EricM Posted September 17, 2024 Posted September 17, 2024 (edited) Liebe Leute, lange hat nun alles gut funktioniert, doch nun ist es wieder mal Zeit mich mit einem Problem zu melden welches ich nicht lösen kann. Ich nutze nun schon seit langem Swag als Reverse Proxy für die Erstellung meiner HTTPS Zertifikate. Bisher hat die automatische Erneuerung der Zertifikate durch den "certbot" immer gut funktioniert. Ich habe keine EInstellungen in meinem Router oder im Swag Docker verändert. Vor ca. zwei Wochen habe ich dann die Email erhalten, dass die Zertifikate wieder auslaufen und erneuert werden müssen, dabei habe ich mir nichts gedacht da dies sowieso der Certbot erledigen soll. Dann hat aufeinmal nichts mehr geklappt, und die Swag Logs zeigen folgenden Error: Generating new certificate Account registered. Requesting a certificate for xxx.xxx.at and 9 more domains Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems: Domain: xxx.xxx.at Type: connection Detail: 46.xxx.xxx.xxx: Fetching http://xxx.xxx.at/.well-known/acme-challenge/xxxxA0eXYJRr6d9TlBLmhVMcM2aeaYDE6biG32pyDI: Timeout during connect (likely firewall problem) Domain: xxx.xxx.at Type: connection Detail: 46.xxx.xxx.xxx: Fetching http://xxx.xxx.at/.well-known/acme-challenge/xxxxxtqEOxrBVNZ6lVzg2lc-t6xQ3AZLsu8JSHA: Timeout during connect (likely firewall problem) Domain: xxx.xxx.at Type: connection Detail: 46.xxx.xxx.xxx: Fetching http://xxx.xxx.at/.well-known/acme-challenge/xxxxxxzPeE_0FIOcCVAEU0rJKHR44hpqBz6XeMDq8: Timeout during connect (likely firewall problem) Hint: The Certificate Authority failed to download the challenge files from the temporary standalone webserver started by Certbot on port 80. Ensure that the listed domains point to this machine and that it can accept inbound connections from the internet. ERROR: Cert does not exist! Please see the validation error above. The issue may be due to incorrect dns or port forwarding settings. Please fix your settings and recreate the container Ich habe gefühlt alles probiert um das wieder hin zu bekommen, doch nichts klappt. Ich habe den Swag Docker neu installiert, den Appdata Share gelöscht, Swag komplett neu installiert und konfiguriert, usw. Habe die Ports im Router überprüft, bringt alles nichts. Durch Zufall bin ich dann darauf gekommen, dass wenn ich die proxy config files lösche oder mit .sample als unkenntlich zeichne, der Certbot die Zertifikate erstellt. Dann habe ich aber dass Problem, dass der Zugriff auf meine Domains nur mehr oder weniger sporadisch funktioniert. Mal klappts, dann wieder nicht, usw. Jetzt habe ich Swag nochmal neu aufgesetzt, und erhalte wieder denn Error von oben. Was läuft hier schief? Ping und Tracert kommen sofort auf meine WAN IP Adresse und zeigen diese auch korrekt an, d.h. DuckDNS gibt die richtige IP weiter. Wenn ich aber nach der Domain suche dann kommt im Browser immer ein Zeitüberschreitungs Error. Danke für eure Hilfe Eric homeservernas-diagnostics-20240917-2020.zip Edited September 17, 2024 by EricM Forgot something Quote
alturismo Posted September 17, 2024 Posted September 17, 2024 1 hour ago, EricM said: Danke für eure Hilfe Wenn http://IP nicht die Welcome Page zeigt ... Ist entweder der port night auf, oder hast ggf. keine öffentliche ipv4 mehr, oder swag läuft nicht. Was kommt wenn du die LAN IP testest, http://lan_ip Quote
EricM Posted September 17, 2024 Author Posted September 17, 2024 19 minutes ago, alturismo said: Was kommt wenn du die LAN IP testest, http://lan_ip Welche LAN IP? Quote
EricM Posted September 17, 2024 Author Posted September 17, 2024 20 minutes ago, alturismo said: keine öffentliche ipv4 mehr Öffentliche IP habe ich nachwievor, wird mir auch im Netz mit den IP Checkern angezeigt. Wenn ich die meine WAN IP Adresse im Browser eingebe, kommt auch ein Fehler, also da komme ich nicht zu meiner Routeroberfläche. Ports sind offen. Werde aber morgen mal den Router zurücksetzen, vielleicht hilft das. Quote
alturismo Posted September 17, 2024 Posted September 17, 2024 11 minutes ago, EricM said: Welche LAN IP? swag im LAN ... Quote
