Jump to content
Froxlor Forum
  • 0

Let's Encrypt Fehlermeldung


lonesomewalker

Question

23 answers to this question

Recommended Posts

  • 0

Ja, lesen kann ich ja, nur wenn ich mit dig validieren kann, das die DNS-Einträge stimmen und auch auflösen?
Und in der Domaineinstellung selbst ist die IP sowohl für ohne als auch mit auf die gleiche IP gesetzt, die auch im DNS steht. 🤔
Edit: DNS macht auch froxlor, d.h. nix Externes.

Edited by lonesomewalker
Link to comment
Share on other sites

  • 0

Jupp, genau das macht mich ja verrückt 😶 bedeutet ja, DNS geht und froxlor hat auch die korrekte Zuordnung erstellt.
Traurig ist: ich habe NICHTS geändert, und jetzt hat er nach speichern nicht gemeckert -> geht.
An den Cronjobs kann es nicht liegen, die Configs schreibe ich mit einem sofortigen Rewrite von der Konsole aus gestartet neu.

Hmmm, mal debuggen, warum...

Link to comment
Share on other sites

  • 0

Moin allerseits,

der Eintrag ist noch nicht so alt, daher erlaube ich mir, mich dranzuhängen:

@Lonesomewalker: Was kam denn raus dabei? Ich habe aktuell dasselbe Problem wie beschrieben. Ich habe versucht, eine Domain einer anderen PHP-Konfiguration zuzuweisen (ist hier nicht relevant, war nur der Grund, warum ich die Domain neu speichern musste) und nun schimpft Froxlor genau dasselbe:

Fehlermeldung
Die DNS-Einträge der Domain enhalten keine der gewählten IP Adressen. Let's Encrypt Zertifikats-Erstellung ist nicht möglich.

Ich habe noch ein paar andere Domains probiert - überall dieselbe Meldung. Auch jeweils geprüft, ob die verwendete SSL-IP dem dig bzw. nslookup entspricht und ja, das ist immer der Fall.

Die DNS-Einträge der Domains und die Domains in Froxlor wurden ansonsten seit langer Zeit nicht mehr angefasst. Froxlor ist aktuell wie ich hoffe (0.10.33-1 (DB: 202112310)) ...

Unterschied bei mir ist, dass DNS extern definiert ist (bspw. ffmcity.de auf die 195.5.191.48).

Hilft eventuell meine Aussage, dass ich mehrere IPs auf dem Server definiert habe?

Vielen Dank im voraus!

Link to comment
Share on other sites

  • 0

Ich verstehe nicht so recht wo hier das Problem liegt. Die Fehlermeldung sagt eindeutig, dass ein dns check der domain keine IP Adresse ergeben hat, die beim Anlegen/Editieren der Domain ausgewählt wurde.

Stelle also sicher, dass ein "dig domain.tld A" eine IP ausspuckt die du auch in froxlor angelegt hast und der Domain zugewiesen ist.

Somit prüft froxlor, dass das Ausstellen von Let's Encrypt Zertifikaten via Cronjob nicht fehlschlägt weil die Domain nicht auf den Server zeigt.

Link to comment
Share on other sites

  • 0

Hallo d00p,

OK, ich denke, ich verstehe das Problem: Der Froxlor-Server ist ein virtuelles System hinter einer FW in einer DMZ. Die ganzen "Verbindungen" von außen nach innen werden geNATted.

Und irgendwann scheint da eine neue Prüfung dazugekommen zu sein, die dann - wie Du sagst - vorab prüft, ob das DNS passt. Das hat früher wie heute nicht in dem Sinne gepasst, aber Let's Encrypt selbst hatte nie Schwierigkeiten.

Ist das das Problem? Und wenn ja, wie kann ich das "umschiffen"?

Danke! 

Link to comment
Share on other sites

  • 0

Vielen Dank für die Einstellung, sie umschifft das Problem, hilft aber nicht zu verstehen, wie es dazu kommt.

Ich habe eine Domain mit Alias "www".
Froxlor ist der authoritive DNS server.
Die DNS-Einträge entsprechen den SSL-Einstellungen.
HTTP-IPs entsprechen den HTTPS-IPs.
Die IP-Einträge existieren schon seit Monaten.
dig und host liefern exakt die erwarteten IPs (IPv4 und IPv6).
Letsencrypt hat mit froxlor 0.10 funktioniert.
Seit Upgrade auf froxlor 2.0 werden keine Letsencrypt-Zertifikate erneuert.

