Messages

Hallo zusammen,
ich habe auf meiner Firewall den ACME Client installiert. Zum Einsatz kommt OPNsense 25.1.5_5-amd64.

Im ACME Client habe ich  heute Morgen eine neue Automation angelegt. Diese soll ein TLS Zertifikat auf eine Synology NAS hochladen. Mit den angegebenen Zugangsdaten kann ich mich an der UI des NAS problemlos anmelden.
You cannot view this attachment.


Danach habe ich unter Services: ACME Client: Certificates ein neuen Eintrag für das NAS angelegt.
You cannot view this attachment.

Anschließend habe ich manuell den Befehl "Issue or renew certificate" ausgeführt. Das Zertifikat wurde von LE erfolgreich ausgestellt und auf der Firewall auch gespeichert. Allerdings ist die verknüpfte Automation mit einem Fehler abgebrochen. Nachstehend der Eintrag aus dem Systen log des ACME Clients:

2025-04-24T09:19:47    config    AcmeClient: AcmeClient: The shell command returned exit code '1': '/usr/local/sbin/acme.sh --deploy --syslog 6 --log-level 1 --server 'letsencrypt' --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/6809e54670ad08.82728496' --certpath '/var/etc/acme-client/certs/6809e54670ad08.82728496/cert.pem' --keypath '/var/etc/acme-client/keys/6809e54670ad08.82728496/private.key' --capath '/var/etc/acme-client/certs/6809e54670ad08.82728496/chain.pem' --fullchainpath '/var/etc/acme-client/certs/6809e54670ad08.82728496/fullchain.pem' --domain 'nas01domain.de' --deploy-hook synology_dsm'

Für die Fehlersuche bin ich via SSH auf die Firewall, habe den oben genannten Befehl um die Parameter --syslog 9 --debug 3 erweitert und manuell ausgeführt. Nachstehend die Ausgabe des Befehls:

Code Select Expand

/usr/local/sbin/acme.sh --deploy --syslog 9 --debug 3 --server 'letsencrypt' --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/6809e54670ad08.82728496' --certpath '/var/etc/acme-client/certs/6809e54670ad08.82728496/cert.pem' --keypath '/var/etc/acme-client/keys/6809e54670ad08.82728496/private.key' --capath '/var/etc/acme-client/certs/6809e54670ad08.82728496/chain.pem' --fullchainpath '/var/etc/acme-client/certs/6809e54670ad08.82728496/fullchain.pem' --domain 'nas01.domain.de' --deploy-hook synology_dsm --output-insecure
[Thu Apr 24 09:27:01 CEST 2025] _is_idn_d='nas01.domain.de'
[Thu Apr 24 09:27:01 CEST 2025] _idn_temp
[Thu Apr 24 09:27:01 CEST 2025] _selectServer try snames='zerossl.com,zerossl'
[Thu Apr 24 09:27:01 CEST 2025] _selectServer try snames='letsencrypt.org,letsencrypt'
[Thu Apr 24 09:27:01 CEST 2025] _selectServer match letsencrypt
[Thu Apr 24 09:27:01 CEST 2025] Selected server: https://acme-v02.api.letsencrypt.org/directory
[Thu Apr 24 09:27:01 CEST 2025] readlink exists=0
[Thu Apr 24 09:27:01 CEST 2025] dirname exists=0
[Thu Apr 24 09:27:01 CEST 2025] Let's find the script directory.
[Thu Apr 24 09:27:01 CEST 2025] _SCRIPT_='/usr/local/sbin/acme.sh'
[Thu Apr 24 09:27:01 CEST 2025] _script='/usr/local/sbin/acme.sh'
[Thu Apr 24 09:27:01 CEST 2025] _script_home='/usr/local/sbin'
[Thu Apr 24 09:27:01 CEST 2025] Using config home: /var/etc/acme-client/home
[Thu Apr 24 09:27:01 CEST 2025] ACCOUNT_CONF_PATH='/var/etc/acme-client/home/account.conf'
[Thu Apr 24 09:27:02 CEST 2025] logger exists=0
[Thu Apr 24 09:27:02 CEST 2025] OK
[Thu Apr 24 09:27:02 CEST 2025] 2:SYS_LOG='9'
[Thu Apr 24 09:27:02 CEST 2025] LE_WORKING_DIR='/var/etc/acme-client/home'
https://github.com/acmesh-official/acme.sh
v3.1.0
[Thu Apr 24 09:27:02 CEST 2025] Using server: https://acme-v02.api.letsencrypt.org/directory
[Thu Apr 24 09:27:02 CEST 2025] Running cmd: deploy
[Thu Apr 24 09:27:02 CEST 2025] Using config home: /var/etc/acme-client/home
[Thu Apr 24 09:27:02 CEST 2025] ACCOUNT_CONF_PATH='/var/etc/acme-client/home/account.conf'
[Thu Apr 24 09:27:02 CEST 2025] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Thu Apr 24 09:27:02 CEST 2025] _ACME_SERVER_HOST='acme-v02.api.letsencrypt.org'
[Thu Apr 24 09:27:02 CEST 2025] _ACME_SERVER_PATH='directory'
[Thu Apr 24 09:27:02 CEST 2025] CA_CONF='/var/etc/acme-client/home/ca/acme-v02.api.letsencrypt.org/directory/ca.conf'
[Thu Apr 24 09:27:02 CEST 2025] DOMAIN_PATH='/var/etc/acme-client/cert-home/6809e54670ad08.82728496/nas01.domain.de'
[Thu Apr 24 09:27:02 CEST 2025] DOMAIN_CONF='/var/etc/acme-client/cert-home/6809e54670ad08.82728496/nas01.domain.de/nas01.domain.de.conf'
[Thu Apr 24 09:27:02 CEST 2025] OK
[Thu Apr 24 09:27:02 CEST 2025] 22:Le_DeployHook='synology_dsm,'
[Thu Apr 24 09:27:02 CEST 2025] _deployApi='/var/etc/acme-client/home/deploy/synology_dsm.sh'
[Thu Apr 24 09:27:02 CEST 2025] synology_dsm_deploy exists=0
[Thu Apr 24 09:27:02 CEST 2025] _cdomain='nas01.domain.de'
[Thu Apr 24 09:27:02 CEST 2025] SYNO_USE_TEMP_ADMIN
[Thu Apr 24 09:27:02 CEST 2025] SYNO_USERNAME
[Thu Apr 24 09:27:02 CEST 2025] SYNO_PASSWORD
[Thu Apr 24 09:27:02 CEST 2025] SYNO_DEVICE_NAME
[Thu Apr 24 09:27:02 CEST 2025] SYNO_DEVICE_ID
[Thu Apr 24 09:27:02 CEST 2025] You must set either SYNO_USE_TEMP_ADMIN, or set both SYNO_USERNAME and SYNO_PASSWORD.
[Thu Apr 24 09:27:02 CEST 2025] Error deploying for domain: nas01.domain.de
[Thu Apr 24 09:27:02 CEST 2025] Error encountered while deploying.

Im Rahmen der Fehlersuche bin ich auf folgendes Issue auf Github gestoßen. Den dort genannten Patch habe ich auf meiner Firewall installiert. Danach sowohl Automation als auch Certiicate gelöscht und neu angelegt. Das Fehlerbild bleibt das Gleiche.

Gibt es aktuell der aktuellen Version einen Bug, so dass die beiden Variablen nicht korrekt gefüllt werden?

Nachtrag:
2 andere Certificates bzw. Automations, welche ich vor einem Jahr für zwei andere Synology NASes angelegt haben, funktionieren nach wie vor problemlos.

Ja, siehe https://forum.opnsense.org/index.php?topic=40788.msg202040#msg202040.
Ich habe letztes Jahr nach einem Update von OPNsense von "All Interfaces" nur noch die vlan00xx Interfaces ausgewählt. So dass die beiden WG Interfaces nicht mehr verwendet werden.

Guten Abend zusammen,
ich habe heute Nachmittag meine FW auf 25.1 aktualisiert. Nach dem geplanten Neustart, startet der Network Time Service nicht mehr.

