November 22, 20241 yr Hallo ihr Schlauen 🙂 , nachdem das Erneuern von Letsencrypt Zertifikaten eine ganze Weile nach dem Neuausetzten des Containers: wieder funktioniert hatte, ist dem nun (aus meiner Perspektive) auf einmal nicht mehr der Fall: Was ich (ebenfalls) nicht Verstehe: Das betrifft alle von mir derzeit (zu einem früheren Zeitpunkt) angelegten Proxy Hosts mit deren jeweiligen SSL Zertifikaten. Das Neuanlegen eine Proxy Host einschließlich SSL Zertifikat und das anschließende (testweise) sofortige Erneuern eines solchen frischen Zertifikates klappt einwandfrei. Insonfern wäre es vermutlich ein Workaraound alle aktuell angelegten Proxy Hosts und deren Zertifikate zu Löschen und dafür entsprechend neue Proxy Hosts samt Letsencrypt Zertifikaten zu erstellen. Auch das komplette Neuanlegen des Nginx Containers wird vermutlich helfen. Nichtsdestotrotz versuche ich das aktuelle Verhalten zu verstehen und meine Lehren für die Zunkunft zu ziehen. Aber zu sagen dass das alles unfassbar nevt ist eine Untertreibung ..... Für eure Unterstützung habt vielen Dank ! Viele Grüße Stefan
November 22, 20241 yr 2 hours ago, stkraus70 said: Nichtsdestotrotz versuche ich das aktuelle Verhalten zu verstehen und meine Lehren für die Zunkunft zu ziehen. Aber zu sagen dass das alles unfassbar nevt ist eine Untertreibung ..... Für eure Unterstützung habt vielen Dank ! ich meine dazu gibt es bereits Kommentare im passenden Thread (englischer Teil) ... vielleicht dort mit anschließen.
November 23, 20241 yr Community Expert also eigentlich steht der Grund ja da im Klartext: DEINE SEITE IST "von aussen" unter dem angegebenen Namen nicht erreichbar. Da Du den relevanten Namen leider "ausgeblaut" hast, kann niemand nachgucken, ob, und warum eventuell das nicht geht. Also guck selber nach ob die DynDNS Einträge bei DuckDNS aktuelle Werte enthalten und ob Dein Router die Portweiterleitung ordnungsgemäss durchführt.
November 24, 20241 yr Author On 11/23/2024 at 3:22 PM, MAM59 said: also eigentlich steht der Grund ja da im Klartext: DEINE SEITE IST "von aussen" unter dem angegebenen Namen nicht erreichbar. Da Du den relevanten Namen leider "ausgeblaut" hast, kann niemand nachgucken, ob, und warum eventuell das nicht geht. Also guck selber nach ob die DynDNS Einträge bei DuckDNS aktuelle Werte enthalten und ob Dein Router die Portweiterleitung ordnungsgemäss durchführt. Es handelt eich konkret um die folgenden Adressen: nc.famkraus03.duckdns.org pl.famkraus03.duckdns.org vw.famkraus03.duckdns.org wd..famkraus03.duckdns.org Bei keinem dieser 4 Adressen funktioniert derzeit die Erneuerung der zugehörigen SSL Zertifikate- Nichtsdestotrotz sind die zugehörigen Tests zur Servererreichbarkeit allesamt erfolgreich. Zum Beispiel: In dem Zusammenhang noch der Hinweis das ich aktuell all diese 4 Dienste, welche sich hinter den Adressen befinden "von außen" verwende. Insofern passt alles mit der Portweiterleitung und dem DuckDNS. Ebenfalls noch einmal der kurze Hinweis das SSL Zertifikate die neu erstellt werden auch (testweise) direkt erneuter werden können. Nur bei diesen 4, die seit einigen Monaten in Betrieb sind, da funktioniert es auf einmal nicht mehr. Viele Grüße Stefan
