Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Nginx Proxy Manager - Erneuerung von Let's encrypt Zertifikaten (auf einmal) nicht mehr ....

Featured Replies

Hallo ihr Schlauen 🙂 ,

 

nachdem das Erneuern von Letsencrypt Zertifikaten eine ganze Weile nach dem Neuausetzten des Containers:

 

grafik.png.feab577ec9a2d677e76ff8d93199c346.png

 

wieder funktioniert hatte, ist dem nun (aus meiner Perspektive) auf einmal nicht mehr der Fall:

 

grafik.thumb.png.7be0c6e3ba7144f252170bed275b5dfe.png

 

Was ich (ebenfalls) nicht Verstehe:

 

Das betrifft alle von mir derzeit (zu einem früheren Zeitpunkt)  angelegten Proxy Hosts mit deren jeweiligen SSL Zertifikaten. Das Neuanlegen eine Proxy Host einschließlich SSL Zertifikat und das anschließende (testweise) sofortige Erneuern eines solchen frischen Zertifikates klappt einwandfrei.

 

Insonfern wäre es vermutlich ein Workaraound alle aktuell angelegten Proxy Hosts und deren Zertifikate zu Löschen und dafür entsprechend neue Proxy Hosts samt Letsencrypt Zertifikaten zu erstellen. Auch das komplette Neuanlegen des Nginx Containers wird vermutlich helfen.

 

Nichtsdestotrotz versuche ich das aktuelle Verhalten zu verstehen und meine Lehren für die Zunkunft zu ziehen. Aber zu sagen dass das alles unfassbar nevt ist eine Untertreibung ;-) .....

 

Für eure Unterstützung habt vielen Dank !

 

Viele Grüße

Stefan

 

 

2 hours ago, stkraus70 said:

Nichtsdestotrotz versuche ich das aktuelle Verhalten zu verstehen und meine Lehren für die Zunkunft zu ziehen. Aber zu sagen dass das alles unfassbar nevt ist eine Untertreibung ;-) .....

 

Für eure Unterstützung habt vielen Dank !

 

ich meine dazu gibt es bereits Kommentare im passenden Thread (englischer Teil) ... vielleicht dort mit anschließen.

  • Community Expert

also eigentlich steht der Grund ja da im Klartext: DEINE SEITE IST "von aussen" unter dem angegebenen Namen nicht erreichbar.

 

Da Du den relevanten Namen leider "ausgeblaut" hast, kann niemand nachgucken, ob, und warum eventuell das nicht geht.

 

Also guck selber nach ob die DynDNS Einträge bei DuckDNS aktuelle Werte enthalten und ob Dein Router die Portweiterleitung ordnungsgemäss durchführt.

 

 

  • Author
On 11/23/2024 at 3:22 PM, MAM59 said:

also eigentlich steht der Grund ja da im Klartext: DEINE SEITE IST "von aussen" unter dem angegebenen Namen nicht erreichbar.

 

Da Du den relevanten Namen leider "ausgeblaut" hast, kann niemand nachgucken, ob, und warum eventuell das nicht geht.

 

Also guck selber nach ob die DynDNS Einträge bei DuckDNS aktuelle Werte enthalten und ob Dein Router die Portweiterleitung ordnungsgemäss durchführt.

 

 

Es handelt eich konkret um die folgenden Adressen:

 

nc.famkraus03.duckdns.org

pl.famkraus03.duckdns.org

vw.famkraus03.duckdns.org

wd..famkraus03.duckdns.org

 

Bei keinem dieser 4 Adressen funktioniert derzeit die Erneuerung der zugehörigen SSL Zertifikate-

 

Nichtsdestotrotz sind die zugehörigen Tests zur Servererreichbarkeit allesamt erfolgreich. Zum Beispiel:

 

grafik.png.81c6d2520c61799430b956f83378757d.png

 

In dem Zusammenhang noch der Hinweis das ich aktuell all diese 4 Dienste, welche sich hinter den Adressen befinden "von außen" verwende.

Insofern passt alles mit der Portweiterleitung und dem DuckDNS.  Ebenfalls noch einmal der kurze Hinweis das SSL Zertifikate die neu erstellt werden

auch (testweise) direkt erneuter werden können. Nur bei diesen 4, die seit einigen Monaten in Betrieb sind, da funktioniert es auf einmal nicht mehr.

