[traefik] Letsencrypt Zertifikate werden nicht installiert

[Speznaz209]

Hallo Comunity,

ich habe folgendes Problem:
Die Installation hat soweit ohne Probleme geklapt, auch das Forwarding vonm 80 auf 591 funktioniert.
Nextcloud und andere Instanzen habe ich entsprechend in Traefik "rein" bekommen und diese sind mit den Sub-Domains erreichbar.
Aber:

Traefik zieht keine Letsencrypt-Zertifikate, wodurch natürlich die Verbindung als ungesichert angegeben wird.

Hier mal die Auszüge aus der Docker Compose:

Code: Alles auswählen

  nextcloud:
    image: nextcloud
    container_name: nextcloud
#    ports:
#      - "8080:80"
    labels:
      - traefik.enable=true
      - traefik.http.routers.nextcloud.middlewares=nextcloud,nextcloud_redirect
      - traefik.http.routers.nextcloud.tls.certresolver=letsEncrypt
      - traefik.http.routers.nextcloud.rule=Host(`ncp.XXX.ddnss.ch`)
      - traefik.http.routers.nextcloud.entrypoints=web, web-secured
      - traefik.http.routers.nextcloud.tls=true
      - traefik.http.middlewares.nextcloud.headers.stsSeconds=15552000
      - traefik.http.middlewares.nextcloud.headers.stsPreload=true
      - traefik.http.middlewares.nextcloud_redirect.redirectregex.permanent=true
      - traefik.http.middlewares.nextcloud_redirect.redirectregex.regex=^https://(.*)/.well-known/(card|cal)dav
      - traefik.http.middlewares.nextcloud_redirect.redirectregex.replacement=https://$${1}/remote.php/dav/
    volumes:
      - ./volumes/nextcloud/html:/var/www/html

Code: Alles auswählen

  traefik:
    image: traefik:v2.4
    container_name: traefik
    restart: unless-stopped
    ports:
      - "80:80" # as internal http
      - "591:591" # as external http
      - "2280:8080" # config port
      - "443:443" # external https
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - ./volumes/traefik/traefik/:/etc/traefik/
      - ./volumes/traefik/letsencrypt:/letsencrypt
    labels:
     - traefik.enable=true
     - traefik.http.routers.traefik.rule=Host(`XXX.ddnss.ch`)
     - traefik.http.routers.traefik.entrypoints=web, web-secured, lan
     - traefik.http.routers.traefik.tls=true
     - traefik.http.routers.traefik.tls.certresolver=letsEncrypt

    logging:
      options:
        max-size: "5m"
        max-file: "3"

Sowie der Traefik-Statik-Konfig:

Code: Alles auswählen

certificatesResolvers:
  letsEncrypt:
    acme:
      email: XXX@XXX.de
      storage: /letsencrypt/acme.json
      # caserver: https://acme-staging-v02.api.letsencrypt.org/directory # this is for testing
      caserver: https://acme-v02.api.letsencrypt.org/directory
      httpChallenge:
        entryPoint: web

providers:
  docker:
    endpoint: unix:///var/run/docker.sock
    exposedByDefault: false
  file:
    directory: /etc/traefik/dynamic/

Der Port-Check bei ddnss hat ergeben, dass Port 80 und 443 aus den Netz her offen sind.
Trotzdem ist die acme.json leer und wird auch nicht gefüllt.

Diverse Einstellungen habe ich schon versucht, aber es will einfach nicht.
Hat noch einer eine Idee woran es liegen könnte ?

[Speznaz209]

Auf der Suche nach den Fehler bin ich nun auf folgende Einträge im Log gestoßen:

Code: Alles auswählen

time="2021-12-05T09:29:15Z" level=error msg="Unable to obtain ACME certificate for domains \"ncp.rgiesecke.ddnss.ch\": cannot get ACME client get directory at 'https://acme-v02.api.letsencrypt.org/directory': Get \"https://acme-v02.api.letsencrypt.org/directory\": dial tcp: lookup acme-v02.api.letsencrypt.org on 127.0.0.11:53: read udp 127.0.0.1:59594->127.0.0.11:53: i/o timeout" routerName=nextcloud@docker rule="Host(`ncp.rgiesecke.ddnss.ch`)" providerName=letsEncrypt.acme

[MasterVigori]

Hallo,

Ich leide mit dir und versuche genau das selbe...
Habe genau denn selben DNS Anbieter und das selbe problem.

Wildcard habe ich aktiviert und Acme bei der DNS Anbieter.

Die Seite ist erreichbar kommt aber immer
404 Page not found.

Ports sind alle auch frei in der Fritzbox und die Domain ist erreicht bar mit :8080 am Ende aber https leider nicht

[ei23felix]

check mal ob extern 80 auf intern 591 geht.
Das

Code: Alles auswählen

80:80" # as internal http

kannst du auch auskommentieren, wenn du den Traefik innerhalb des Lan nicht benutzt.