November 24, 20241 yr Community Expert C:\Users\mam>nslookup pl.famkraus03.duckdns.org Server: pi.hole Address: 192.168.0.9 Nicht autorisierende Antwort: Name: pl.famkraus03.duckdns.org Addresses: 2003:f3:77ff:3acb:cece:1eff:feaf:6c77 91.44.147.218 C:\Users\mam>ping 91.44.147.218 Ping wird ausgeführt für 91.44.147.218 mit 32 Bytes Daten: Antwort von 91.44.147.218: Bytes=32 Zeit=33ms TTL=57 Antwort von 91.44.147.218: Bytes=32 Zeit=32ms TTL=57 Bei V6 ist wohl kein Ping erlaubt... etwas paranoid... Du solltest mal Deinen V6 Firewall überprüfen ob die hier angezeigte Adresse auch die der Portweiterleitungen ist. Router wie Fritzboxen haben da manchmal ihre eigenen Phantasievorstellungen, die nichts mit der Realität zu tun haben müssen. Bei "nc" fehlt die V4 Adresse Bei "WD" kommt man nur auf den NPM ("congratulations!"), da fehlt der Proxy Host nebst Weiterleitung. Die anderen beiden funktionieren. Update: ich krieg dochwas von "NC...", allerdings nur 502 Bad Gateway von Openresty. Das heißt, beim NPM ist die Weiterleitung fehlerhaft, oder der hinterlegte Host ist nicht erreichbar. Theoretisch sollten die Zerts (bis auf WD) also erneuerbar sein, aber ich würde dann doch erstmal die Erreichbarkeiten korrigieren. Edited November 24, 20241 yr by MAM59
November 25, 20241 yr Author 12 hours ago, MAM59 said: C:\Users\mam>nslookup pl.famkraus03.duckdns.org Server: pi.hole Address: 192.168.0.9 Nicht autorisierende Antwort: Name: pl.famkraus03.duckdns.org Addresses: 2003:f3:77ff:3acb:cece:1eff:feaf:6c77 91.44.147.218 C:\Users\mam>ping 91.44.147.218 Ping wird ausgeführt für 91.44.147.218 mit 32 Bytes Daten: Antwort von 91.44.147.218: Bytes=32 Zeit=33ms TTL=57 Antwort von 91.44.147.218: Bytes=32 Zeit=32ms TTL=57 Bei V6 ist wohl kein Ping erlaubt... etwas paranoid... Du solltest mal Deinen V6 Firewall überprüfen ob die hier angezeigte Adresse auch die der Portweiterleitungen ist. Router wie Fritzboxen haben da manchmal ihre eigenen Phantasievorstellungen, die nichts mit der Realität zu tun haben müssen. Bei "nc" fehlt die V4 Adresse Bei "WD" kommt man nur auf den NPM ("congratulations!"), da fehlt der Proxy Host nebst Weiterleitung. Die anderen beiden funktionieren. Update: ich krieg dochwas von "NC...", allerdings nur 502 Bad Gateway von Openresty. Das heißt, beim NPM ist die Weiterleitung fehlerhaft, oder der hinterlegte Host ist nicht erreichbar. Theoretisch sollten die Zerts (bis auf WD) also erneuerbar sein, aber ich würde dann doch erstmal die Erreichbarkeiten korrigieren. Hallo und Guten Morgen, hab' vielen Dank für Dein ausführliches Feedback 🙂 !! ---- Aaaallsooo ...: 1.) Aktuell habe ich bei meinem UNRAID Server das IP V6 Protokoll de-aktiviert, eine IP V6 Weiterleitung ist ebenfalls nicht angelegt, weil ich davon ausgegangen bin, dass das für den Betrieb eines Proxy Hosts einschließlichlich eines Letsencyrpts nicht unbedingt notwendig ist. Du scheinst das anscheinend anders zu sehen 🙂 ?! Für den Fall das ich mit meiner Annahme richtig liege möchte würde ich Dich um Unterstützung bitten wie man eine IP V6 Weiterleitung ab der Fritz!Box anlegt. In meinem Unrauidf 2.) nc.famkraus03.duckdns.org konnte nicht funktionieren, tatsächlich war der Service dahiner nicht aktiviert, was ich ehrlicherweise vergessen hatte .. ist mittlerweile wieder am Laufen - IP V4 Ping sollte funktionieren 3.) Bei dem wd.famkraus03.duckdns.org handelt es sich um einen Webdav Server der über einen entsprechenden Client angesprochen werden kann und nicht per WebBrowser
November 25, 20241 yr Author Just now, stkraus70 said: Hallo und Guten Morgen, hab' vielen Dank für Dein ausführliches Feedback 🙂 !! ---- Aaaallsooo ...: 1.) Aktuell habe ich bei meinem UNRAID Server das IP V6 Protokoll de-aktiviert, eine IP V6 Weiterleitung ist ebenfalls nicht angelegt, weil ich davon ausgegangen bin, dass das für den Betrieb eines Proxy Hosts einschließlichlich eines Letsencyrpts nicht unbedingt notwendig ist. Du scheinst das anscheinend anders zu sehen 🙂 ?! Für den Fall das ich mit meiner Annahme richtig liege möchte würde ich Dich um Unterstützung bitten