Beim Versuch den Dienst zu starten, werden im Logfile folgende Einträge geschrieben:

Code Select Expand

2025-01-30T14:24:48    Error    ntpd    daemon child died with signal 11   
2025-01-30T14:24:48    Error    ntpd    unable to create socket on wg2 (13) for 192.168.52.1:123   
2025-01-30T14:24:48    Error    ntpd    bind(33) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use

Schau ich via SSH auf der Box nach, sehe ich keinen Listener auf dem Port noch auf der IP-Adresse:

Code Select Expand

root@fw01:~ # sockstat -4l
USER     COMMAND    PID   FD  PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     sshd       27470 9   tcp4   192.168.52.1:22       *:*
root     sshd       27470 12  tcp4   127.0.0.1:22          *:*
root     radiusd    96125 9   udp4   127.0.0.1:18120       *:*
root     radiusd    96125 10  udp4   *:1812                *:*
root     radiusd    96125 11  udp4   *:1813                *:*
root     radiusd    96125 14  udp4   *:14175               *:*
root     lighttpd   42965 4   tcp4   127.0.0.1:43580       *:*
root     crowdsec-f 17403 7   tcp4   127.0.0.1:60601       *:*
root     crowdsec    9850 17  tcp4   127.0.0.1:8080        *:*
root     crowdsec    9850 129 tcp4   127.0.0.1:6060        *:*
unbound  unbound    94959 7   udp4   *:53                  *:*
unbound  unbound    94959 8   tcp4   *:53                  *:*
unbound  unbound    94959 11  udp4   *:53                  *:*
unbound  unbound    94959 12  tcp4   *:53                  *:*
unbound  unbound    94959 15  udp4   *:53                  *:*
unbound  unbound    94959 16  tcp4   *:53                  *:*
unbound  unbound    94959 19  udp4   *:53                  *:*
unbound  unbound    94959 20  tcp4   *:53                  *:*
unbound  unbound    94959 21  tcp4   127.0.0.1:953         *:*
root     charon      6775 15  udp4   *:500                 *:*
root     charon      6775 16  udp4   *:4500                *:*
dhcpd    dhcpd      95224 13  udp4   *:67                  *:*
root     lighttpd   54784 7   tcp4   *:443                 *:*
root     lighttpd   54784 9   tcp4   *:80                  *:*
?        ?          ?     ?   udp4   *:443                 *:*
?        ?          ?     ?   udp4   *:51280               *:*
?        ?          ?     ?   udp4   *:51821               *:*


Was komisch in meinen Augen ist, ist dass dort das Interface wg2 genannt wird. Das gibt es, hat aber eine andere IP-Adresse. Schaue ich in die Overview der Interfaces, gibt es die IP-Adresse zweimal.
You cannot view this attachment.


Schau ich mir die Konfiguration von beiden Interfaces an, ist alles korrekt.
You cannot view this attachment.

You cannot view this attachment.

In der Konfiguration von Wireguard Instanz an, so habe ich dort als Endpunkt das Subnetz von dem vlan0040 Interface angeben.
You cannot view this attachment.

Dieses Design hat in den letzten 2 Jahren problemlos seinen Dienst getan.
Hab ich etwas im Release Notes übersehen, was zu ändern ist oder ist das ein Bug?

Der NTPd läuft mit 24.1.7_4 auch nicht mehr.  :-\ Sobald ich ausschließlich meine LAN Interface in der UI selektiere, startet der NTPd problemlos.

Ich bin mir zu 99,99% sicher, dass er damals noch lief. Kann es evtl. noch aus einer Kombination von aktueller Konfiguration + 24.1.7_4 sein?

Ja du hast Recht. "24.1.7" dann und nicht die "_4" angeben.

Danke für die Korrektur.

Bevor ich los lege noch die Frage, was du an Informationen nach dem Downgrade von meinem System benötigst. Reicht der Auszug des Logfiles von NTPd über die UI?

# opnsense-revert -r 24.1.8 opnsense

Du meinst sicherlich opnsense-revert -r 24.1.7_4 opnsense, oder? Weil in dieser Version lief der NTPd problemlos.

Vielleicht funktioniert es auf einem WireGuard Interface einfach nicht?