EricM Posted September 17, 2024 Author Posted September 17, 2024 1 hour ago, EricM said: Dann hat aufeinmal nichts mehr geklappt, und die Swag Logs zeigen folgenden Error: Hab jetzt Swag nochmals neu installiert, und zwar die neue Version. Dort habe ich nun manuell die Variable DuckDNS Token hinzugefügt (Die war nicht mehr vorhanden), und duckdns als dnsplugin gewählt. Jetzt bekomme ich ganz andere Fehler: Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems: Domain: xxx.xxx.at Type: dns Detail: DNS problem: SERVFAIL looking up A for xxx.xxx.at - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for xxx.xxx.at - the domain's nameservers may be malfunctioning Domain: xxx.xxx.at Type: dns Detail: DNS problem: SERVFAIL looking up A for xxx.xxx.at - the domain's nameservers may be malfunctioning; no valid AAAA records found for xxx.xxx.at Domain: xxx.xxx.at Type: dns Detail: During secondary validation: DNS problem: SERVFAIL looking up A for xxx.xxx.at - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for xxx.xxx.at - the domain's nameservers may be malfunctioning Hint: The Certificate Authority failed to download the challenge files from the temporary standalone webserver started by Certbot on port 80. Ensure that the listed domains point to this machine and that it can accept inbound connections from the internet. Some challenges have failed. Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details. ERROR: Cert does not exist! Please see the validation error above. The issue may be due to incorrect dns or port forwarding settings. Please fix your settings and recreate the containerCertbot failed to authenticate some domains (authenticator: standalone) Quote
EricM Posted September 17, 2024 Author Posted September 17, 2024 3 minutes ago, alturismo said: Beispiel ... Wenn ich hier zB meine IP des Servers eingebe dann komm ich auf die WebGUI, das funktioniert alles. Ebenso wenn ich die WebGUI von zB Rocketchat öffne funktioniert der Zugriff Quote
alturismo Posted September 17, 2024 Posted September 17, 2024 1 minute ago, EricM said: Wenn ich hier zB meine IP des Servers eingebe dann komm ich auf die WebGUI, das funktioniert alles. ei ei ei ... zeig mal den scrrenshot bitte Quote
EricM Posted September 18, 2024 Author Posted September 18, 2024 15 hours ago, alturismo said: zeig mal den scrrenshot bitte Bittesehr: Quote
alturismo Posted September 18, 2024 Posted September 18, 2024 (edited) 6 hours ago, EricM said: Bittesehr: ok, also startet swag nicht mal korrekt ... ansonsten käme die oben gezeigte welcome page. du leitest im Router die ports auch so weiter extern 80 > 1880 extern 443 > 18443 wenn ja, bliebe mal kurz der Test ob wirklich deine ipv4 noch geht ... leite mal extern 80 > 80 (Unraid) und rufe http://deine_domain oder http://deine_ip auf, dann solltest du ja auf die unraid GUI kommen von extern, nur um sicher zu gehen ... wenn das geht, wieder retour stellen und NICHT auf Unraid belassen. Der Fehler sagt halt aus dass die Domain nicht geht ... entweder Ports oder DNS ... daher der Cross check. Edited September 18, 2024 by alturismo typo Quote
EricM Posted September 18, 2024 Author Posted September 18, 2024 16 minutes ago, alturismo said: extern 80 > 1880 extern 443 > 18443 Ja genau. Weitere Dinge die ich probiert habe: pihole deaktiviert und ganz gelöscht, DNS Einstellungen im Router geändert, Die Ports von Swag geändert usw. Router zurückgesetzt, hat auch nichts gebracht. 16 minutes ago, alturismo said: wenn ja, bliebe mal kurz der Test ob wirklich deine ipv4 noch geht ... leite mal extern 80 > 80 (Unraid) und rufe http://deine_domain oder http://deine_ip auf, dann solltest du ja auf die unraid GUI kommen von extern, nur um sicher zu gehen ... wenn das geht, wieder retour stellen und NICHT auf Unraid belassen. Ja, wenn ich den Port 80 öffne komme ich sowohl mit der DuckDNS Domain auf die Unraid WebGUI, als auch mit allen Subdomains die auf die DuckDNS Domain zeigen (mittels CNAME). 1 Quote