 

Viele Grüße

Stefan

  • Community Expert
C:\Users\mam>nslookup pl.famkraus03.duckdns.org
Server:  pi.hole
Address:  192.168.0.9

Nicht autorisierende Antwort:
Name:    pl.famkraus03.duckdns.org
Addresses:  2003:f3:77ff:3acb:cece:1eff:feaf:6c77
          91.44.147.218


C:\Users\mam>ping 91.44.147.218

Ping wird ausgeführt für 91.44.147.218 mit 32 Bytes Daten:
Antwort von 91.44.147.218: Bytes=32 Zeit=33ms TTL=57
Antwort von 91.44.147.218: Bytes=32 Zeit=32ms TTL=57

 

Bei V6 ist wohl kein Ping erlaubt... etwas paranoid...

 

Du solltest mal Deinen V6 Firewall überprüfen ob die hier angezeigte Adresse auch die der Portweiterleitungen ist. Router wie Fritzboxen haben da manchmal ihre eigenen Phantasievorstellungen, die nichts mit der Realität zu tun haben müssen.

 

Bei "nc" fehlt die V4 Adresse

 

Bei "WD" kommt man nur auf den NPM ("congratulations!"), da fehlt der Proxy Host nebst Weiterleitung.

Die anderen beiden funktionieren.

 

Update: ich krieg dochwas von "NC...", allerdings nur 502 Bad Gateway von Openresty. Das heißt, beim NPM ist die Weiterleitung fehlerhaft, oder der hinterlegte Host ist nicht erreichbar.

 

Theoretisch sollten die Zerts (bis auf WD) also erneuerbar sein, aber ich würde dann doch erstmal die Erreichbarkeiten korrigieren.

 

Edited by MAM59

  • Author
12 hours ago, MAM59 said:
C:\Users\mam>nslookup pl.famkraus03.duckdns.org
Server:  pi.hole
Address:  192.168.0.9

Nicht autorisierende Antwort:
Name:    pl.famkraus03.duckdns.org
Addresses:  2003:f3:77ff:3acb:cece:1eff:feaf:6c77
          91.44.147.218


C:\Users\mam>ping 91.44.147.218

Ping wird ausgeführt für 91.44.147.218 mit 32 Bytes Daten:
Antwort von 91.44.147.218: Bytes=32 Zeit=33ms TTL=57
Antwort von 91.44.147.218: Bytes=32 Zeit=32ms TTL=57

 

Bei V6 ist wohl kein Ping erlaubt... etwas paranoid...

 

Du solltest mal Deinen V6 Firewall überprüfen ob die hier angezeigte Adresse auch die der Portweiterleitungen ist. Router wie Fritzboxen haben da manchmal ihre eigenen Phantasievorstellungen, die nichts mit der Realität zu tun haben müssen.

 

Bei "nc" fehlt die V4 Adresse

 

Bei "WD" kommt man nur auf den NPM ("congratulations!"), da fehlt der Proxy Host nebst Weiterleitung.

Die anderen beiden funktionieren.

 

Update: ich krieg dochwas von "NC...", allerdings nur 502 Bad Gateway von Openresty. Das heißt, beim NPM ist die Weiterleitung fehlerhaft, oder der hinterlegte Host ist nicht erreichbar.

 

Theoretisch sollten die Zerts (bis auf WD) also erneuerbar sein, aber ich würde dann doch erstmal die Erreichbarkeiten korrigieren.

 

Hallo und Guten Morgen,

 

hab' vielen Dank für Dein ausführliches Feedback 🙂 !! ---- Aaaallsooo ...:

 

1.) Aktuell habe ich bei meinem UNRAID Server das IP V6 Protokoll de-aktiviert, eine IP V6 Weiterleitung ist ebenfalls nicht angelegt, weil ich davon ausgegangen bin,

    dass das für den Betrieb eines Proxy Hosts einschließlichlich eines Letsencyrpts nicht unbedingt notwendig ist. Du scheinst das anscheinend anders zu sehen 🙂 ?!

