ubuntuusers.de

Hallo!

Ich versuche seit Tagen ein SSL Zertifikat für meinen Server von let's encrypt mit certbot zu erhalten. Ich erhalte immer die folgende Fehlermeldung

Failed authorization procedure. [...].dynv6.net (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://[...].dynv6.net/.well-known/acme-challenge/fZb0RhOyXc9iQ8e1iCASNnPE5cH-TVKRJOJSV1wt5jA: Timeout

Es geht dann auch noch weiter:

 Domain: [...].dynv6.net
   Type:   connection
   Detail: Fetching
   http://[...].dynv6.net/.well-known/acme-challenge/fZb0RhOyXc9iQ8e1iCASNnPE5cH-TVKRJOJSV1wt5jA:
   Timeout

Ich bin jetzt echt ratlos, warum das nicht klappt. Hier die Auflistung, was ich schon alles überprüft habe:

1. Port 80 und 443 direkt auf meinen Server von der Fritz!Box gerichtet. Ich erhalte also immer einen Seitenaufruf über beide Ports. Im Falle von 443 wird mir auch direkt das selbst-signierte SSL-Zertifikat vom Apache mit ausgegeben.

2. ServerName ist ebenfalls richtig eingetragen, da ich das bei der certbot Abfrage auch dementsprechend angezeigt bekomme.

3. Vielleicht liegt es am dyn-dns? Ich habe bei dynv6.com auch mal einen CNAME erstellt, was eine Subdomain war und direkt auf meine [...].dynv6.net umlenkte. Dann den ServerName entsprechend geändert. Kein Erfolg.

4. Liegt es an der /etc/hosts? Hier habe ich ebenfalls versucht den Aufruf von [...].dynv6.net als lokale Adresse zu verknüpfen, sodass die Anfrage direkt im Netzwerk verarbeitet werden kann. Das erschien mir zwar unlogisch, war aber ein Versuch. Ebenfalls ohne Erfolg. Da allerdings eine exteren IP-Adresse anzugeben ebenso, weil sich die ja bei einer Neuverbindung des Routers wieder ändert. Deswegen ja der dyn...

5. SSL ist in Apache aktiviert (sonst hätte ich auch ein TimeOut beim Aufruf - siehe 1. -)

6. DocumentRoot für das Verzeichnis /var/www wird ja automatisch gesetzt und ich habe dies in meienr Ratlosigkeit ebenfalls für /var/www/html getan. Kein Erfolg.

7. Ich habe auch mal https://www.google.de gepingt und auch mit curl abgerufen. Klappt alles!

Ich bin mir ziemlich sicher, dass ich den Wald vor lauter Bäumen nicht mehr sehe und es vielleicht an einer ganz simplen Sachen liegen wird. Kann mir hier jemand weiterhelfen? Sieht einer den Wald?

Fiodin schrieb:

1. Port 80 und 443 direkt auf meinen Server von der Fritz!Box gerichtet. Ich erhalte also immer einen Seitenaufruf über beide Ports. Im Falle von 443 wird mir auch direkt das selbst-signierte SSL-Zertifikat vom Apache mit ausgegeben.

Auch getestet von anderen fremden Netzwerken aus?

sebix schrieb:

Fiodin schrieb:

1. Port 80 und 443 direkt auf meinen Server von der Fritz!Box gerichtet. Ich erhalte also immer einen Seitenaufruf über beide Ports. Im Falle von 443 wird mir auch direkt das selbst-signierte SSL-Zertifikat vom Apache mit ausgegeben.

Auch getestet von anderen fremden Netzwerken aus?

Bei dynv6.net frage ich mich auch direkt: Ist dein Server auch im IPv4 Netz erreichbar? Die Let's Encrypt acme-Challenge funktioniert nämlich nicht über IPv6.

sebix schrieb:

Auch getestet von anderen fremden Netzwerken aus?

Ja, klar! Die Tage auf der Arbeit und heute zu Hause mit dem HotSpot vom Handy aus. Ich komme mit dem dyn von außerhalb auf die Webseite der nextcloud. Auch der Sync mit dem Handy läuft ohne Probleme

GTAzoccer schrieb:

Bei dynv6.net frage ich mich auch direkt: Ist dein Server auch im IPv4 Netz erreichbar? Die Let's Encrypt acme-Challenge funktioniert nämlich nicht über IPv6.