alturismo Posted September 18, 2024 Posted September 18, 2024 1 minute ago, EricM said: Ja, wenn ich den Port 80 öffne komme ich sowohl mit der DuckDNS Domain auf die Unraid WebGUI, als auch mit allen Subdomains die auf die DuckDNS Domain zeigen (mittels CNAME). ok, kann man dann ausschließen. jetzt nochmals docker run <<click<< command von swag (deine domain xxxx) Quote
EricM Posted September 18, 2024 Author Posted September 18, 2024 6 minutes ago, alturismo said: jetzt nochmals Docker Run im Anhang using keys found in /config/keys Variables set: PUID=99 PGID=100 TZ=Europe/Berlin URL=xxx.at SUBDOMAINS=xxx EXTRA_DOMAINS= ONLY_SUBDOMAINS=true VALIDATION=http CERTPROVIDER= DNSPLUGIN=duckdns [email protected] STAGING=false Using Let's Encrypt as the cert provider SUBDOMAINS entered, processing Sub-domains processed are: xxx.at E-mail address entered: [email protected] http validation is selected Generating new certificate Requesting a certificate for nextcloud.xxx.at and 9 more domains ERROR: Cert does not exist! Please see the validation error above. The issue may be due to incorrect dns or port forwarding settings. Please fix your settings and recreate the container 16 minutes ago, alturismo said: command von swag (deine domain xxxx) Was meinst du damit? Quote
alturismo Posted September 18, 2024 Posted September 18, 2024 8 minutes ago, EricM said: Was meinst du damit? alles gut, deien domain "schwärzen", hast ja gemacht ... 11 minutes ago, EricM said: Docker Run im Anhang du hast validation als http definiert, aber dns plugin duckdns ... was validation dns entsprechen würde. teste mal noch folgende 2 Szenarien, validation auf DNS setzen oder DNS-PLUGIN entfernen Quote
EricM Posted September 18, 2024 Author Posted September 18, 2024 45 minutes ago, alturismo said: validation auf DNS VALIDATION=dns CERTPROVIDER= DNSPLUGIN=duckdns [email protected] STAGING=false the resulting certificate will only cover the main domain due to a limitation of duckdns, ie. subdomain.duckdns.org Different validation parameters entered than what was used before. Revoking and deleting existing certificate, and an updated one will be created Using Let's Encrypt as the cert provider E-mail address entered: [email protected] dns validation via duckdns plugin is selected Generating new certificate Account registered. Requesting a certificate for xxx.at ERROR: Cert does not exist! Please see the validation error above. Make sure you entered correct credentials into the /config/dns-conf/duckdns.ini file. 48 minutes ago, alturismo said: DNS-PLUGIN entfernen Requesting a certificate for xxx.at and 9 more domains Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems: Domain: xxx.at Type: dns Detail: During secondary validation: DNS problem: SERVFAIL looking up A for xxx.at - the domain's nameservers may be malfunctioning; no valid AAAA records found for xxx.at Domain: xxx.at Type: dns Detail: During secondary validation: DNS problem: SERVFAIL looking up CAA for xxx.at - the domain's nameservers may be malfunctioning Domain: xxx.at Type: dns Detail: During secondary validation: DNS problem: SERVFAIL looking up A for xxx.at - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for xxx.at - the domain's nameservers may be malfunctioning Hint: The Certificate Authority failed to download the challenge files from the temporary standalone webserver started by Certbot on port 80. Ensure that the listed domains point to this machine and that it can accept inbound connections from the internet. Some challenges have failed. Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details. ERROR: Cert does not exist! Please see the validation error above. The issue may be due to incorrect dns or port forwarding settings. Please fix your settings and recreate the container Quote
Solution EricM Posted September 18, 2024 Author Solution Posted September 18, 2024 Ich denke ich habe es jetzt geschafft... nach hunderten Versuchen DuckDNS Token nicht als Variable hinzugefügt, sondern unter /mnt/user/appdata/swag/config/dns-conf/duckdns.ini eingetragen Validation: Http URL: xxx.at Subdomains: xxx,xxx,xxx Dns Plugin: duckdns Email: [email protected] Only Subdomains: True Staging: False 1 Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.