OPNsense Nginx Lets encrypt renewal Fehler

Guten Abend zusammen,

mein neues System läuft inzwischen seit fast 90 Tagen stabil.

Zur Erinnerung:

Protectli mit Proxmox und darauf OPNsense
WAN - Vigor 167 - DSL
LAN - "altes Netwerksegment 192.168.
VLAN1 - Management 10.0.1
VLAN10 - Home 10.0.10.
VLAN20 - IoT 10.0.20.

Auf einer weiteren Proxmox VM 192.168.20.3 läuft Docker mit vaultwarden und nginx bereits sein einem halben Jahr.

Vor dem Wechsel auf OPNsense (FRITZ!Box) lief das SSL renewal sauber.

Nach der Umstellung wird das Zertifikat, welches ich für vaultwarden nutze, nicht mehr erneuert.

Ich habe also irgendwie was vergessen oder übersehen.

Ich leite über die NAT Regel die Ports 80 und 443 an die 192.168.20.3 weiter.

Wenn ich meine DDNS Adresse aufrufe, komm ich auch auf meine vaultwarden Instanz. Aber in ein paar Tagen ist es abgelaufen.

Habt ihr einen Tipp für mich? Was hab ich übersehen.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 6151927925

Url: https://administrator.de/forum/opnsense-nginx-lets-encrypt-renewal-fehler-6151927925.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

7 Kommentare

Neuester Kommentar

Moin,

machst du das renewal z.b. über Certbot?

Dann schau mal in die Logs unter /var/logs/letsencrypt

Dort steht dann auch der Grund für den Fehler drin.

Gruß
Spirit

Ich tippe auf eine „falsche“ Hairpin / NAT Reflection Konfiguration.

Hier die logs:

 [11/14/2023] [7:01:18 PM] [SSL      ] › ℹ  info      Renewing SSL certs close to expiry...
[11/14/2023] [7:08:27 PM] [SSL      ] › ✖  error     Error: Command failed: certbot renew --non-interactive --quiet --config "/etc/letsencrypt.ini" --work-dir "/tmp/letsencrypt-lib" --logs-dir "/tmp/letsencrypt-log" --preferred-challenges "dns,http" --disable-hook-validation    
Failed to renew certificate npm-2 with error: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fb6aab95470>: Failed to establish a new connection: [Errno -3] Temporary failure in name resolution'))  
All renewals failed. The following certificates could not be renewed:
  /etc/letsencrypt/live/npm-2/fullchain.pem (failure)
1 renew failure(s), 0 parse failure(s)

    at ChildProcess.exithandler (node:child_process:402:12)
    at ChildProcess.emit (node:events:513:28)
    at maybeClose (node:internal/child_process:1100:16)
    at Process.ChildProcess._handle.onexit (node:internal/child_process:304:5)

Bekomme die Logs gerade nicht besser formatiert.

Hier noch meine aktuelle reflection Einstellung.

Auf die schnelle würde ich sagen, dass dein Server keine Verbindung mit LetsEncrypt aufbauen kann.

Hallo,
der Kollege @Spirit-of-Eli bringt es auf den Punkt.
Die Log-Meldung sagt doch auch recht klar, warum:

Failed to renew certificate npm-2 with error: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): ... Failed to establish a new connection: [Errno -3] Temporary failure in name resolution'))    

(Beachte das Ende der Zeile).

Der Server kann zwar, wie Du beschreibst, erreicht werden, seinerseits aber wohl gar nicht letsencrypt.org erreichen.
Probier mal ein ping und/oder ein telnet auf letsencrypt.org.
Wenn das nicht geht, ist wahrscheinlich entweder Dein DNS nicht sauber konfiguriert oder die Firewall lässt den Servertraffic nicht raus.

Die NAT-Reflection dürfte IMO nur bei Anfragen aus Deinem eigenen LAN auf externe Adressen von (internen) Servern eine Rolle spielen. Hier wird aber wohl letsencrypt.org nicht erreicht.

Viele Grüße, commodity

Oh man.
Ich sehe die Logs und Frage mich, warum dieser Fehler……

Dann eure Antworten…

Jetzt rechne ich ein paar Tage hin und her und Peng.

Mein Docker Host hat sich beim Wechsel von Pi-hole auf AdGuard verschluckt. Und ich hab es nicht gemerkt.

Läuft alles. Danke für eure Hinweise um dem Fehler auf die Schliche zu kommen.