    Für den Fall das ich mit meiner Annahme richtig liege möchte würde ich Dich um Unterstützung bitten wie man eine IP V6 Weiterleitung ab der Fritz!Box anlegt. In meinem Unrauidf

 

2.) nc.famkraus03.duckdns.org konnte nicht funktionieren, tatsächlich war der Service dahiner nicht aktiviert, was ich ehrlicherweise vergessen hatte ;-) .. ist mittlerweile wieder 
    am Laufen - IP V4 Ping sollte funktionieren

 

3.) Bei dem wd.famkraus03.duckdns.org handelt es sich um einen Webdav Server der über einen entsprechenden Client angesprochen werden kann und nicht per WebBrowser

 

 

  • Author
Just now, stkraus70 said:

Hallo und Guten Morgen,

 

hab' vielen Dank für Dein ausführliches Feedback 🙂 !! ---- Aaaallsooo ...:

 

1.) Aktuell habe ich bei meinem UNRAID Server das IP V6 Protokoll de-aktiviert, eine IP V6 Weiterleitung ist ebenfalls nicht angelegt, weil ich davon ausgegangen bin,

    dass das für den Betrieb eines Proxy Hosts einschließlichlich eines Letsencyrpts nicht unbedingt notwendig ist. Du scheinst das anscheinend anders zu sehen 🙂 ?!

    Für den Fall das ich mit meiner Annahme richtig liege möchte würde ich Dich um Unterstützung bitten wie man eine IP V6 Weiterleitung ab der Fritz!Box anlegt. In meinem Unrauidf

 

2.) nc.famkraus03.duckdns.org konnte nicht funktionieren, tatsächlich war der Service dahiner nicht aktiviert, was ich ehrlicherweise vergessen hatte ;-) .. ist mittlerweile wieder 
    am Laufen - IP V4 Ping sollte funktionieren

 

3.) Bei dem wd.famkraus03.duckdns.org handelt es sich um einen Webdav Server der über einen entsprechenden Client angesprochen werden kann und nicht per WebBrowser

 

 

Verd.. bei meinem letzten Post bin ich versehentlich auf "Senden" gekommen ... was ich bei 1.) noch vor hatte zu schreien:

 

1.) Aktuell habe ich bei meinem UNRAID Server das IP V6 Protokoll de-aktiviert, eine IP V6 Weiterleitung ist ebenfalls nicht angelegt, weil ich davon ausgegangen bin,

    dass das für den Betrieb eines Proxy Hosts einschließlichlich eines Letsencyrpts nicht unbedingt notwendig ist. Du scheinst das anscheinend anders zu sehen 🙂 ?!

    Für den Fall das ich mit meiner Annahme richtig liege möchte würde ich Dich um Unterstützung bitten wie man eine IP V6 Weiterleitung ab der Fritz!Box anlegt. In meinem Unrauid
    habe ich das IP V6 in der Zwischenzeit (re-)aktiviert. Ich hoffe, dass das soweit passt:

 

   grafik.thumb.png.c9325f3395ee08aea94518e00ec9fc9a.png

 

 

 

 

 

  • Community Expert
5 minutes ago, stkraus70 said:

Aktuell habe ich bei meinem UNRAID Server das IP V6 Protokoll de-aktiviert

Das ist eine recht dumme Idee, weil Du ja die V6 Adresse im DynDNS ankündigst, also jeder glaubt, Du wärst so erreichbar.

Also, entweder V6 an, oder Adresse weg. Entscheide Dich!

 

Update: meine Antwort war schneller 😁

Edited by MAM59

  • Author

Dann lieber IP V6 aus . nach meiner bisherigen Wahrnehmung ist der Betrieb von IP V6 für den Betrieb eines Proxy Host nicht zwingend erforderlich .. ich kenne mich damit bis Dato nicht wirkich aus, alleine aus dem Grund würde ich das Theme gerne "außenvor" lassen ...

  • Community Expert

ist egal, kein V6 spart stress mit der doofen FB. Aber dann auch bitte die Adresse im DNS überall löschen, sonst kriegen die Leute die Idee, da könnte was gehen.

 

Und genau auf diese Idee wird wohl auch LetsEncrypt gekommen sein. V6 hat Vorfahrt gemäss RFCs (es gibt auch Provider, die sich nicht daran halten, aber das ist die Ausnahme). Also versucht er per V6 reinzukommen und scheitert kläglich. Normale Browser schalten dann um und versuchen eine V4 Verbindung (die dann klappt). Aber bei dem LetsEncrypt Roboter bin ich da mir nicht sicher, er wird das wohl als Fehler werten und die Erteilung des Zertifikats ablehnen.

 

Mach Adresse weg und probier nochmal neu.

(PS: langfristig sollte aber V6 AN sein und V4 abgeschaltet werden... also nicht auf den vermeindlichen Lorbeeren ausruhen, sollte es gleich klappen)

 

  • Community Expert
6 minutes ago, stkraus70 said:

nach meiner bisherigen Wahrnehmung ist der Betrieb von IP V6 für den Betrieb eines Proxy Host nicht zwingend erforderlich

Jein.

