RRset Konflikt (CAA + CNAME) bei HAProxy mit LE Wildcard von deSEC / dedyn.io

viragomann · October 04, 2025, 01:21:16 AM

Quote from: Anderer on October 04, 2025, 01:06:11 AMKann man daraus erkennen, von welchen Regeln das kommt

Was kommt?

Die Blocks kann ich nicht zuordnen. Einer geht sufauf die OPNsense auf Port 39833, der mir nicht sagt. Die anderen gehen auf die Broadcast Adresse, die wie gesagt, jedes Gerät im Subnetz bekommt.
Offenbar hast du mehrere Geräte am WAN hängen.

Auf jeden Fall dürfe nichts favon zu einer bewusst initierten Verbindung gehören

Anderer · October 04, 2025, 01:30:57 AM

OK, ich danke dir erstmal ganz herzlich!
Einen Fehler konnten wir immerhin eliminieren.

Vielleicht hat morgen noch jemand eine Idee, weshalb der PING nicht zurückkommt, obwohl ICMP rausgeht oder wie ich die Blockierung protokollieren kann, da sie durch meine offene floating Regel aufgehoben werden kann.

Das ist schon eine harte Nuss ;-)

Anderer · October 05, 2025, 10:20:25 PM

Hallo zusammen,

ich brauche bitte nochmals Unterstützung (AcmeClient: domain validation failed (dns01)

ich habe OPNsense auf Werkseinstellungen zurückgesetzt und mit dem Assistant gestartet.
Änderungen:
- IP geändert in 192.168.50.1/24
- IP range von 192.168.50.101 bis 102.169.50.241 (andere vergebe ich gerne manuell)
=> sonst habe ich alles auf Voreinstellung belassen - also auch keine Regeln erstellt oder geändert
HAProxy strikt nach Tutorial installiert:
https://forum.opnsense.org/index.php?topic=23339.0
PING + DNS funktioniert dieses Mal => Snapshot erstellt
ich habe einen neuen Token erstellt und dieser wurde lt. deSEC auch genutzt.
lt. dnschecker.org sind A, AAAA, NS, SOA, DS, DNSKEY OK, soweit ich es verstehe.
CNAME, MX, PTR, SRV, TXT: Sorry not found
CNAME für any_string.SUBDOMAIN.dedyn.io zeigt auf SUBDOMAIN.dedyn.io
CAA: SUBDOMAIN.dedyn.io, TTL: 371, Record: 0 issuewild letsencrypt.org
CAA: SUBDOMAIN.dedyn.io, TTL: 371, Record: 0 issue letsencrypt.org

ich komme nun immerhin bis zum Ende von Part 3, aber wenn das Zertifikat ausgestellt werden soll, sehe ich folgende Fehler:

