Hallo
Ich habe Nextcloud via HAProxy mit LE am laufen. Jetzt ist das Zertifikat zum ersten mal abgelaufen und der automatische Renew hat nicht funktioniert. Das Log meint:
Verify error:Fetching https://nc.meine.domain:444/.well-known/acme-challenge/xyz123: Invalid port in redirect target. Only ports 80 and 443 are supported, not 444
Port 444 ist das Webinterface von OpnSense.
Als ich das letzten Dezember eingerichtet habe, konnte das Zertifikat auch problemlos erstellt werden.
Was könnte mein Problem sein?
lg
Zeig uns Mal deine LE config (screenshots)
Die Einrichtung habe ich 1:1 von hier übernommen: https://schulnetzkonzept.de/opnsense (https://schulnetzkonzept.de/opnsense) (Abschnitt Reverse-Proxy)
lg
Gibt es eine Möglichkeit das Zertifikat auf einem alternativen Weg zu generieren und in Opnsene zu hinterlegen?
Für das HTTP-Challenge-Response-Verfahren darf kein Redirect ausgelöst werden. /.well-known/acme-challenge muss auf Port 80 bedient werden.
Verstehe, wo aber könnte der Redirect eingestellt sein? Das einzige wo ich finde, ist die Port-Forward Regel, welche den 80er auf den IP Alias für HAProxy weiterleitet, ebenfalls auf 80.
Was ich auch nicht begreife: Ich habe das im letzten Dezember eingerichtet und seither keine Veränderung diesbezüglich gemacht. Damals konnte ich das Zertifikat mit den aktuellen Einstellungen auf Anhieb generieren.
Kann es sein, dass zwischenzeitlich mit einem Firmware Update beim LE-Plugin was geändert wurde? Zb kam mit 20.7.7 os-acme-client 2.2.
Ich komme gerade nicht weiter :'(
Diese Fehler habe ich ständig, es geht... viele Tage... Dann ohne Änderung nicht mehr.
Betrifft bei mir aber nur die Erneuerung über HA-Proxy.
Über Lets Encrypt funktioniert es, zumindest über tcp/80.
Welche Variante nutzt du?
Ist deine Sense aus dem Internet über tcp/80 erreichbar?
Quote from: lenny on March 11, 2021, 10:15:41 AM
Welche Variante nutzt du?
80 & 443 laufen bei mir über HAProxy
Quote from: lenny on March 11, 2021, 10:15:41 AM
Ist deine Sense aus dem Internet über tcp/80 erreichbar?
Beim Versuch von extern auf 80 zuzugreifen, wird auf 443 umgeleitet: HTTP Strict Transport Security (HSTS)
Welche Challange nutzt du?
HA oder Lets?
Sieht nach HA aus (siehe Screenshots)
Sind die Regeln, Backends, Frontends in der HA Config dafür auch aktiviert? Sowie der Haken im LE Plugin?
Joa den Fehler kenne ich. Funktioniert bei mir auch nur sporadisch.
Stell mal auf Lets Encrypt um, anstelle von HA Proxy... Dann wirds gehen
Quote from: lfirewall1243 on March 11, 2021, 11:25:13 AM
Sind die Regeln, Backends, Frontends in der HA Config dafür auch aktiviert? Sowie der Haken im LE Plugin?
Ja, denke schon (siehe Screenshots)
Quote from: lenny on March 11, 2021, 11:31:25 AM
Joa den Fehler kenne ich. Funktioniert bei mir auch nur sporadisch.
Stell mal auf Lets Encrypt um, anstelle von HA Proxy... Dann wirds gehen
Wo muss ich das umstellen? Habe beim Challenge Type nur noch DNS-01 zur Auswahl
Lets encrypt. challange type, dort lets encrypt anstelle ha proxy
Meinst du den Hacken "HAProxyIntegration" (siehe Screenshot)?
Quote from: lenny on March 11, 2021, 11:51:30 AM
Lets encrypt. challange type, dort lets encrypt anstelle ha proxy
Diese Auswahl finde ich nirgends
Ich habe nun unter Services / Let's Encrypt / Challenge Types den HTTP Service: auf "OPNsense Web erver (automatic port forward)" gewechselt.
Jetzt konnte ich das Zertifikat erstellen :D
@lenny: Danke für den Tipp. Wie machst du das bei dir: stellst du den Service nur für den Renew um und dann wieder zurück?
ich stell es meist zurück. Habe dir Erfahrung gemacht, dass es nach dem Renew eine unbestimmte Zeit funktioniert...bis wieder die Überprüfung fehlschlägt
Danke für deine Hilfe, werde das mal beobachten
lg