OPNsense Forum
International Forums => German - Deutsch => Topic started by: buerger.nobsche on April 27, 2021, 01:38:52 pm
-
Hallo zusammen,
ich versuche ein Zertifikat von Let‘s Encrypt zu bekommen, was aber nicht funktioniert. Irgendwie stehe ich wohl gerade auf dem Schlauch und hoffe hier hilfreiche Tipps zu bekommen.
Konto und Challenge Types scheinen richtig eingerichtet zu sein. Hier werden mir jedenfalls keine Fehler angezeigt.
Möchte ich das Zertifikat ausstellen oder erneuern, bekomme ich die folgende Fehlermeldung:
nobsche.myhome-server.de:Verify error:Fetching http://[meineDomain]/.well-known/acme-challenge/c6mj8GYvRQcnNwKCIsJQPjYAtwAln7v5K1COpfwsWfk: Timeout during connect (likely firewall problem)
Die Meldung deutet auf ein mögliches Problem mit der Firewall hin. Das kann vielleicht sein, da meine Firewall recht dicht ist. Allerdings wird die Verbindung ja von Innen nach Außen aufgebaut, und für alles was zu einer bestehenden Verbindung gehört, ist auch der Rückweg erlaubt.
Ich habe auch noch in keiner Anleitung (Beschreibungen im Internet oder YouTube) etwas von notwendigen Firewalleinstellungen gelesen oder gehört.
Kann es vielleicht auch ein Providerproblem sein?
Im Systemprotokoll sind folgende Einträge zu finden:
opnsense[35117] AcmeClient: using IPv4 address: 100.72.203.141
opnsense[35117] AcmeClient: using IPv4 address: 185.22.143.124
Die untere IP-Adresse ist mir nicht bekannt. Die Obere wird mir im Webinterface vom OPNsense als Adresse der WAN-Schnittstelle angezeigt. Seltsamerweise habe ich laut wieistmeineip.de die IP-Adresse 94.31.82.141. Diese wird mir auch unter "Dynamisches DNS" angezeigt.
Die IPv6-Adressen stimmen überein. Nur scheint Let‘s Encrypt nicht mit IPv6 zu arbeiten.
Mein Provider ist Deutsche-Glasfaser, welcher mit IPv6 arbeitet. Eine eigene IPv4-Adresse bekomme ich also nicht zugewiesen.
Meine OPNsense hängt direkt am Netz des Providers. Also keine anderen Netzwerkkomponenten, wie z. B. FritzBox oder so.
Vielen Dank und viele Grüße
buerger.nobsche
-
HTTP-01 erfordert eine eingehende Verbindung, die über IPv4 CGNAT nicht möglich ist. Daher die Fehlermeldung. Hat [meineDomain] denn einen AAAA-Record, der auf die OPNsense-WAN-Adresse zeigt? Dann könnte es eigentlich schon über IPv6 funktionieren.
Alternativ DNS-01 verwenden.
Grüße
Maurice
-
Danke für die Antwort Maurice.
Anscheinend habe ich tatsächlich ein IPv6-Problem.
Da der dynamische DNS-Dienst keine Fehler meldet, eine IPv6-Adresse angezeigt wird und diese auch auf meiner WAN-Schnittstelle angezeigt wird, bin ich nicht darauf gekommen, dass hier etwas nicht stimmen könnte.
IPv6 ist nur auf meiner WAN-Schnittstelle aktiviert, da ich in meinem LAN nur mit IPv4 arbeite. Seltsamerweise wird die IPv6-Adresse bei DynDNS-Diensten (ich habe es bei ddnss.de und dynv6.net versucht) nicht aktualisiert.
Bei dynv6.net habe ich daraufhin den Prefix selbst gesetzt. Dennoch kommt es bei Let's Encrypt zur selben Fehlermeldung. Das Systemprotokoll meldet bezüglich AcmeClient aber auch nur die Nutzung der IPv4-Adressen.
Grüße
buerger.nobsche
-
HTTP-01 unterstützt grundsätzlich IPv6 bzw. bevorzugt es sogar, die Implementierung im os-acme-client scheint aber kaputt zu sein: https://github.com/opnsense/plugins/issues/1967
Nimm DNS-01, ist im Zweifelsfall ohnehin die bessere Lösung. In der Wahl des (Dyn)DNS-Anbieters scheinst Du ja flexibel zu sein; desec.io sollte funktionieren.
Grüße
Maurice
-
Vermutlich hat es doch eher mit der IPv6-Adresse zu tun.
Wenn ich bei dynv6.net versuche die Adresse zu aktualisieren, erhalte ich die folgende Meldung:
Error: Network Error
Please check that you have IPv6 connectivity.
Irgendwie scheine ich nicht über die IPv6-Adresse erreichbar zu sein. Anscheinend auch nicht, wenn die Kommunikation von meinem OPNsense ausgeht. Unter Schnittstellen ist aber eindeutig die IPv6-Adresse zu lesen. Und auch in der Shell konnte ich sie auslesen.
Irgendetwas scheint in diesem Bereich nicht zu stimmen. Ich komme nur nicht darauf was hier nicht stimmt. :-\
Grüße
buerger.nobsche