Vielleicht ist hier auch noch was dabei:
viewtopic.php?f=44&t=88

[MasterVigori]

Ok, hab es ausprobiert!

Hat sich etwas geändert

Es kommt bei allen domains
Immer Acme 400 error im log von traefik

• Ursache
  Sie haben in Ihrem Nameserver für die Domain eine IPv6-Route eingetragen (einen AAAA-Record). Wenn eine IPv6-Route vorhanden ist, liest Let’s Encrypt ausschließlich die IPv6-Adresse und versucht, darüber die Verbindung zum Server herzustellen. Scheitert diese Route, versucht Let’s Encrypt nicht, die eventuell zusätzlich vorhandene IPv4-Route zu nutzen, sondern bricht mit dem Fehler 400 und der Meldung eines Timeouts ab.
  
  Grund der Nicht-Erreichbarkeit des Webspace-Kontos via IPv6 ist eine Sicherheitsabschaltung einer von uns eingesetzten Sicherheitssoftware. Sobald nötige Updates von Drittanbietern dieser Software verfügbar werden, werden alle Webspace-Konten auch wieder auf IPv6-Adressen erreichbar werden. Gegenwärtig aber sollten Sie sich ausschließlich auf IPv4 verlassen. Bei Bitpalast gemietete Domainnamen sind automatisch richtig konfiguriert. IPv6 hat gegenüber IPv4 in Verbindung mit Ihrem Webspace-Konto keine Vorteile. Für die Praxis spielt es deshalb keine Rolle, die Domain über die IPv4-Adresse verfügbar zu machen.
  
  Lösung
  Entfernen Sie die IPv6-Adresse (den AAAA-Record) aus Ihrer DNS-Konfiguration. Nutzen Sie ausschließlich IPv4. Warten Sie ca. 4 bis 24 Stunden ab, damit die geänderte Konfiguration überall im Internet verbreitet ist. Versuchen Sie danach die Erstellung oder Verlängerung des SSL-Zertifikats noch einmal.

Bei meinem DDNSS Anbieter habe ich nicht die Möglichkeit nur A einzustellen es teht immer beides da A/AAAA ich könnte noch auf NS einstellen habe aber keine ahnung was das sein soll glaube werde es noch mal sonst mit duckdns testen.

Meine Domain sind erreichbar mit
https://grafana.xxx.ddnss.com funktioniert aber
Https://homeassistant.xxx.ddnss.com starten, kommt aber 400: Bad Request

[MasterVigori]

Hab es jetzt auf duckdns ausprobiert aber auch hier genau das selbe Error:Acme 400 für alle Domain.

Habe gerade auch bemerkt das ich nur auf die Domain komme wenn ich im WLAN bin außerhalb geht nichts

[MasterVigori]

Habe es jetzt doch hinbekommen mit ddnss komme auch von aussen auf die Domain jetzt nur noch der Fehler mit dem Acme 400 Error.

Leider komme ich nicht auf Homeassistant

[Speznaz209]

Bei meinem DDNSS Anbieter habe ich nicht die Möglichkeit nur A einzustellen es teht immer beides da A/AAAA ich könnte noch auf NS einstellen habe aber keine ahnung was das sein soll glaube werde es noch mal sonst mit duckdns testen.

Meine Domain sind erreichbar mit
https://grafana.xxx.ddnss.com funktioniert aber
Https://homeassistant.xxx.ddnss.com starten, kommt aber 400: Bad Request

Bei DDNSS kannst du schon die AAA-Adresse austellen. Einfach den Hacken bei Dual-Stack raus nehmen.
Hab dies auch versucht, aber ohne erfolg. Selbst wenn ich an meiner Fritzbox die IPV6-Adressierung abschalte.

Ich habe jetzt mal eine komplette Neuinstallation versucht, ohne Erfolg. Gleicher Fehler.
Es scheint, dass irgendwie vom traefik der eingehende Traffik nicht richtig weitergegeben wird.
Zumindest halte ich Traefik für das Problem.

[MasterVigori]

Also wenn ich die ports so einstelle in
der docker compose von traefik gehts

- "80:591"
- "591:80"

Und beim Ddnss, mit diesen Einstellung funktioniert vom Bild.

Erst dann wird die Acme.jason erstellt und die Daten sehen mit denn Domains alle richtig aus.

[MasterVigori]

Jetzt hat es alles Funktioniert.... Huhuuuuu...

Also Homeassistant hab ich jetzt aus traefik entfernt das funktioniert nicht keine Ahnung warum.

Port Freigabe
Wurde angepasst im docker-compose von Traefik

- "80:591"

Und das “staging” caserver würde deaktiviert und in denn richtigen Modus gestartet

Jetzt ist es Sicher

Schade das es mit HomeAssistent nicht funktioniert.