Let's Encrypt Fehlermeldung

[lonesomewalker]

Keine Ahnung warum das seit Neuestem auftaucht, aber angelegt wird eine Subdomain, der IP-Eintrag ist im DNS, auch extern validiert.

Dennoch bekomme ich ein:

 

Fehlermeldung

Die DNS-Einträge der Domain enhalten keine der gewählten IP Adressen. Let's Encrypt Zertifikats-Erstellung ist nicht möglich.

[d00p]

nslookup und dann Vergleich auf die im formular gewählten IPs - ja, wird in echtzeit geprüft.

[みゆき]

Es liegt eher daran, das die Sub-Domains immer etwas länger brauchen, bis diese überall bekannt sind. Das gleiche Probleme habe ich auch ab und an, das es einige Minuten dauert, bis der LE DNS check geht.

[d00p]

Und was denkst du, sagt dir diese Fehlermeldung nun? Ich meine sie sagt ziemlich eindeutig was Sache ist

[lonesomewalker]

Ja, lesen kann ich ja, nur wenn ich mit dig validieren kann, das die DNS-Einträge stimmen und auch auflösen?
Und in der Domaineinstellung selbst ist die IP sowohl für ohne als auch mit auf die gleiche IP gesetzt, die auch im DNS steht. 🤔
Edit: DNS macht auch froxlor, d.h. nix Externes.

Edited November 16, 2021 by lonesomewalker

[d00p]

sind die IPs die DIG ausspuckt aber auch die selben die du in froxlor angelegt und für die domains gewählt hast?

[lonesomewalker]

Jupp, genau das macht mich ja verrückt 😶 bedeutet ja, DNS geht und froxlor hat auch die korrekte Zuordnung erstellt.
Traurig ist: ich habe NICHTS geändert, und jetzt hat er nach speichern nicht gemeckert -> geht.
An den Cronjobs kann es nicht liegen, die Configs schreibe ich mit einem sofortigen Rewrite von der Konsole aus gestartet neu.

Hmmm, mal debuggen, warum...

[d00p]

was oft vorkommt, das die domain (gerade wenn es um den system-hostname geht) gern in der /etc/hosts steht und auf eine andere/interne IP zeigt

[lonesomewalker]

Kann ich in dem Fall ausschließen. Woran macht froxlor denn fest, das da keine IP eingetragen ist? Wird da ein Query auf die DB gefahren oder in Echtzeit geprüft?

[froxlorforum@pilsgenuss.de]

Moin allerseits,

der Eintrag ist noch nicht so alt, daher erlaube ich mir, mich dranzuhängen:

@Lonesomewalker: Was kam denn raus dabei? Ich habe aktuell dasselbe Problem wie beschrieben. Ich habe versucht, eine Domain einer anderen PHP-Konfiguration zuzuweisen (ist hier nicht relevant, war nur der Grund, warum ich die Domain neu speichern musste) und nun schimpft Froxlor genau dasselbe:

Fehlermeldung

Die DNS-Einträge der Domain enhalten keine der gewählten IP Adressen. Let's Encrypt Zertifikats-Erstellung ist nicht möglich.

Ich habe noch ein paar andere Domains probiert - überall dieselbe Meldung. Auch jeweils geprüft, ob die verwendete SSL-IP dem dig bzw. nslookup entspricht und ja, das ist immer der Fall.

Die DNS-Einträge der Domains und die Domains in Froxlor wurden ansonsten seit langer Zeit nicht mehr angefasst. Froxlor ist aktuell wie ich hoffe (0.10.33-1 (DB: 202112310)) ...

Unterschied bei mir ist, dass DNS extern definiert ist (bspw. ffmcity.de auf die 195.5.191.48).

Hilft eventuell meine Aussage, dass ich mehrere IPs auf dem Server definiert habe?

Vielen Dank im voraus!

[d00p]

Ich verstehe nicht so recht wo hier das Problem liegt. Die Fehlermeldung sagt eindeutig, dass ein dns check der domain keine IP Adresse ergeben hat, die beim Anlegen/Editieren der Domain ausgewählt wurde.

Stelle also sicher, dass ein "dig domain.tld A" eine IP ausspuckt die du auch in froxlor angelegt hast und der Domain zugewiesen ist.

Somit prüft froxlor, dass das Ausstellen von Let's Encrypt Zertifikaten via Cronjob nicht fehlschlägt weil die Domain nicht auf den Server zeigt.

[froxlorforum@pilsgenuss.de]

Hallo d00p,

OK, ich denke, ich verstehe das Problem: Der Froxlor-Server ist ein virtuelles System hinter einer FW in einer DMZ. Die ganzen "Verbindungen" von außen nach innen werden geNATted.

Und irgendwann scheint da eine neue Prüfung dazugekommen zu sein, die dann - wie Du sagst - vorab prüft, ob das DNS passt. Das hat früher wie heute nicht in dem Sinne gepasst, aber Let's Encrypt selbst hatte nie Schwierigkeiten.

Ist das das Problem? Und wenn ja, wie kann ich das "umschiffen"?

Danke! 

[d00p]

Du kannst in den Einstellungen diese Prüfung einfach deaktivieren wenn du sicher bist, dass DNS in jedem Fall passt.

Settings -> SSL Settings -> Validate DNS of domains when using Let's Encrypt

 

[froxlorforum@pilsgenuss.de]

Prima! Das klappt einwandfrei! Diese Einstellungsmöglichkeit hatte ich nicht auf dem Schirm.

Vielen Dank für Deine wie immer superschnelle und zielführende Hilfe!

🙂

 

[Martin M]

Vielen Dank für die Einstellung, sie umschifft das Problem, hilft aber nicht zu verstehen, wie es dazu kommt.