wie man eine IP V6 Weiterleitung ab der Fritz!Box anlegt. In meinem Unrauidf 2.) nc.famkraus03.duckdns.org konnte nicht funktionieren, tatsächlich war der Service dahiner nicht aktiviert, was ich ehrlicherweise vergessen hatte .. ist mittlerweile wieder am Laufen - IP V4 Ping sollte funktionieren 3.) Bei dem wd.famkraus03.duckdns.org handelt es sich um einen Webdav Server der über einen entsprechenden Client angesprochen werden kann und nicht per WebBrowser Verd.. bei meinem letzten Post bin ich versehentlich auf "Senden" gekommen ... was ich bei 1.) noch vor hatte zu schreien: 1.) Aktuell habe ich bei meinem UNRAID Server das IP V6 Protokoll de-aktiviert, eine IP V6 Weiterleitung ist ebenfalls nicht angelegt, weil ich davon ausgegangen bin, dass das für den Betrieb eines Proxy Hosts einschließlichlich eines Letsencyrpts nicht unbedingt notwendig ist. Du scheinst das anscheinend anders zu sehen 🙂 ?! Für den Fall das ich mit meiner Annahme richtig liege möchte würde ich Dich um Unterstützung bitten wie man eine IP V6 Weiterleitung ab der Fritz!Box anlegt. In meinem Unrauid habe ich das IP V6 in der Zwischenzeit (re-)aktiviert. Ich hoffe, dass das soweit passt:
November 25, 20241 yr Community Expert 5 minutes ago, stkraus70 said: Aktuell habe ich bei meinem UNRAID Server das IP V6 Protokoll de-aktiviert Das ist eine recht dumme Idee, weil Du ja die V6 Adresse im DynDNS ankündigst, also jeder glaubt, Du wärst so erreichbar. Also, entweder V6 an, oder Adresse weg. Entscheide Dich! Update: meine Antwort war schneller 😁 Edited November 25, 20241 yr by MAM59
November 25, 20241 yr Author Dann lieber IP V6 aus . nach meiner bisherigen Wahrnehmung ist der Betrieb von IP V6 für den Betrieb eines Proxy Host nicht zwingend erforderlich .. ich kenne mich damit bis Dato nicht wirkich aus, alleine aus dem Grund würde ich das Theme gerne "außenvor" lassen ...
November 25, 20241 yr Community Expert ist egal, kein V6 spart stress mit der doofen FB. Aber dann auch bitte die Adresse im DNS überall löschen, sonst kriegen die Leute die Idee, da könnte was gehen. Und genau auf diese Idee wird wohl auch LetsEncrypt gekommen sein. V6 hat Vorfahrt gemäss RFCs (es gibt auch Provider, die sich nicht daran halten, aber das ist die Ausnahme). Also versucht er per V6 reinzukommen und scheitert kläglich. Normale Browser schalten dann um und versuchen eine V4 Verbindung (die dann klappt). Aber bei dem LetsEncrypt Roboter bin ich da mir nicht sicher, er wird das wohl als Fehler werten und die Erteilung des Zertifikats ablehnen. Mach Adresse weg und probier nochmal neu. (PS: langfristig sollte aber V6 AN sein und V4 abgeschaltet werden... also nicht auf den vermeindlichen Lorbeeren ausruhen, sollte es gleich klappen)
November 25, 20241 yr Community Expert 6 minutes ago, stkraus70 said: nach meiner bisherigen Wahrnehmung ist der Betrieb von IP V6 für den Betrieb eines Proxy Host nicht zwingend erforderlich Jein. Da musst Du Extern und Intern unterscheiden. Von extern ist V6 sehr wohl sinnvoll, intern ist es nicht erforderlich, da NPM automatisch auf V4 umsetzt. Allerdings ist es für manche Anwendungen erforderlich, dass intern nur V6 gesprochen wird, gerade, wenn man Logfiles auswerten will (z.B. bei Nextcloud). In den Logs taucht dann nur die V4 Adresse des Proxies auf, da eine V6 Adresse auf V4 keine Entsprechung hat. Andersrum (extern V4, intern V6) geht es schon. Da werden dann die Adressen ::FFFF:<V4 Adresse> protokolliert. Auch Anwendungen, die bestimmte Adressbereiche blockieren oder zulassen wollen, sind darauf angewiesen. Es ist also der kleine Unterschied zwischen "geht" und "geht richtig"...
