driv3r
Goto Top

OPNsense Nginx Lets encrypt renewal Fehler

Guten Abend zusammen,

mein neues System läuft inzwischen seit fast 90 Tagen stabil.

Zur Erinnerung:

Protectli mit Proxmox und darauf OPNsense
WAN - Vigor 167 - DSL
LAN - "altes Netwerksegment 192.168.
VLAN1 - Management 10.0.1
VLAN10 - Home 10.0.10.
VLAN20 - IoT 10.0.20.

Auf einer weiteren Proxmox VM 192.168.20.3 läuft Docker mit vaultwarden und nginx bereits sein einem halben Jahr.

Vor dem Wechsel auf OPNsense (FRITZ!Box) lief das SSL renewal sauber.

Nach der Umstellung wird das Zertifikat, welches ich für vaultwarden nutze, nicht mehr erneuert.

Ich habe also irgendwie was vergessen oder übersehen.

Ich leite über die NAT Regel die Ports 80 und 443 an die 192.168.20.3 weiter.

Wenn ich meine DDNS Adresse aufrufe, komm ich auch auf meine vaultwarden Instanz. Aber in ein paar Tagen ist es abgelaufen.

Habt ihr einen Tipp für mich? Was hab ich übersehen.

Content-Key: 6151927925

Url: https://administrator.de/contentid/6151927925

Printed on: February 27, 2024 at 23:02 o'clock

Member: Spirit-of-Eli
Spirit-of-Eli Nov 14, 2023 at 19:12:36 (UTC)
Goto Top
Moin,

machst du das renewal z.b. über Certbot?

Dann schau mal in die Logs unter /var/logs/letsencrypt

Dort steht dann auch der Grund für den Fehler drin.

Gruß
Spirit
Member: DRIV3R
DRIV3R Nov 14, 2023 updated at 19:20:36 (UTC)
Goto Top
Ich tippe auf eine „falsche“ Hairpin / NAT Reflection Konfiguration.

Hier die logs:
 [11/14/2023] [7:01:18 PM] [SSL      ] › ℹ  info      Renewing SSL certs close to expiry...
[11/14/2023] [7:08:27 PM] [SSL      ] › ✖  error     Error: Command failed: certbot renew --non-interactive --quiet --config "/etc/letsencrypt.ini" --work-dir "/tmp/letsencrypt-lib" --logs-dir "/tmp/letsencrypt-log" --preferred-challenges "dns,http" --disable-hook-validation    
Failed to renew certificate npm-2 with error: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fb6aab95470>: Failed to establish a new connection: [Errno -3] Temporary failure in name resolution'))  
All renewals failed. The following certificates could not be renewed:
  /etc/letsencrypt/live/npm-2/fullchain.pem (failure)
1 renew failure(s), 0 parse failure(s)

    at ChildProcess.exithandler (node:child_process:402:12)
    at ChildProcess.emit (node:events:513:28)
    at maybeClose (node:internal/child_process:1100:16)
    at Process.ChildProcess._handle.onexit (node:internal/child_process:304:5)

Bekomme die Logs gerade nicht besser formatiert.
Member: DRIV3R
DRIV3R Nov 14, 2023 at 19:35:37 (UTC)
Goto Top
Hier noch meine aktuelle reflection Einstellung.

img_0042.
Member: Spirit-of-Eli
Solution Spirit-of-Eli Nov 14, 2023 at 19:59:34 (UTC)
Goto Top
Auf die schnelle würde ich sagen, dass dein Server keine Verbindung mit LetsEncrypt aufbauen kann.
Member: commodity
Solution commodity Nov 14, 2023 at 20:28:21 (UTC)
Goto Top
Hallo,
der Kollege @Spirit-of-Eli bringt es auf den Punkt.
Die Log-Meldung sagt doch auch recht klar, warum:
Failed to renew certificate npm-2 with error: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): ... Failed to establish a new connection: [Errno -3] Temporary failure in name resolution'))    
(Beachte das Ende der Zeile).

Der Server kann zwar, wie Du beschreibst, erreicht werden, seinerseits aber wohl gar nicht letsencrypt.org erreichen.
Probier mal ein ping und/oder ein telnet auf letsencrypt.org.
Wenn das nicht geht, ist wahrscheinlich entweder Dein DNS nicht sauber konfiguriert oder die Firewall lässt den Servertraffic nicht raus.

Die NAT-Reflection dürfte IMO nur bei Anfragen aus Deinem eigenen LAN auf externe Adressen von (internen) Servern eine Rolle spielen. Hier wird aber wohl letsencrypt.org nicht erreicht.

Viele Grüße, commodity
Member: DRIV3R
DRIV3R Nov 14, 2023 at 20:44:58 (UTC)
Goto Top
Oh man.
Ich sehe die Logs und Frage mich, warum dieser Fehler……

Dann eure Antworten…

Jetzt rechne ich ein paar Tage hin und her und Peng.

Mein Docker Host hat sich beim Wechsel von Pi-hole auf AdGuard verschluckt. Und ich hab es nicht gemerkt.

Läuft alles. Danke für eure Hinweise um dem Fehler auf die Schliche zu kommen.
Member: commodity
commodity Nov 14, 2023 at 21:14:43 (UTC)
Goto Top
Dafür ist das Forum doch da face-smile
Danke für's Feedback!

Viele Grüße, commodity