os-caddy und desec.io

[cadzen]

Hallo,

aus dem desec.io Forum: OPNsense Caddy plugin deleting CNAMES when my IP changes

Ist der Fix (letzter Post im desec.io Forum) in os-caddy angekommen? Wie und wo kann ich das rausbekommen?

Grüße

[Monviech (Cedrik)]

Code Select Expand

caddy build-info
Danach versionen vergleichen.

Bald sind DNS provider nicht mehr standardmäßig drin. Danach und auch schon jetzt kann man immer das aktuelle bekommen, entweder man baut es selbst mit xcaddy oder benutzt caddy add-package.

[JeGr]

Code Select Expand

caddy build-info
Danach versionen vergleichen.

Bald sind DNS provider nicht mehr standardmäßig drin. Danach und auch schon jetzt kann man immer das aktuelle bekommen, entweder man baut es selbst mit xcaddy oder benutzt caddy add-package.

Gibt es das beim Caddy Plugin dann in der GUI? Oder muss man dann nach jedem Caddy/OS Update jedes Mal in die Konsole und das add-package wieder reinfriemeln? Ich hatte das schon bei nem Container Setup sehr nervig, dass bei jedem Container Update die installierten Packages (verständlich) weg sind, aber es wäre sinnvoll dann da auch einen Mechanismus zu haben, der das entsprechend hinterlegbar macht, was dann nach "Neubau" wieder mit rein muss/soll. Sonst knallt ja jedes Mal die Konfiguration weil Provider/Settings konfiguriert sind, die Caddy nicht kennt?

Cheers

[Monviech (Cedrik)]

Ich habe dieses Problem länger analysiert und verschiedene Ansätze probiert, hier was dabei herausgekommen ist:

https://github.com/opnsense/plugins/issues/4668
https://github.com/opnsense/plugins/pull/4682
https://github.com/Monviech/os-caddy/tree/main/www/xcaddy

Zusammengefasst kann man nur sagen, sehr schwieriges Thema, nicht wirklich auslieferbar. Es funktioniert, aber man braucht recht unangenehme dependencies auf seiner Firewall wie lang/go. Theoretisch kann man damit mit einem Cron job einfach immer automatisch bauen, so benutze ich das. Aber ich kann es nicht ausliefern, man muss es selbst bauen wenn man es will.

[JeGr]

Theoretisch kann man damit mit einem Cron job einfach immer automatisch bauen, so benutze ich das. Aber ich kann es nicht ausliefern, man muss es selbst bauen wenn man es will.

Heißt im Umkehrschluß dann dass demnächst dann kein DNS mehr mit Caddy out of the box funktioniert? Oder wie verstehe ich das genau :)
Dann lieber einfach acme.sh verwenden und in Caddy einklinken (was ja jetzt auch schon geht)? Hatte ich eh schon überlegt, da der Caddy Prozess mir da aktuell zu intransparent vom Logging ist - ich bekomm einfach nie wirklich mit, ob es geht, ob es nicht geht und irgendwann ist das Zert mal da oder nicht. Neu starten - läuft dann irgendwann oder halt nicht. Das ist gefühlt aktuell oft trial & error mit DNS-01. Keine Kritik nur subjektive Benutzungsbeobachtung :)

Cheers

[Monviech (Cedrik)]

Ja acme.sh verwenden ist eine gute Lösung.

Nzr Cloudflare bleibt standardmässig in Caddy drin weil es direkt von den Caddy Maintainern gepflegt wird.

Der ganze Rest erzeugt einen kaum zu bewältigten Maintainance Aufwand weil der Build immer wieder kaputt geht.

[JeGr]

Ja acme.sh verwenden ist eine gute Lösung.

Nur zur Verifikation: also nicht mehr ACME in Caddy auswählen, sondern vorher erstmal das Zert mit dem Service ACME Client erledigen und dann hier direkt im Dropdown auswählen, statt zu sagen Caddy soll's ausstellen?

Dass der Aufwand fies ist, kann ich mir denken, das sieht man ja auch, wie oft bei acme.sh gepusht und gepullt wird bei ständigen Änderungen an APIs und Co.

Cheers

[Monviech (Cedrik)]

Ja, wenn ein Wildcard Zertifikat gebraucht wird, einfach Acme Client verwenden.

Dann das Zertifikat in der Wildcard Domain in Caddy auswählen.

Nicht vergessen einen automation hook im Acme Client zu machen, aber Achtung, RELOAD reicht, kein Restart!

Run Command: System or Plugin Command
System Command: Reload Caddy service