Services: ACME Client: Log Files: System Log

Code Select

2025-10-05T21:46:54
opnsense
AcmeClient: validation for certificate failed: *.SUBDOMAIN.dedyn.io
2025-10-05T21:46:54
opnsense
AcmeClient: domain validation failed (dns01)
2025-10-05T21:46:54
opnsense
AcmeClient: AcmeClient: The shell command returned exit code '1': '/usr/local/sbin/acme.sh --issue --syslog 6 --log-level 1 --server 'letsencrypt_test' --dns 'dns_desec' --dnssleep '120' --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/68e2b234sdfa93.975355095' --certpath '/var/etc/acme-client/certs/68e2b234sdfa93.975355095/cert.pem' --keypath '/var/etc/acme-client/keys/68e2b234sdfa93.975355095/private.key' --capath '/var/etc/acme-client/certs/68e2b234sdfa93.975355095/chain.pem' --fullchainpath '/var/etc/acme-client/certs/68e2b234sdfa93.975355095/fullchain.pem' --domain '*.SUBDOMAIN.dedyn.io' --days '60' --force --ocsp --keylength 'ec-384' --accountconf '/var/etc/acme-client/accounts/68e2b234sdfa93.975355095_stg/account.conf''
2025-10-05T21:46:19
opnsense
AcmeClient: validation for certificate failed: *.SUBDOMAIN.dedyn.io
2025-10-05T21:46:19
opnsense
AcmeClient: domain validation failed (dns01)
2025-10-05T21:46:19
opnsense
AcmeClient: AcmeClient: The shell command returned exit code '1': '/usr/local/sbin/acme.sh --issue --syslog 6 --log-level 1 --server 'letsencrypt_test' --dns 'dns_desec' --dnssleep '120' --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/68e2b234sdfa93.975355095' --certpath '/var/etc/acme-client/certs/68e2b234sdfa93.975355095/cert.pem' --keypath '/var/etc/acme-client/keys/68e2b234sdfa93.975355095/private.key' --capath '/var/etc/acme-client/certs/68e2b234sdfa93.975355095/chain.pem' --fullchainpath '/var/etc/acme-client/certs/68e2b234sdfa93.975355095/fullchain.pem' --domain '*.SUBDOMAIN.dedyn.io' --days '60' --force --ocsp --keylength 'ec-384' --accountconf '/var/etc/acme-client/accounts/68e2b234sdfa93.975355095_stg/account.conf''
2025-10-05T21:46:15
opnsense
AcmeClient: using challenge type: deSEC_DNS-01
2025-10-05T21:46:15
opnsense
AcmeClient: account is registered: SUBDOMAIN.dedyn.io
2025-10-05T21:46:15
opnsense
AcmeClient: using CA: letsencrypt_test
2025-10-05T21:46:15
opnsense
AcmeClient: issue certificate: *.SUBDOMAIN.dedyn.io
2025-10-05T21:46:15
opnsense
AcmeClient: certificate must be issued/renewed: *.SUBDOMAIN.dedyn.io

Services: ACME Client: Log Files: ACME Log

Code Select

2025-10-05T21:46:54
acme.sh
[Sun Oct 5 21:46:54 CEST 2025] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
2025-10-05T21:46:54
acme.sh
[Sun Oct 5 21:46:54 CEST 2025] Please add '--debug' or '--log' to see more information.
}
"status": 403
"detail": "Error finalizing order :: OCSP must-staple extension is no longer available: see https://letsencrypt.org/2024/12/05/ending-ocsp",
"type": "urn:ietf:params:acme:error:unauthorized",
2025-10-05T21:46:54
acme.sh
[Sun Oct 5 21:46:54 CEST 2025] {
2025-10-05T21:46:54
acme.sh
[Sun Oct 5 21:46:54 CEST 2025] Signing failed. Finalize code was not 200.
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Le_OrderFinalize='https://acme-staging-v02.api.letsencrypt.org/acme/finalize/232344743/27443256063'
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Let's finalize the order.
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Verification finished, beginning signing.
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Successfully removed
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Deleted, OK
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Deleting record
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Using desec.io api
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Removing txt: SuOBv0föladikf7o7ß0öajkdfadfr4qr4IfcQzdr97Uc for domain: _acme-challenge.SUBDOMAIN.dedyn.io
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Removing DNS records.
2025-10-05T21:46:53
acme.sh
[Sun Oct 5 21:46:53 CEST 2025] Success
2025-10-05T21:46:50
acme.sh
[Sun Oct 5 21:46:50 CEST 2025] Pending. The CA is processing your order, please wait. (24/30)
2025-10-05T21:46:48
acme.sh
...
[Sun Oct 5 21:46:18 CEST 2025] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
2025-10-05T21:46:18
acme.sh
[Sun Oct 5 21:46:18 CEST 2025] Please add '--debug' or '--log' to see more information.
2025-10-05T21:46:18
acme.sh
[Sun Oct 5 21:46:18 CEST 2025] Error adding TXT record to domain: _acme-challenge.SUBDOMAIN.dedyn.io
2025-10-05T21:46:18
acme.sh
[Sun Oct 5 21:46:18 CEST 2025] Add txt record error.
2025-10-05T21:46:18
acme.sh
[Sun Oct 5 21:46:18 CEST 2025] Adding record
2025-10-05T21:46:18
acme.sh
[Sun Oct 5 21:46:18 CEST 2025] Pending. The CA is processing your order, please wait. (12/30)
2025-10-05T21:46:18
acme.sh
[Sun Oct 5 21:46:18 CEST 2025] Using desec.io api
2025-10-05T21:46:18
acme.sh
[Sun Oct 5 21:46:18 CEST 2025] Adding TXT value: SuOBv0föladikf7o7ß0öajkdfadfr4qr4IfcQzdr97Uc for domain: _acme-challenge.SUBDOMAIN.dedyn.io
2025-10-05T21:46:18
acme.sh
[Sun Oct 5 21:46:18 CEST 2025] Getting webroot for domain='*.SUBDOMAIN.dedyn.io'
2025-10-05T21:46:16
acme.sh
[Sun Oct 5 21:46:16 CEST 2025] Single domain='*.SUBDOMAIN.dedyn.io'
2025-10-05T21:46:16
acme.sh
[Sun Oct 5 21:46:16 CEST 2025] Using CA: https://acme-staging-v02.api.letsencrypt.org/directory
2025-10-05T21:46:16
acme.sh
[Sun Oct 5 21:46:16 CEST 2025] Pending. The CA is processing your order, please wait. (11/30)
2025-10-05T21:46:13
acme.sh
...
[Sun Oct 5 21:45:49 CEST 2025] Verifying: *.SUBDOMAIN.dedyn.io

