[TUT] Lets Encrypt https ohne offene Ports

Hm, irgendwas muss ich wohl noch einstellen...

Also ich will einen Server von außen erreichbar machen. nginx konfiguriert, SSL konfiguriert, server konfiguriert, alles läuft (von außen)

Aber wenn ich versuche von innen (LAN) per domain auf meinen Server zuzugreifen funktioniert das nicht. Bei mir kommt immer die Loginseite der Fritzbox. Ich habe bei der Fritzbox aber schon bei Heimnetz->Netzwerk->Netzwerkeinstellungen->IPv4-Einstellungen auch schon den DNS server auf adguard gesetzt. Zusätzlich habe ich die Domains in den DNS-Rebind-Schutz eingetragen. Hilft leider alles nichts. Es kommt trotzdem noch die Fritzbox-Seite.

Hast du noch Ideen?

Also der richtige DNS Server kommt am PC an, das habe ich überprüft.

Hmm, da ich das woanders auch schon gelesen hatte:

Könnte das Problem von IPv6 kommen?

Meine Domains und subdomains liefern beim Ping eine IPv6 Adresse und bei allen domains und subdomains die gleiche, was logisch ist, da sie alle auf die Fritzbox zeigen (ist die IPv6 der Fritzbox)

Wenn Du eine öffentliche IPv4 hast, und diese auch nutzt, kannst Du doch die IPv6 einfach im Router deaktivieren, dann kommt die doch schon mal garantiert nicht mehr sichtlich in die Quere.

Ich konnte jetzt verifizieren (gestern war es einfach schon zu spät):

Es liegt eindeutig an IPv6, ich weiß nur noch nicht genau warum (kann nginx evtl. nicht mit IPv6 umgehen oder Portweiterleitungen funktionieren bei IPv6 nicht, oder Portweiterleitungen müssen für IPv6 bei der Fritzbox anders erfolgen?). Ich kenne mich zwar bei IPv4 einigermaßen aus, aber bei IPv6 noch nicht so wirklich. Ich muss mich diesbezüglich mal einlesen.

Fakt ist: Sobald ich IPv6 deaktiviert habe, funktioniert es. Ich brauche dann auch keine Einträge in DNS-Rebind und auch kein Adguard. Dabei spielt es keine Rolle, ob in der Fritzbox IPv6 nach außen oder nach innen deaktiviert ist. Ein Ping zur domain liefert dann auch ein IPv4-Adresse (die der Fritzbox)

Da es bei mir erst funktioniert hatte und am nächsten Tag nicht, lag wohl daran, dass die Verbindung an einem Tag über IPv4 und am andern Tag über IPv6 erfolgt ist.

Ich werde jetzt IPv6 wieder aktivieren und das über mehrere Tage verfolgen mittels Ping und Erreichbarkeit des Servers (Erreichbarkeit per IPv4 oder IPv6).

Ha, musste gar nicht lange warten. Sobald ich IPv6 aktiviert habe ging der Ping auf eine IPv6 Adresse und der Server war über die Domain nicht mehr erreichbar.

IPv6 deaktiviert (Router Advertisement in der Fritzbox) und schon geht der Ping auf eine IPv4 Adresse und die Domain ist wieder erreichbar.

Ich bin auch nicht mit IPv6 bewandert, aber IOv6 braucht keine IP mehr, da alle Geräte im Netz einzeln und direkt anhand der Mac Adresse angesprochen werden.

Evtl. schaut ja Benares mal hier vorbei , der kennt sich da ganz gut aus und kann zumindest ein bisschen mehr Licht in die Sache bringen, warum ,was weshalb ....

Ich habe das nur als Tipp gegeben , da dieses Problem häufiger auftritt .

Geweckt habe ich ihn ja jetzt schon einmal 😉

Also ich hatte das Macvlan neu aufgesetzt (mit IPv6), danach nginx eine IPv6 Adresse und meinem Testserver (searxng) auch eine IPv6 Adresse gegeben. Konnte ich alles anpingen. Aber sobald ich die Domain aufrufe, lande ich wieder bei der Fritzbox.

Erst das Deaktivieren von IPv6 in der Fritzbox hilft (Fallback auf IPv4).

eineb Genau das tritt häufiger auf, daher bin ich auf IPv6 als mögliches Problem gestossen. Wenn ich genug Infos gesammelt habe, werde ich wohl einen allgemeinen Post machen, um das Problem und die mögliche Lösung zu beschreiben. Dann hilft das auch anderen, die das gleiche Problem haben. Aktuell ist diese Information ja ziemlich verstreut.

Super wäre es ja, wenn man das irgendwie beheben könnte, d.h. IPv6 nicht mehr abschalten müsste.

Bis auf Nginx hab ich alles in Portainer drin.

