, wie ich die Logdatei irgendwie sichern kann, um diese hier hochzuladen kann ich das gerne machen. Ich weiß nur leider nicht, wie ich an die Datei, die in dem Container ist von außerhalb dran kommen. Sorry, Tippfehler Meinerseits. Ist natürlich 443. Handelt sich um den NPM Container von mgutt Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 Einfachste ist im Container folgendes auszuführen cp /tmp/letsencrypt-log/letsencrypt.log /data/ Dann liegt die Datei in "/mnt/user/appdata/Nginx-Proxy-Manager-Official/data" Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 Just now, Mainfrezzer said: Einfachste ist im Container folgendes auszuführen cp /tmp/letsencrypt-log/letsencrypt.log /data/ Dann liegt die Datei in "/mnt/user/appdata/Nginx-Proxy-Manager-Official/data" Danke. Habs grad schon bisschen komplizierter hinbekommen Aber gut zu wissen für das nächste Mal. Muss ich aus den Logs irgendwas rausschmeißen/kürzen, was hier nicht unbedingt öffentlich einsehbar sein sollte? Hatte jetzt meine Mail und die entsprechende Domain von DuckDNS geändert? Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 Ich die öffentliche IP steht drin, auf jeden Fall steht da der Domainname. Vielleicht auch die Email. Da drüber zu gucken vorher würde ich auf jeden fall machen. Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 3 minutes ago, Mainfrezzer said: Ich die öffentliche IP steht drin, auf jeden Fall steht da der Domainname. Vielleicht auch die Email. Da drüber zu gucken vorher würde ich auf jeden fall machen. Ja genau. Öffentliche IP, Domainname und Mail hätte ich jetzt gefunden und ersetzt. Dann kann ich das ruhig dann hier posten? Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 Ja, von mir aus^^ Der wichtige Abschnitt ist eh nur die Fehlermeldung die beginnt mit "Certbot failed to authenticate some domains" und halt die 3-5 Zeilen die folgen mit dem Grund. Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 2 minutes ago, Mainfrezzer said: Ja, von mir aus^^ Der wichtige Abschnitt ist eh nur die Fehlermeldung die beginnt mit "Certbot failed to authenticate some domains" und halt die 3-5 Zeilen die folgen mit dem Grund. Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems: Domain: meine_duck_dns_domain.duckdns.de Type: connection Detail: meine_öffentlich_IPv4: Fetching http://meine_duck_dns_domain.duckdns.de/.well-known/acme-challenge/xi4GquFnHuBw79P6mFg_WfS7rSXyEeQKn8NZeIFDFZg: Timeout during connect (likely firewall problem) Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet. Dann mach ich das erst mal so. Wenn du mehr brauchst sag Bescheid. Die Firewall Meldung ist mir bei Durchsuchen vom Logfile auch schon ins Auge gesprungen. Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 (edited) Funktioniert das aufrufen der Website über die Duckdns-Adresse denn via Telefon übers mobile Internet? Also stink normales http Edit. ggf die öffentliche IP Adresse. Da sollte ne NGINX Standard "Glückwunsch" Seite auftauchen. Edited September 21, 2023 by Mainfrezzer Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 (edited) Also wenn ich einfach die bei DuckDNS angegebene Domain in mein Handy eingebe passiert auch nichts. Ping vom Rechner löst auf meine IP auf. Aus der unRaid CLI ebenfalls. Aus dem Container selbst passiert gar nichts. Google wird zum Beispiel aber aufgelöst. Edited September 21, 2023 by pille Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 15 minutes ago, Mainfrezzer said: Edit. ggf die öffentliche IP Adresse. Da sollte ne NGINX Standard "Glückwunsch" Seite auftauchen. passiert auch nichts Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 So siehts in der Fritzbox aus. IP vom NPM ist die, die ich im Container vergeben habe. Wenn ich auf editieren gehe zeigt er mir auch meine öffentlich IPv4 als Adresse im Internet an Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 (edited) Mhmmm, dual-stack Anschluss oder ds-lite? Edit: 26 minutes ago, pille said: Ping vom Rechner löst auf meine IP auf. Aus der unRaid CLI ebenfalls. Intern den Router zu pingen sagt nix^^ Das ähnelt sich etwas mit dem Telefon ein anderes Telefon intern anzurufen um zu testen ob man von außerhalb angerufen werden kann. Wo wir bei intern sind. Die interne IP von dem NPM Container erzielt die gewünschte "Glückwunschseite"? Edited September 21, 2023 by Mainfrezzer Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 (edited) 9 minutes ago, Mainfrezzer said: Mhmmm, dual-stack Anschluss oder ds-lite? Müsste Dual Stack sein, habe aber IPv6 in der FritzBox deaktiviert. Das einzige was noch speziell ist, ist das ich die Fritz Box im Bridge Mode an einem Modem betreibe. Bisher aber nie Probleme damit gehabt. 