Da musst Du Extern und Intern unterscheiden. Von extern ist V6 sehr wohl sinnvoll, intern ist es nicht erforderlich, da NPM automatisch auf V4 umsetzt.

Allerdings ist es für manche Anwendungen erforderlich, dass intern nur V6 gesprochen wird, gerade, wenn man Logfiles auswerten will (z.B. bei Nextcloud).

In den Logs taucht dann nur die V4 Adresse des Proxies auf, da eine V6 Adresse auf V4 keine Entsprechung hat.

Andersrum (extern V4, intern V6) geht es schon. Da werden dann die Adressen ::FFFF:<V4 Adresse> protokolliert.

Auch Anwendungen, die bestimmte Adressbereiche blockieren oder zulassen wollen, sind darauf angewiesen.

 

Es ist also der kleine Unterschied zwischen "geht" und "geht richtig"...

 

  • Author
2 hours ago, MAM59 said:

Jein.

Da musst Du Extern und Intern unterscheiden. Von extern ist V6 sehr wohl sinnvoll, intern ist es nicht erforderlich, da NPM automatisch auf V4 umsetzt.

Allerdings ist es für manche Anwendungen erforderlich, dass intern nur V6 gesprochen wird, gerade, wenn man Logfiles auswerten will (z.B. bei Nextcloud).

In den Logs taucht dann nur die V4 Adresse des Proxies auf, da eine V6 Adresse auf V4 keine Entsprechung hat.

Andersrum (extern V4, intern V6) geht es schon. Da werden dann die Adressen ::FFFF:<V4 Adresse> protokolliert.

Auch Anwendungen, die bestimmte Adressbereiche blockieren oder zulassen wollen, sind darauf angewiesen.

 

Es ist also der kleine Unterschied zwischen "geht" und "geht richtig"...

 

Ojeminee ... ich verstehe aktuelle leider nur teilweise von was genau Du das sprichst 😕 .. ich denke ich komme nicht darum herum mich mal mit IP V6 auseinandersetzen.. zu schauen wie genau das alles funktioniert:

 

1.) Du sagst das es extern sinnvoll ist IP V6 zu verwenden .. impliziert das in dem Fall, das man neben der üblichen IP V4 Portweiterleitung gleichzeitig eine IP V6 Weiterleitung zum jeweiligen Host / Service innerhalb vom Heimnetz einrichtet ?

 

2.) Ich habe bei dem Problem, dass das Erneuern von Letsencrypt Zertifikaten bei mir nicht funktioniert, (anscheinend) einen passenden Workaround gefunden zu haben - statt es zu Erneuern, erstelle ich stattdessen über die Einstellungen im zugehörigen Proxy Host einfach ein neues Zertifikat. Keine Ahnung weshalb, aber das funktioniert problemlos und das neue Zertifikat ist dann wieder entsprechend ausreichend lange gültig. Ich hatte diese Möglichkeit bis Dato ehrlicherweise nicht "auf dem Schirm" gehabt .. stattdessen bisher immer den kompletten Proxy Host und das dazugehörige Zertifikat gelöscht und dann noch einal "ganz von vorne" begonnen....

 

Noch eine kleine Zusatzfrage zum NPM: Wenn man den NPM einrichtet, wird die automatische Verlängerung von Zertifikaten dann eventuell von vorneherein mit konfiguriert oder ist das standardmäßig immer so dass sie nicht automatisch verlängern werden und man sich stets manuell darum kümmern muss ??

 

Vielen herzlichen Dank für Deine Unterstützung und die damit zwangsläufige Geduld mit mir und meiner offenkundigen Ahnungslosigkeit ... 🙂 !!!!!!!!!!!!!!!

  • Community Expert
1 hour ago, stkraus70 said:

 

1.) Du sagst das es extern sinnvoll ist IP V6 zu verwenden .. impliziert das in dem Fall, das man neben der üblichen IP V4 Portweiterleitung gleichzeitig eine IP V6 Weiterleitung zum jeweiligen Host / Service innerhalb vom Heimnetz einrichtet ?

Jein 🙂

Bei V6 gibt es kein NAT, d.h. jeder Rechner hat seine eigene Adresse. Deshalb muss hier kein Port weitergeleitet, sondern nur durchgelassen werden. Aber, die Einträge im Router dafür sind quasi dieselben.

Also: JA, Du musst die Ports dort im Firewall durchlassen.