Ich habe eine Domain mit Alias "www".
Froxlor ist der authoritive DNS server.
Die DNS-Einträge entsprechen den SSL-Einstellungen.
HTTP-IPs entsprechen den HTTPS-IPs.
Die IP-Einträge existieren schon seit Monaten.
dig und host liefern exakt die erwarteten IPs (IPv4 und IPv6).
Letsencrypt hat mit froxlor 0.10 funktioniert.
Seit Upgrade auf froxlor 2.0 werden keine Letsencrypt-Zertifikate erneuert.

OK, in der acme-Config steht noch /var/www/froxlor als Le_Webroot.
Daher hatte ich die Idee: ssl ausschalten (task laufen lassen) ssl wieder einschalten.
Jetzt kommt aber die genannte Fehlermeldung (inkl. Tippfehler "enhalten" statt "enthalten").

(Einstellung siehe Screenshots unten)
Antwort von dig:

Quote

;; ANSWER SECTION:
burkhardbasner.de.    2806    IN    A    88.99.101.252

;; ANSWER SECTION:
burkhardbasner.de.    3600    IN    AAAA    2a01:4f8:221:11e5::2

;; ANSWER SECTION:
www.burkhardbasner.de.    3600    IN    AAAA    2a01:4f8:221:11e5::2

;; ANSWER SECTION:
www.burkhardbasner.de.    3600    IN    A    88.99.101.252

In der neuen Einstellung "DNS Resolver für die DNS Überprüfung" habe ich diverse Resolver getestet (1.1.1.1, lokal, 9.9.9.9), alles ohne Erfolg.
Umgebung: Debian bullseye

Ich würde die DNS-Prüfung gerne eingeschaltet lassen.
Kann ich noch weitere Infos zur Ursachenfindung beitragen?

(btw: vielen Dank für die großartige Arbeit!)

[d00p]

12 hours ago, Martin M said:

Seit Upgrade auf froxlor 2.0 werden keine Letsencrypt-Zertifikate erneuert.

OK, in der acme-Config steht noch /var/www/froxlor als Le_Webroot.

Dazu passend: https://docs.froxlor.org/latest/admin-guide/cli-scripts/#validate-acme-webroot

bin/froxlor-cli froxlor:validate-acme-webroot

Die Erneuerung hat aber so gesehen erstmal nichts mit der fehlermeldung zu tun, das kommt ja direkt von froxlor beim aktivieren von let's encrypt. Wo die Ursache nun genau liegt kann ich dir ohne Debugging so nicht sagen, denn im grunde macht froxlor ja nichts anderes als du mit dig, nämlich die IPs für die domains resolven und prüfen, ob mindestens eine der gelieferten IPs zu einer zugeordneten IP aus froxlor gehört.

Schau doch gern mal im Discord vorbei, vllt können wir uns das einfach gemeinsam auf deinem Server anschauen und das Problem identifizieren.

[unknown75]

servus,

bei mir liegt das problem ähnlich, das froxlor interface lässt das aktivieren von lets encrypt nicht zu

Die DNS-Einträge der Domain enhalten keine der gewählten IP Adressen. Let's Encrypt Zertifikats-Erstellung ist nicht möglich.

Die DNS Settings des eingerichtetem Hosts stimmen allerdings:

dig host.domain.tld A
Liefert in der Answer Section
host.domain.tld CNAME mein.vserver.host
mein.vserver.host A 1.2.3.4

dig host.domain.tld AAAA
Liefert in der Answer Section
host.domain.tld CNAME mein.vserver.host
mein.vserver.host AAAA <ipv6adresse des vservers>

das Ausführen von

bin/froxlor-cli froxlor:validate-acme-webroot

liefert jede menge Fehler dergestalt:

due to no system known IP address via DNS check

Froxlor Version: 2.0.10-1

Database version: 202301180

Channel: stable

Last checked: 31.01.2023 09:47

 

Wird Froxlor durch den CNAME "Umweg" verwirrt?

 

danke!

Michael

[d00p]

4 minutes ago, unknown75 said:

Wird Froxlor durch den CNAME "Umweg" verwirrt?

Möglich, muss ich prüfen

[Martin M]

Bei mir sind die A und AAAA Records direkt in der DNS-Zone, kein CNAME, und ich bekomme trotzdem den Fehler.

Quote

@    3600    IN    AAAA    2a01:4f8:221:11e5::2
www    3600    IN    AAAA    2a01:4f8:221:11e5::2
@    3600    IN    A    88.99.101.252
www    3600    IN    A    88.99.101.252
 

 

[d00p]

Habe ich gesehen ja, kann es halt aktuell auf meinen servern nicht reproduzieren was das testing/debugging dezent erschwert.

[d00p]

Schaut mal ob Folgendes das Problem behebt: 

 

[Martin M]

yup, der Patch hat geholfen!
Vielen Dank
(Übrigens Debian 11, PHP 7.4.33)

[Exploit]

Jetzt habe ich diesen Fehler auch bekommen. (Version 2.0.19-1)

Zwei Dinge:

1. Wenn man nach der Fehlermeldung wieder zum Formular geht, ist alles wieder leer, das ist kein Problem, aber etwas ärgerlich.

2. Wenn eine Neue Domain angelegt wird und die DNS-Einträge von Froxlor angelegt werden müssen, geht das in die Hose.

Letzteres habe ich mit einem 'Workaround' gelöst, indem ich die domain zuerst ohne Let's Encrypt angelegt habe.
 

[d00p]

oder halt dns-validation deaktivieren....anders gehts halt nicht wenn dns durch froxlor erstellt wird. Henne-Ei-Problem. Wenn du da eine Idee hast, gerne