OK, in der acme-Config steht noch /var/www/froxlor als Le_Webroot.
Daher hatte ich die Idee: ssl ausschalten (task laufen lassen) ssl wieder einschalten.
Jetzt kommt aber die genannte Fehlermeldung (inkl. Tippfehler "enhalten" statt "enthalten").

(Einstellung siehe Screenshots unten)
Antwort von dig:

Quote

;; ANSWER SECTION:
burkhardbasner.de.    2806    IN    A    88.99.101.252

;; ANSWER SECTION:
burkhardbasner.de.    3600    IN    AAAA    2a01:4f8:221:11e5::2

;; ANSWER SECTION:
www.burkhardbasner.de.    3600    IN    AAAA    2a01:4f8:221:11e5::2

;; ANSWER SECTION:
www.burkhardbasner.de.    3600    IN    A    88.99.101.252

In der neuen Einstellung "DNS Resolver für die DNS Überprüfung" habe ich diverse Resolver getestet (1.1.1.1, lokal, 9.9.9.9), alles ohne Erfolg.
Umgebung: Debian bullseye

Ich würde die DNS-Prüfung gerne eingeschaltet lassen.
Kann ich noch weitere Infos zur Ursachenfindung beitragen?

(btw: vielen Dank für die großartige Arbeit!)

Bildschirmfoto 2023-01-29 um 18.46.09.png

Bildschirmfoto 2023-01-29 um 18.46.26.png

Bildschirmfoto 2023-01-29 um 18.46.46.png

Link to comment
Share on other sites

  • 0
12 hours ago, Martin M said:

Seit Upgrade auf froxlor 2.0 werden keine Letsencrypt-Zertifikate erneuert.

OK, in der acme-Config steht noch /var/www/froxlor als Le_Webroot.

Dazu passend: https://docs.froxlor.org/latest/admin-guide/cli-scripts/#validate-acme-webroot

bin/froxlor-cli froxlor:validate-acme-webroot

Die Erneuerung hat aber so gesehen erstmal nichts mit der fehlermeldung zu tun, das kommt ja direkt von froxlor beim aktivieren von let's encrypt. Wo die Ursache nun genau liegt kann ich dir ohne Debugging so nicht sagen, denn im grunde macht froxlor ja nichts anderes als du mit dig, nämlich die IPs für die domains resolven und prüfen, ob mindestens eine der gelieferten IPs zu einer zugeordneten IP aus froxlor gehört.

Schau doch gern mal im Discord vorbei, vllt können wir uns das einfach gemeinsam auf deinem Server anschauen und das Problem identifizieren.

Link to comment
Share on other sites

  • 0

servus,

bei mir liegt das problem ähnlich, das froxlor interface lässt das aktivieren von lets encrypt nicht zu

Die DNS-Einträge der Domain enhalten keine der gewählten IP Adressen. Let's Encrypt Zertifikats-Erstellung ist nicht möglich.

Die DNS Settings des eingerichtetem Hosts stimmen allerdings:

dig host.domain.tld A
Liefert in der Answer Section
host.domain.tld CNAME mein.vserver.host
mein.vserver.host A 1.2.3.4

dig host.domain.tld AAAA
Liefert in der Answer Section
host.domain.tld CNAME mein.vserver.host
mein.vserver.host AAAA <ipv6adresse des vservers>

das Ausführen von

bin/froxlor-cli froxlor:validate-acme-webroot

liefert jede menge Fehler dergestalt:

due to no system known IP address via DNS check

Froxlor Version: 2.0.10-1

Database version: 202301180
Channel: stable
Last checked: 31.01.2023 09:47

 

Wird Froxlor durch den CNAME "Umweg" verwirrt?

 

danke!

Michael

Link to comment
Share on other sites

  • 0

Bei mir sind die A und AAAA Records direkt in der DNS-Zone, kein CNAME, und ich bekomme trotzdem den Fehler.

Quote

@    3600    IN    AAAA    2a01:4f8:221:11e5::2
www    3600    IN    AAAA    2a01:4f8:221:11e5::2
@    3600    IN    A    88.99.101.252
www    3600    IN    A    88.99.101.252
 

 

Link to comment
Share on other sites

  • 0

Jetzt habe ich diesen Fehler auch bekommen. (Version 2.0.19-1)

Zwei Dinge:

1. Wenn man nach der Fehlermeldung wieder zum Formular geht, ist alles wieder leer, das ist kein Problem, aber etwas ärgerlich.

2. Wenn eine Neue Domain angelegt wird und die DNS-Einträge von Froxlor angelegt werden müssen, geht das in die Hose.

Letzteres habe ich mit einem 'Workaround' gelöst, indem ich die domain zuerst ohne Let's Encrypt angelegt habe.
 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...