Mein ISP unterstützt dual-stack. Daher ist mein Router über v6 UND v4 erreichbar. Genau das war der Grund zu dynv6.net zu gehen. Hinter dem dyn sind auch immer beide Adressen hinterlegt.

Der Tipp ist gut! 👍 Ich schaue mal, ob ich da einfach händisch die v6 Adresse wieder raus lösche und versuche es dann noch einmal.

Ich werd welk! Vielen lieben Dank an GTAzoccer!!! Ich habe eben die v6 Adresse bei meinem DYN-Anbieter raus gelöscht und certbot lief einwandfrei durch. Jetzt habe ich zwei Frage noch: Die ACME-Challenge braucht certbot doch auch für die Erneuerung des Zertifikats? Falls dem so ist, kann ich diese Domain nie mit v6 Adressen hinterlegen lassen?

Fiodin schrieb:

Die ACME-Challenge braucht certbot doch auch für die Erneuerung des Zertifikats?

Ja. LE möchte alle drei Monate aufs neue sicherstellen, dass die Domain auch tatsächlich unter deiner Gewalt ist.

Fiodin schrieb:

Falls dem so ist, kann ich diese Domain nie mit v6 Adressen hinterlegen lassen?

Das sollte normalerweise kein Problem sein. Der Challenge Server von LE löst deine Domain immer nach IPv4 auf und versucht dahin zu verbinden. Ob noch zusätzlich ein IPv6 Eintrag vorhanden ist, dürfte dabei nicht stören. Darum frage ich nochmal ob du auch mal getestet hast, ob du von extern auch explizit über IPv4 erreichbar bist. Hast du bei deinen Tests in den Geräten währenddessen IPv6 deaktiviert?

Edit: Dann hätte es nach dem rauslöschen des Eintrags ja auch nicht gehen dürfen. Denkfehler meinerseits. Hast du mal geguckt, ob dynv6.net auch wirklich beide Einträge liefert, wenn du den v6 Eintrag drin hast?

host [...].dynv6.net

Mehr fällt mir dann leider dazu auch nicht ein.

GTAzoccer schrieb:

Hast du mal geguckt, ob dynv6.net auch wirklich beide Einträge liefert, wenn du den v6 Eintrag drin hast?

Direkt getestet habe ich es nicht, weil ich noch nie das testen musste. Es muss aber so sein, weil ich auf meine Geräte von der Arbeit aus zugreifen kann und auf die fritzbox meines Vaters, welche nur über v6 im Netz ist und dementsprechend auch bei dynv6 nur mit ner v6 Adresse ist, eben nicht. Wennste es testen willst, dann gebe ich Dir mal eine meiner dyn-Adressen.

GTAzoccer schrieb:

Das sollte normalerweise kein Problem sein. Der Challenge Server von LE löst deine Domain immer nach IPv4 auf und versucht dahin zu verbinden.

Klappt das jetzt nun mit dem renew, wenn ich da über v6 ausrollen lasse oder nicht?

Fiodin schrieb:

Direkt getestet habe ich es nicht, weil ich noch nie das testen musste. Es muss aber so sein, weil ich auf meine Geräte von der Arbeit aus zugreifen kann und auf die fritzbox meines Vaters, welche nur über v6 im Netz ist und dementsprechend auch bei dynv6 nur mit ner v6 Adresse ist, eben nicht. Wennste es testen willst, dann gebe ich Dir mal eine meiner dyn-Adressen.

Soweit musst du nicht gehen, wenn du nicht willst. Mit dem von mir vorgeschlagenen host in einem Terminal würdest du bereits testen können, welche Records vom DNS ausgegeben werden ...

Fiodin schrieb:

Klappt das jetzt nun mit dem renew, wenn ich da über v6 ausrollen lasse oder nicht?