9 minutes ago, Mainfrezzer said: Wo wir bei intern sind. Die interne IP von dem NPM Container erzieht die gewünschte "Glückwunschseite"? Jo, da bekomme ich die Congratulations Seite angezeigt Edit: Habe mir mal ein Tool runtergeladen. Pingen kann ich vom Handy mit LTE sowohl meine IPv4 als auch die DuckDNS Seite. Die löst dann auf meine IP auf. Edited September 21, 2023 by pille Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 Hat das Modem ne eigebaute Firewall? Ich würde da ja jetzt drauf tippen. Der Rest sieht mir nämlich soweit richtig aus. Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 (edited) 9 minutes ago, Mainfrezzer said: Hat das Modem ne eigebaute Firewall? Ich würde da ja jetzt drauf tippen. Der Rest sieht mir nämlich soweit richtig aus. Da ich pingen kann etc. könnte es auch am DNS liegen oder? Aber dann wunder micht, wieso er nicht per IP auflöst vom Handy aus. Edit: Also im Modem selbst steht nicht viel drin. Firewall stehet auf AN. Suche gerade, wie ich die zum Test mal ausschalten kann. Da stehen aber sosnt auch keine Infos über IP drin. Das scheint alles über die FritzBox zu laufen. Edited September 21, 2023 by pille Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 Pingen hat nix mit Ports zu tun. Ein Ping läuft über ICMP, das ist was anderes als TCP. Vor allem wenn man intern auf das Gerät pingt das seine eigene Adresse kennt. Von extern wäre es interessanter aber es ist ne Fritzbox. Die akzeptiert alle ICMP ipv4 anfragen und antwortet. Die Frage ist was fungiert da als Modem?^^ Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 1 minute ago, Mainfrezzer said: Die Frage ist was fungiert da als Modem?^^ Eine Vodafone Station im Bridge Mode. Laut Vodafone Quote Wenn Du den Bridge-Mode aktivierst, wird Dein Vodafone-Router in einen reinen Modem-Modus versetzt. Das bedeutet, dass die meisten Routing-Funktionen, wie WLAN, Firewall oder Telefonie, deaktiviert sind. Seltsam aber, dass in der Oberfläche der Station hinter Firewall "AN" steht Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 Ja dann wäre es jetzt doch mal wert den TCP Port 80 und 443 von dort aus mal auf die Fritzbox zu leiten. Da kann ich leider nicht ganz behilflich sein da ich das Ding direkt postwendend zurückgeschickt habe^^ (Die Wireguard UDP Regel würde ich da auch mal direkt freigeben, das dürfte ja auch nicht funktionieren) Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 (edited) 4 minutes ago, Mainfrezzer said: Ja dann wäre es jetzt doch mal wert den TCP Port 80 und 443 von dort aus mal auf die Fritzbox zu leiten. Da kann ich leider nicht ganz behilflich sein da ich das Ding direkt postwendend zurückgeschickt habe^^ (Die Wireguard UDP Regel würde ich da auch mal direkt freigeben, das dürfte ja auch nicht funktionieren) Ich kann da nichts weiterleiten/einstellen. Der Reiter für Internet fehlt bei mir. Vermutlich wegen des Bridge Modes Die Wireguard Regel funktioniert ohne Probleme Edited September 21, 2023 by pille Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 Das erschwert das ganze dann doch schon. Von der Fritzbox bis zum NPM Container sollte alles wunderbar funktionieren. Was die Vodafon Kiste treibt, das ist das Rätsel. Immerhin ist klar das nix von außen reinkommt. Wobei mich das jetzt mit Wireguard wirklich wundern würde, wie wurde denn die Funktionalität getestet? Quote Link to comment
pille Posted September 21, 2023 Author Share Posted September 21, 2023 Just now, Mainfrezzer said: . Wobei mich das jetzt mit Wireguard wirklich wundern würde, wie wurde denn die Funktionalität getestet? Das ist die Einstellug/Vorgabe von unRaid, wenn man dort den VPN Dienst nutzt. Habe dann die Portweiterleitung entsprechend in der Fritz Box aktiviert und verbinde mich regelmäßig über den Tunnel in mein Netzwerk. Ich habe mal aus "Spaß" für den unRaid Server direkt Portweiterleitungen eingerichtet und dort bin ich direkt mit http auf die Weboberfläche gekommen Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 Ohhh! Bloß wieder zu machen. Dann bin ich ja schon mal erleichtert. Wunderlich warum der NPM Container nicht funktioniert. Ist ja nicht zufällig IPvlan ausgewählt bei den Dockereinstellungen oder doch? Quote Link to comment
Mainfrezzer Posted September 21, 2023 Share Posted September 21, 2023 (edited) oh mein Gott ich bin ein Idiot. Natürlich ist ipvlan an. Das kann mit ner Fritzbox nicht funktionieren. ARRGHHH. Ich gehe mal stark davon aus das 6.12.4 benutzt wird. In den Netzwerkeinstellungen die Brücke ausschalten, in den Dockereinstellungen macvlan auswählen (eventuell, wenn gebraucht wird, host access enabled) und dann bei Docker br0 zu eth0 wechseln, bei Wireguard einmal kurz ne 1 irgendwo eintragen, wieder löschen, dann speichern. Edited September 21, 2023 by Mainfrezzer Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.