Das bedeutet, dass es bis 24.1.8 ein Bug war oder wie ist deine Antwort zu verstehen?

Habt ihr beim ntpd die listen interfaces einzeln aktiviert oder einfach das "All (recommended)" drin gelassen?

Default - All Interfaces. Das hat auch bis zum Update auf 24.1.8 so funktioniert.

Problem besteht bei mir weiterhin nach dem Update auf 24.1.9_3.

Kann sich das jemand von den Devs mal aschauen?!

Guten Abend zusammen,
ich habe heute Nachmittag ein Update von 24.1.7_4 auf 24.1.8 durchgeführt. Nach dem planmäßigen Neustart der Box, startet der Network Time Daemon nicht mehr. Ich habe die Box im Nachgang 2-3 Mal neu gestartet, weil ich dachte, dass evtl. noch ein alte PID rumgeistert. Damit die UI durcheinander kommt. Leider Fehlanzeige.

Im Logfile des NTP sind folgende Einträge zu sehen:

Code Select Expand


2024-05-30T21:48:46 Error ntpd daemon child died with signal 11
2024-05-30T21:48:46 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:48:46 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use
2024-05-30T21:44:21 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:44:21 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use
2024-05-30T21:43:39 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:43:39 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use
2024-05-30T21:43:32 Error ntpd daemon child died with signal 11
2024-05-30T21:43:32 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:43:32 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use
2024-05-30T21:43:25 Error ntpd daemon child died with signal 11
2024-05-30T21:43:25 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:43:24 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use
2024-05-30T21:43:03 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:43:03 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use
2024-05-30T21:42:58 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:42:58 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use
2024-05-30T21:42:42 Error ntpd daemon child died with signal 11
2024-05-30T21:42:42 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:42:42 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use
2024-05-30T21:42:20 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:42:20 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use
2024-05-30T21:39:15 Error ntpd daemon child died with signal 11
2024-05-30T21:39:15 Error ntpd unable to create socket on wg2 (20) for 192.168.52.1:123
2024-05-30T21:39:15 Error ntpd bind(40) AF_INET 192.168.52.1:123 flags 0x11 failed: Address already in use


Daher via SSH auf die Box eingeloggt und geschaut, was bereits auf dem Port 123 läuft.

Code Select Expand


root@fw01:~ # sockstat -l46 | grep ":123"
root@fw01:~ #

Wie man sieht, läuft aktuell kein anderer Service. Um so verwunderlicher die Fehlermeldungen im Logfile.

Auch gibt es zu NTPd keine (aktuelle) PID Datei.

Code Select Expand


root@fw01:~ # cat /var/run/ntpd.pid
cat: /var/run/ntpd.pid: No such file or directory


Kann jemand das Problem bei seiner Box nachvollziehen?


Grüße

Hi,
das bedeutet, ich bin bei euch im Forum richtig oder muss ich ein Issue bei acme.sh auf GitHub erstellen?

Hallo zusammen,
ich habe das Update von 23.7 auf 24.1 durchgeführt.

Ich nutze auf der Firewall den ACME Client, um für die Firewall als auch mein Synology NAS jeweils ein Zertifikat bei LE abzurufen. Der Abruf/Renew der Zertifikate funktioniert nach dem Update problemlos. Allerdings kann die Automation das Zertifikat nicht mehr auf die Synology NAS hochladen und einrichten.

Unter Logfile -> System Logs des ACME Clients in der UI ist kein Fehler zu sehen. Daher habe den Befehl direkt auf der OPNsense mit Hilfe einer SSH Verbindung gestartet und bekomme folgenden Ausgabe:

Code Select Expand

/var/etc/acme-client/home # /usr/local/sbin/acme.sh --deploy --syslog 7 --debug 3 --server 'letsencrypt' --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/65bab319d1d882.49786135' --certpath '/var/etc/acme-client/certs/65bab319d1d882.49786135/cert.pem' --keypath '/var/etc/acme-client/keys/65bab319d1d882.49786135/private.key' --capath '/var/etc/acme-client/certs/65bab319d1d882.49786135/chain.pem' --fullchainpath '/var/etc/acme-client/certs/65bab319d1d882.49786135/fullchain.pem' --domain 'dev.name.domain.de' --deploy-hook synology_dsm
[Wed Jan 31 22:24:15 CET 2024] _is_idn_d='dev.name.domain.de'
[Wed Jan 31 22:24:15 CET 2024] _idn_temp
[Wed Jan 31 22:24:15 CET 2024] _selectServer try snames='zerossl.com,zerossl'
[Wed Jan 31 22:24:15 CET 2024] _selectServer try snames='letsencrypt.org,letsencrypt'
[Wed Jan 31 22:24:15 CET 2024] _selectServer match letsencrypt
[Wed Jan 31 22:24:15 CET 2024] Selected server: https://acme-v02.api.letsencrypt.org/directory
[Wed Jan 31 22:24:15 CET 2024] readlink exists=0
[Wed Jan 31 22:24:15 CET 2024] dirname exists=0
[Wed Jan 31 22:24:15 CET 2024] Lets find script dir.
[Wed Jan 31 22:24:15 CET 2024] _SCRIPT_='/usr/local/sbin/acme.sh'
[Wed Jan 31 22:24:15 CET 2024] _script='/usr/local/sbin/acme.sh'
[Wed Jan 31 22:24:15 CET 2024] _script_home='/usr/local/sbin'
[Wed Jan 31 22:24:15 CET 2024] Using config home:/var/etc/acme-client/home
[Wed Jan 31 22:24:15 CET 2024] ACCOUNT_CONF_PATH='/var/etc/acme-client/home/account.conf'
[Wed Jan 31 22:24:15 CET 2024] logger exists=0
[Wed Jan 31 22:24:15 CET 2024] OK
[Wed Jan 31 22:24:15 CET 2024] 2:SYS_LOG='7'
[Wed Jan 31 22:24:15 CET 2024] LE_WORKING_DIR='/var/etc/acme-client/home'
https://github.com/acmesh-official/acme.sh
v3.0.7
[Wed Jan 31 22:24:15 CET 2024] Using server: https://acme-v02.api.letsencrypt.org/directory
[Wed Jan 31 22:24:15 CET 2024] Running cmd: deploy
[Wed Jan 31 22:24:15 CET 2024] Using config home:/var/etc/acme-client/home
[Wed Jan 31 22:24:15 CET 2024] ACCOUNT_CONF_PATH='/var/etc/acme-client/home/account.conf'
[Wed Jan 31 22:24:15 CET 2024] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Wed Jan 31 22:24:15 CET 2024] _ACME_SERVER_HOST='acme-v02.api.letsencrypt.org'
[Wed Jan 31 22:24:15 CET 2024] _ACME_SERVER_PATH='directory'
[Wed Jan 31 22:24:15 CET 2024] CA_CONF='/var/etc/acme-client/home/ca/acme-v02.api.letsencrypt.org/directory/ca.conf'
[Wed Jan 31 22:24:15 CET 2024] DOMAIN_PATH='/var/etc/acme-client/cert-home/65bab319d1d882.49786135/dev.name.domain.de'
[Wed Jan 31 22:24:15 CET 2024] DOMAIN_CONF='/var/etc/acme-client/cert-home/65bab319d1d882.49786135/dev.name.domain.de/dev.name.domain.de.conf'
[Wed Jan 31 22:24:15 CET 2024] OK
[Wed Jan 31 22:24:15 CET 2024] 22:Le_DeployHook='synology_dsm,'
[Wed Jan 31 22:24:15 CET 2024] The deploy hook synology_dsm is not found.

Danach habe ich mich auf die Suche nach der Datei gemacht:

Code Select Expand

find / -name 'synology_dsm*'
/usr/local/share/examples/acme.sh/deploy/synology_dsm.sh

Jetzt bin ich verwundert, dass nur eine Datei gefunden wurde und die auch noch in einem Verzeichnis unterhalb von "Examples" liegt.

Mit der Version 23.7 hat das Hochladen des Zertifikats auf die Synology am 29.10.2023 noch problemlos funktioniert. Kann jemand meine Beobachtung bei sich nachvollziehen und bestätigen? Das das ein Bug?


Viele Grüße