Nun. Das Erneuern ist technisch identisch mit dem Erstellen eines Zertifikats. (Nur dass clientseitig ein Altes damit ersetzt wird) Die ACME-Challenge läuft hier genauso ab. Wenns beim Erstellen in deiner Konstellation gehakt hat, wird es das beim Erneuern wohl auch tun.

Du könntest auch mal mit einem externen Portscantool schauen, ob tcp/80 und tcp/443 auch wirklich über IPv4 erreichbar sind.
Hier wäre zb einer, den ich gerade über Google gefunden habe. (Brauche solche Webtools selbst normalerweise nicht. 😉 )

GTAzoccer schrieb:

Mit dem von mir vorgeschlagenen host in einem Terminal würdest du bereits testen können, welche Records vom DNS ausgegeben werden ...

Den Vorschlag hatte ich irgendwie überlesen. Hier der Auszug von host:

[...].dynv6.net has address 87.123.XX.XXX
[...].dynv6.net has IPv6 address 2001:16b8:XXX:XXXX:XXXX:XXXX:XXXX:XXX

Es werden also v6 und v4 aufgelöst.

GTAzoccer schrieb:

Du könntest auch mal mit einem externen Portscantool schauen, ob tcp/80 und tcp/443 auch wirklich über IPv4 erreichbar sind.

Der Scan liefert leider keine Ausgabe, ob die nur über v4 suchen, aber 80 und 443 klappen. Muss ja auch, weil ich auf meine nextcloud von überall ohne Probs komme.

Was aber das Erneuern betrifft:
Ich habe mal den dry-run versucht. Hätte ich auch früher drauf kommen können... :facepalm: Klappte nicht, wenn die Adresse auch über v6 zu erreichen ist.
Nach Löschen der v6 Adresse lief der renew durch.
☹

Fazit:
Let's encrypt macht IPv6-Adressen nicht mit. Damit mache ich das hier als "gelöst" zu. Vielen lieben Dank an alle für die Hilfe.

Fiodin schrieb:

GTAzoccer schrieb:

Du könntest auch mal mit einem externen Portscantool schauen, ob tcp/80 und tcp/443 auch wirklich über IPv4 erreichbar sind.

Der Scan liefert leider keine Ausgabe, ob die nur über v4 suchen,

Bei Angabe der jeweiligen IP-Adresse ist dies eindeutig

sebix schrieb:

Bei Angabe der jeweiligen IP-Adresse ist dies eindeutig

Das ist richtig. So richtig weiß ich zwar nicht, warum das der Fehler sein soll, weil aus meinem Eingangspost (1.) mir bereits bekannt und weil es beim renew dry-run dann erst geklappt hat, als die IPv6 Adresse abgeschaltet wurde. Der Vollständigkeit halber aber hier der Screenshot vom Portscan mit der IPv4 Adresse. Übersehe ich was und habe das Thema zu früh geschlossen?

Auf deinem Screenshot sieht soweit alles i.O. aus.

Ich muss allerdings meine erste Aussage zu diesem Thema wieder revidieren. Dein Problem hat mich etwas hellhörig gemacht. Da ich selbst erst auf einen meiner Server frisch IPv6 dazugeschalten habe und seither noch keine Erneuerung meiner Zertifikate nötig war, wollte ich wissen ob bei mir noch alles geht. Nachdem bei mir der --dry-run erfolgreich durchlief, hab ich in den Apache Logs zu meiner Überraschung festgestellt, dass LE mittlerweile sehr wohl auch über IPv6 validiert.

66.133.109.36 - - [29/Jan/2018:17:45:56 +0100] "GET /.well-known/acme-challenge/Ga00B0o2T4kXjBP6jadiyKvpJGYNTkT2LCZ_fsh-8oQ HTTP/1.1" 200 321 "-" "Mozilla/5.0 (compatible; Let'
s Encrypt validation server; +https://www.letsencrypt.org)"
2600:1f14:ac6:4f10:505a:1249:9e33:edae - - [29/Jan/2018:19:51:18 +0100] "GET /.well-known/acme-challenge/E_tnOq5r1aGuk_LA4QkYsUyAWQ7nOuCkbkd23n3RwpQ HTTP/1.1" 200 321 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

Das ändert die Sicht auf dein Problem natürlich. Jetzt würde ich den Fehler eher bei deiner IPv6 Konfiguration vermuten.