 

1 hour ago, stkraus70 said:

Keine Ahnung weshalb, aber das funktioniert problemlos und das neue Zertifikat ist dann wieder entsprechend ausreichend lange gültig. Ich hatte diese Möglichkeit bis Dato ehrlicherweise nicht "auf dem Schirm" gehabt .. stattdessen bisher immer den kompletten Proxy Host und das dazugehörige Zertifikat gelöscht und dann noch einal "ganz von vorne" begonnen....

Hmm, es gibt keinen Unterschied zwischen "verlängern" und "neu anlegen". Ausser, es ändern sich die Rechnernamen dabei ?!?!?

Also, wenn aus "cn..." früher nun "nc..."  würde, dann kann man das alte Zertifikat nicht verlängern.

 

1 hour ago, stkraus70 said:

enn man den NPM einrichtet, wird die automatische Verlängerung von Zertifikaten dann eventuell von vorneherein mit konfiguriert oder ist das standardmäßig immer so dass sie nicht automatisch verlängern werden und man sich stets manuell darum kümmern muss ??

Jep! DAS ist der Grundgedanke von NPM, einrichten, laufen lassen, aus dem Gedächtnis verbannen. Er erledigt die Verlängerungen zuverlässig vollautomatisch.

1 hour ago, stkraus70 said:

zwangsläufige Geduld mit mir und meiner offenkundigen Ahnungslosigkeit

Null Problemo, wir alle waren mal ahnungslos. Solange man was hinzulernen will und tut, ist alles ok.

 

Ach ja, nochmal zu den Namen zurück...

Du kannst beim NPM (bzw LetsEncrypt) natürlich EIN Zertifikat mit all Deinen Namen auf einmal anlegen und für dann jeden Proxy Host (in der Liste) verwenden, das ist aber nicht so wirklich ratsam.

Gib jedem Proxy Host lieber ein eigenes Zertifikat, das hat dann ein eigenes "Haltbarkeitsdatum" und ist unabhängig von den anderen. So muss man nicht jedesmal alles neu machen, nur, weil mal wieder ein Host hinzugekommen ist...

Wi

1 hour ago, stkraus70 said:

ich denke ich komme nicht darum herum mich mal mit IP V6 auseinandersetzen.. zu schauen wie genau das alles funktioniert:

Keine schlechte Idee, auch wenn die langen Adressen abschreckend wirken, in Wirklichkeit ist es ganz einfach und viele Einschränkungen von V4 wurden beseitigt. Dementsprechend fallen auch viele "Krücken" weg. Für die meisten "Dienste" gibt es direkte Entsprechungen, Irrwege wie "Plug&Play" wurden gleich weggelassen und wirkungsvoll verhindert (DAS ärgert auch viele Leute, sie waren gewohnt, dass man rumschludern konnte, und das geht nun nicht mehr. Ist aber mehr ein Problem im Kopp der Leute.)

 

  • Author
1 hour ago, MAM59 said:

m Proxy Host lieber ein eigenes Zertifikat, das hat dann ein eigenes "Haltbarkeitsdatum"

anscheinend habe ich mich ungeschickt ausgedrückt 🙂 - ich mache es genau so wie Du es beschrieben hast .... ein Zertifikat für mehere Proxy Hosts auf einmal zu verwenden - auf die Idee bin ich bis jetzt noch gar nicht gekommen ... 😄

  • Community Expert
7 minutes ago, stkraus70 said:

anscheinend habe ich mich ungeschickt ausgedrückt 🙂

Nö, alles gut!

Du hattest Dich gar nicht ausgedrückt 🙂 

 

Ich wollte nur nochmal klarstellen, dass "eines für alles" keine gute Idee ist. Deshalb vergiss das einfach und komm da gar nicht mehr drauf :-)))

 

Ach ja, fällt mir gerade wieder ein (weil ich mich immer noch wundere, warum "neu" geht und "verlängern" nicht funktionieren soll)...

Da ist ein "Mindesthaltbarkeitsdatum" in som Zertifikat. Man kann es vor Ablauf dieser Mindestzeit nicht verlängern! Es kann also gut sein, dass Du Dir selber die Karten gelegt hast und nur zu früh zu nervös geworden bist.

Ich glaub, das sind 14 Tage oder so. Aber die Automatik wartet immer bis "4 Wochen vor Ablauf" bevor ein Renew gemacht wird.

Also: COOL BLEIBEN!!!

 

Edited by MAM59

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.