Das wird ein Spass werden das alles umzusetzen. Da werd ich erstmal gefühlt 10-mal lesen müssen, bevor ich was anfange

igomyway versuch‘s mal mit dem Stack, wenn du kein MacVLAN hast

version: '3.8'
services:
  app:
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      # These ports are in format <host-port>:<container-port>
      - '80:80' # Public HTTP Port
      - '443:443' # Public HTTPS Port
      - '9081:81' # Admin Web Port
      # Add any other Stream port you want to expose
      # - '21:21' # FTP

    # Uncomment the next line if you uncomment anything in the section
    # environment:
      # Uncomment this if you want to change the location of
      # the SQLite DB file within the container
      # DB_SQLITE_FILE: "/data/database.sqlite"

      # Uncomment this if IPv6 is not enabled on your host
      # DISABLE_IPV6: 'true'
    
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt

*kw* , Macvlan läuft in Portainer. Schau mir das trotzdem mal an. Ein Versuch ist es vielleicht wert.

Dann nimm das, nur mvl und IP anpassen

services:  
  app:  
    image: 'jc21/nginx-proxy-manager:latest'  
    container_name: nginx  
    hostname: nginx  # Hostname für den Container  
    restart: unless-stopped  
    ports:  
      - '80:80'       # Public HTTP Port (da 80 ja meistens schon belegt ist)  
      - '443:443'      # Public HTTPS Port (da 443 ja meistens schon belegt ist)  
      - '81:81'       # Admin Web Port (Weboberfläche) Ports können natürlich wieder verändert werden  
    volumes:  
      - /volume1/docker/nginx/data:/data # Data Verzeichniss  
      - /volume1/docker/nginx/tmp/le_logs:/tmp/letsencrypt-log # für die LOG dateien  
      - /volume1/docker/nginx/letsencrypt:/etc/letsencrypt # Hier werden die Zertifikate abgelegt  
    environment:  
      - DB_SQLITE_FILE=/data/database.sqlite  # Hab mich für die SQLite entschieden. War für mich der einfachste weg.  
      - USER_ID=1000                          # Deine UID (dein Wert, siehe oben)  
      - GROUP_ID=10                           # Deine GID (dein Wert, siehe oben)  
      - TZ=Europe/Berlin                      # Zeitzone hinzufügen  
    labels:  
      - "com.centurylinklabs.watchtower.enable=true"  # Watchtower Label für automatische Updates
    networks:
           default:
              ipv4_address: 192.168.7.83 #Adapt the IP address according to your environment
networks:
  default:
    name: mvl #Customize the name of your MacVlan according to your environment
    external: true

*kw*, das hast Du davon , nebenbei läuft „findet Nemo“ und ich habe mich an Nginx herangetraut. Mit den Änderungen passend zu meinem MacVlan usw., bin ich gerade auf der Startseite von Nginx angekommen. Anmeldedaten rein und gleich geändert mit allem Pipapo und erstmal hab ich das fertig. Nun wird in Ruhe der nächste Schritt folgen, will nicht wieder irgendwas zerklumpen.

Jetzt zu DuckDNS und ’ne Domain „besorgen“?

das ist es dann erstmal gewesen

ich fülle im driten Bild aus wie beschrieben und folgendes erscheint

CommandError: Saving debug log to /tmp/letsencrypt-log/letsencrypt.log
Error parsing credentials configuration '/etc/letsencrypt/credentials/credentials-8': Invalid line ('597d845a-39ee-4842-b5a1-7e990879d3ec') (matched as neither section nor keyword) at line 1.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /tmp/letsencrypt-log/letsencrypt.log or re-run Certbot with -v for more details.

    at /app/lib/utils.js:16:13
    at ChildProcess.exithandler (node:child_process:430:5)
    at ChildProcess.emit (node:events:524:28)
    at maybeClose (node:internal/child_process:1104:16)
    at ChildProcess._handle.onexit (node:internal/child_process:304:5)

ich ahne es schon, ich sperre mich wieder aus und muss alles neu aufsetzen

Irgendwas ist bei vielen die nginx nutzen bis es läuft.

Zeig mir mal bitte Screenshots vom npm, nur das wo DU einträge hast. bitte nur das notwendigste schwärzen

This image is exclusive to our members!
Please log in or register for free to view graphics and attachments.

Die Domain ist ohne eingetragen. Habe mir von duckDNS extra nach Erstellen dieser per Shutter ein Bildschirmfoto erstellt. Den Token herauskopiert und in LibreOffice reinkopiert.

Was wird noch benötigt? Screen von duckDNS?

Ich hätte gern noch die SSL seite gesehen.

This image is exclusive to our members!
Please log in or register for free to view graphics and attachments.

Ich such’ und lese ja auch weiter. In der Fritz 7590 den Port 80 über Portfreigabe freigeben?

1. Gehe auf deine FritzBox (z. B. http://fritz.box)
2. Menü:
   Internet → Freigaben → Portfreigaben
3. Stelle sicher, dass folgende Regeln existieren:

beispiel