November 25, 20241 yr Author 2 hours ago, MAM59 said: Jein. Da musst Du Extern und Intern unterscheiden. Von extern ist V6 sehr wohl sinnvoll, intern ist es nicht erforderlich, da NPM automatisch auf V4 umsetzt. Allerdings ist es für manche Anwendungen erforderlich, dass intern nur V6 gesprochen wird, gerade, wenn man Logfiles auswerten will (z.B. bei Nextcloud). In den Logs taucht dann nur die V4 Adresse des Proxies auf, da eine V6 Adresse auf V4 keine Entsprechung hat. Andersrum (extern V4, intern V6) geht es schon. Da werden dann die Adressen ::FFFF:<V4 Adresse> protokolliert. Auch Anwendungen, die bestimmte Adressbereiche blockieren oder zulassen wollen, sind darauf angewiesen. Es ist also der kleine Unterschied zwischen "geht" und "geht richtig"... Ojeminee ... ich verstehe aktuelle leider nur teilweise von was genau Du das sprichst 😕 .. ich denke ich komme nicht darum herum mich mal mit IP V6 auseinandersetzen.. zu schauen wie genau das alles funktioniert: 1.) Du sagst das es extern sinnvoll ist IP V6 zu verwenden .. impliziert das in dem Fall, das man neben der üblichen IP V4 Portweiterleitung gleichzeitig eine IP V6 Weiterleitung zum jeweiligen Host / Service innerhalb vom Heimnetz einrichtet ? 2.) Ich habe bei dem Problem, dass das Erneuern von Letsencrypt Zertifikaten bei mir nicht funktioniert, (anscheinend) einen passenden Workaround gefunden zu haben - statt es zu Erneuern, erstelle ich stattdessen über die Einstellungen im zugehörigen Proxy Host einfach ein neues Zertifikat. Keine Ahnung weshalb, aber das funktioniert problemlos und das neue Zertifikat ist dann wieder entsprechend ausreichend lange gültig. Ich hatte diese Möglichkeit bis Dato ehrlicherweise nicht "auf dem Schirm" gehabt .. stattdessen bisher immer den kompletten Proxy Host und das dazugehörige Zertifikat gelöscht und dann noch einal "ganz von vorne" begonnen.... Noch eine kleine Zusatzfrage zum NPM: Wenn man den NPM einrichtet, wird die automatische Verlängerung von Zertifikaten dann eventuell von vorneherein mit konfiguriert oder ist das standardmäßig immer so dass sie nicht automatisch verlängern werden und man sich stets manuell darum kümmern muss ?? Vielen herzlichen Dank für Deine Unterstützung und die damit zwangsläufige Geduld mit mir und meiner offenkundigen Ahnungslosigkeit ... 🙂 !!!!!!!!!!!!!!!