Muss ich noch irgendwelche Regeln erstellen, von denen nichts im Tutorial steht oder welche ich evtl. übersehen habe?
Gibt es bitte einen Hinweis in den Logs, nach was ich suchen muss?

Dankeschön :-)

Anderer · October 05, 2025, 10:59:47 PM

[SOLVED]

OK, hier lag wohl der Fehler:

Services: ACME Client: Log Files: ACME Log

Code Select

"status": 403
"detail":
 "Error finalizing order :: OCSP must-staple extension is no longer 
available: see https://letsencrypt.org/2024/12/05/ending-ocsp",
"type": "urn:ietf:params:acme:error:unauthorized",

OSCP Must Staple: Yes [ist falsch im Tutorial beschrieben, da heute in der Konfiguration nicht mehr gültig.]

Quote from: TheHellSite on May 31, 2021, 01:06:11 PMNext go to: Services --> ACME Client --> Certificates
Add the certificate for your domain according to the image below.
I prefer to use Elliptic Curve Cryptography (ECC). (https://en.wikipedia.org/wiki/Elliptic-curve_cryptography)
But you can of course also use RSA keys just make sure to set the key length as high as possible in order to get an A+ rating from SSLLabs.

LÖSUNG:
OSCP Must Staple: No

Danach funktionierte es sofort.

Ich werde die Fehlermeldung und Lösung auch beim Tutorial kommentieren. Morgen geht's weiter mit Part 4)

Patrick M. Hausen

👍

RRset Konflikt (CAA + CNAME) bei HAProxy mit LE Wildcard von deSEC / dedyn.io

viragomann

October 04, 2025, 01:21:16 AM #30

Anderer

October 04, 2025, 01:30:57 AM #31

Anderer

October 05, 2025, 10:20:25 PM #32 Last Edit: October 05, 2025, 10:24:31 PM by Anderer Reason: any_string.SUBDOMAIN.dedyn.io ergänzt

Anderer

October 05, 2025, 10:59:47 PM #33 Last Edit: October 05, 2025, 11:06:21 PM by Anderer Reason: correction of format for Quote

Patrick M. Hausen

Today at 12:31:27 AM #34