1. War der AAAA DNS Eintrag wirklich korrekt und hat auf den Server gezeigt?

2. Ports erreichen über IPv6 wirklich den richtigen Client?

3. Keine merkwürdige Apachekonfiguration (z.B. über IPv6 anderer vHost als über IPv4 o.Ä.)?

Speziell bei IPv6 ist zu beachten, dass jeder LAN-Client im Heimnetz auch nach außen hin eine eigene IPv6 Adresse besitzt. Dein Router besitzt eine komplette Range. Wenn du dich nun am PC nach deiner IPv6 Adresse erkundigt hast und dein Server aber ein anderes Gerät in deinem LAN ist, hast du evt. die Falsche Adresse eintragen ...

Aufgrund des vorherigen Posts habe ich das Thema nun wieder als ungelöst markiert. Kann ein Admin bitte mein Fazit löschen?!?!

GTAzoccer schrieb:

[...] Nachdem bei mir der --dry-run erfolgreich durchlief, hab ich in den Apache Logs zu meiner Überraschung festgestellt, dass LE mittlerweile sehr wohl auch über IPv6 validiert.

Das ist doch gut.

GTAzoccer schrieb:

1. War der AAAA DNS Eintrag wirklich korrekt und hat auf den Server gezeigt?

Ja, der AAAA zeigt mit der v6 Adresse direkt auf meinen Server und NICHT auf den Router. Screenshot.

GTAzoccer schrieb:

2. Ports erreichen über IPv6 wirklich den richtigen Client?

Laut meinem Router schon: Link. Der untere ist der, welcher mir Probleme macht. Mit dem Mx-Tool Portscanner klappt kein v6. Andere Portscanner geben mir aus, dass :80 und :443 mittels v6 erreichbar sind.

GTAzoccer schrieb:

3. Keine merkwürdige Apachekonfiguration (z.B. über IPv6 anderer vHost als über IPv4 o.Ä.)?

Ich bin die jetzt in der Pause mal durchgegangen. Die vHost sind alle mit *:443 oder *:80. Das sollte also passen, oder?

GTAzoccer schrieb:

Speziell bei IPv6 ist zu beachten, dass jeder LAN-Client im Heimnetz auch nach außen hin eine eigene IPv6 Adresse besitzt. Dein Router besitzt eine komplette Range. Wenn du dich nun am PC nach deiner IPv6 Adresse erkundigt hast und dein Server aber ein anderes Gerät in deinem LAN ist, hast du evt. die Falsche Adresse eintragen ...

Das weiß ich. Das ist ja auch das, wo ich hin will. Ich will Subdomains direkt an spezielle v6 Adressen in mein Netzwerk ausrollen, damit ich die einzelnen Geräte nicht mehr über Ports ansteuern muss. Die fritz!box kann das nicht, aber der nächste Schritt nach dem LE-Zertifikat wäre es einen DHCP für v6 in meinem Netzwerk zu machen, welcher das Präfix und damit auch die vollständigen Adressen verwalten und weitergeben kann.
Das die Konfiguration stimmt, kann man ja den Screenshots entnehmen. Oder übersehe ich was? Die Adressen werden auch alle X-Minuten über ein Script von meinem Server an dynv6.net übermittelt. Das funktioniert auch. Eine andere dyn wird direkt von der fritz!box erneuert. Da ist dann auch richtigerweise die gleiche v4 Adresse, wie bei allen anderen dyns drin, die v6 hat den gleichen Präfix und dieser stimmt auch mit dem Präfix überein, welche mir die fritz!box ausgibt.

Ne ganz andere Idee:
Kann es daran liegen, dass die v4 Adresse auf meinen Router zeigt und die v6 Adresse direkt auf meinen Server?

Guten Abend!
Hat keiner mehr eine Idee, woran das scheitert? Oder sehe ich den Wald vor lauter Bäumen nicht mehr und habe irgendwo einen Fehler in meiner Konfiguration? Oder werden detailliertere Informationen gebraucht?