November 25, 20241 yr Community Expert 1 hour ago, stkraus70 said: 1.) Du sagst das es extern sinnvoll ist IP V6 zu verwenden .. impliziert das in dem Fall, das man neben der üblichen IP V4 Portweiterleitung gleichzeitig eine IP V6 Weiterleitung zum jeweiligen Host / Service innerhalb vom Heimnetz einrichtet ? Jein 🙂 Bei V6 gibt es kein NAT, d.h. jeder Rechner hat seine eigene Adresse. Deshalb muss hier kein Port weitergeleitet, sondern nur durchgelassen werden. Aber, die Einträge im Router dafür sind quasi dieselben. Also: JA, Du musst die Ports dort im Firewall durchlassen. 1 hour ago, stkraus70 said: Keine Ahnung weshalb, aber das funktioniert problemlos und das neue Zertifikat ist dann wieder entsprechend ausreichend lange gültig. Ich hatte diese Möglichkeit bis Dato ehrlicherweise nicht "auf dem Schirm" gehabt .. stattdessen bisher immer den kompletten Proxy Host und das dazugehörige Zertifikat gelöscht und dann noch einal "ganz von vorne" begonnen.... Hmm, es gibt keinen Unterschied zwischen "verlängern" und "neu anlegen". Ausser, es ändern sich die Rechnernamen dabei ?!?!? Also, wenn aus "cn..." früher nun "nc..." würde, dann kann man das alte Zertifikat nicht verlängern. 1 hour ago, stkraus70 said: enn man den NPM einrichtet, wird die automatische Verlängerung von Zertifikaten dann eventuell von vorneherein mit konfiguriert oder ist das standardmäßig immer so dass sie nicht automatisch verlängern werden und man sich stets manuell darum kümmern muss ?? Jep! DAS ist der Grundgedanke von NPM, einrichten, laufen lassen, aus dem Gedächtnis verbannen. Er erledigt die Verlängerungen zuverlässig vollautomatisch. 1 hour ago, stkraus70 said: zwangsläufige Geduld mit mir und meiner offenkundigen Ahnungslosigkeit Null Problemo, wir alle waren mal ahnungslos. Solange man was hinzulernen will und tut, ist alles ok. Ach ja, nochmal zu den Namen zurück... Du kannst beim NPM (bzw LetsEncrypt) natürlich EIN Zertifikat mit all Deinen Namen auf einmal anlegen und für dann jeden Proxy Host (in der Liste) verwenden, das ist aber nicht so wirklich ratsam. Gib jedem Proxy Host lieber ein eigenes Zertifikat, das hat dann ein eigenes "Haltbarkeitsdatum" und ist unabhängig von den anderen. So muss man nicht jedesmal alles neu machen, nur, weil mal wieder ein Host hinzugekommen ist... Wi 1 hour ago, stkraus70 said: ich denke ich komme nicht darum herum mich mal mit IP V6 auseinandersetzen.. zu schauen wie genau das alles funktioniert: Keine schlechte Idee, auch wenn die langen Adressen abschreckend wirken, in Wirklichkeit ist es ganz einfach und viele Einschränkungen von V4 wurden beseitigt. Dementsprechend fallen auch viele "Krücken" weg. Für die meisten "Dienste" gibt es direkte Entsprechungen, Irrwege wie "Plug&Play" wurden gleich weggelassen und wirkungsvoll verhindert (DAS ärgert auch viele Leute, sie waren gewohnt, dass man rumschludern konnte, und das geht nun nicht mehr. Ist aber mehr ein Problem im Kopp der Leute.)
November 25, 20241 yr Author 1 hour ago, MAM59 said: m Proxy Host lieber ein eigenes Zertifikat, das hat dann ein eigenes "Haltbarkeitsdatum" anscheinend habe ich mich ungeschickt ausgedrückt 🙂 - ich mache es genau so wie Du es beschrieben hast .... ein Zertifikat für mehere Proxy Hosts auf einmal zu verwenden - auf die Idee bin ich bis jetzt noch gar nicht gekommen ... 😄
November 25, 20241 yr Community Expert 7 minutes ago, stkraus70 said: anscheinend habe ich mich ungeschickt ausgedrückt 🙂 Nö, alles gut! Du hattest Dich gar nicht ausgedrückt 🙂 Ich wollte nur nochmal klarstellen, dass "eines für alles" keine gute Idee ist. Deshalb vergiss das einfach und komm da gar nicht mehr drauf :-))) Ach ja, fällt mir gerade wieder ein (weil ich mich immer noch wundere, warum "neu" geht und "verlängern" nicht funktionieren soll)... Da ist ein "Mindesthaltbarkeitsdatum" in som Zertifikat. Man kann es vor Ablauf dieser Mindestzeit nicht verlängern! Es kann also gut sein, dass Du Dir selber die Karten gelegt hast und nur zu früh zu nervös geworden bist. Ich glaub, das sind 14 Tage oder so. Aber die Automatik wartet immer bis "4 Wochen vor Ablauf" bevor ein Renew gemacht wird. Also: COOL BLEIBEN!!! Edited November 25, 20241 yr by MAM59
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.