Dienste im Heimnetzwerk mit domain/subdomain erreichbar machen, statt per IP

  • Doch, die Screenshots sind zu sehen, aber in den Screensshots ist nichts von der DNS Challenge zu sehen. Wenn Letsencrypt seinen TXT von der Domain abrufen will, sollte ein entsprechender Eintrag vorhanden sein. Ist es auf deinen Screenshots aber nicht.

    Der TXT eintrag wird angelegt. Siehe Posst drüber. Oder muss ich den anlegen. Dachte nicht...

  • Wie setzt du die ACME Challenge? Über ein automatisiertes Script? Wie lange ist die Wartezeit zwischen Setzen und Abrufen durch Letsencrypt? Die DNS Server bei Netcup brauchen nach dem Speichern ja einige Zeit, bis die Einträge aktiv werden.

  • Meinst du das letsencrypt log? Hab ich im Pfad den die Fehlermeldung angibt nicht gefunden.

    Hmm, sind dann die notwendigen Abhängigkeiten für die DNS Geschichten zu Netcup / DuckDNS installiert?

    Funktioniert hier ein anderer Client (lego, acme.sh), oder eine andere Certbot Installation?


    Ports eingehend muss ich ja keine öffnen, oder? Raspi hängt hinter der Fritzbox. Keine Ports von außen erreichbar.

    Nein, brauchst du nicht. Ich habe auch entsprechende Zertifikate bei mir im Netz ohne offene Ports - allerdings mit Caddy und Cloudflare.

  • Wie setzt du die ACME Challenge? Über ein automatisiertes Script? Wie lange ist die Wartezeit zwischen Setzen und Abrufen durch Letsencrypt? Die DNS Server bei Netcup brauchen nach dem Speichern ja einige Zeit, bis die Einträge aktiv werden.

    Naja wie auf den Screenshots im NPM. Dachte der erledigt dass alles per Skript und API

  • Bei netcup braucht es vielleicht auch mehr. Wenn man in der Weboberfläche die DNS Einstellungen ändert, stehen die Einträge auch zunächst auf "ungültig". Der DNS Server synchronisiert die Settings nur alle 10 Minuten, soweit ich weiß. Wie lange de Phase bis zur Aktivierung dauert, wenn man die Einträge per API ändert, weiß ich nicht, aber im Zweifel würde ich auch von 10 Minuten ausgehen. Schau dich mal im Help Center um, da findet sich bestimmt was dazu.

  • Bei netcup braucht es vielleicht auch mehr. Wenn man in der Weboberfläche die DNS Einstellungen ändert, stehen die Einträge auch zunächst auf "ungültig". Der DNS Server synchronisiert die Settings nur alle 10 Minuten, soweit ich weiß. Wie lange de Phase bis zur Aktivierung dauert, wenn man die Einträge per API ändert, weiß ich nicht, aber im Zweifel würde ich auch von 10 Minuten ausgehen. Schau dich mal im Help Center um, da findet sich bestimmt was dazu.

    Hatte schon auf DNS Delay 300s umgestellt, hab ich bei allen Domains so.

    Aber wie gesagt DuckDNS geht ja auch nicht


    Am Adguard Hom, der bei mir noch läuft kann es nicht liegen?


    Gerade nochmal probiert. TXT Einträge werden in den DNS der Domain angezeigt, API LOG sagt auch "erfolgreich", NPM SSL generierung läuft und läuft, bricht dann ab, TXT Eintrage in den DNS der Domain sind wieder weg.

  • hi, habe das ganze jetzt nur überflogen, aber wieso tragt ihr die LAN IP im netcupDNS ein?

    Da komm ich gerade nicht mit hinterher....


    Vielleicht hilft dir das ganze ein bischen wenn ich mein Setup aufzeige, hab allerdings meine DNS bei cloudflare und nutze das 15Jahre cert von denen.


    Im Router 80 und 443 öffnen für NPM

    Bei CF Zertifikat für domain.tld und *.domain.tld ausgestellt und bei NPM eingepflegt (sollte auch mit LE gehen, denke ich)

    DDNS Dienst der die *.domain.tld auf meine öffentliche IP setzt (benutze die Hauptdomain auf einem vServer als Mail darum nur der * wildcard eintragt der nach Hause zeigt.)


    Das wars eigentlich auch schon, jetzt nur noch die subdomains bei NPM eintragen und aufzeigen wo der Dienst liegt beispiel:


    sub.domain.tld -> http://interneIP:Port



    Sonst könnte man auch den CF Argo Tunnel als reverse proxy nutzen, weiß aber nicht ob die DNS auch bei denen geführt werden muss oder ob den jeder nutzen kann.

  • Danke aber CF kommt aktuell nicht in Frage

  • Funktioniert es, wenn du die ACME Challenge von Hand einträgst? Ist sichergestellt, dass die API-Update-Scripte Zugriff auf die richtige Challenge haben?

    Was soll ich wo bei der ACME Challenge eintragen?

    Welche Skripte? Wie gesagt. Ich trage nur meine API Daten im NPM ein. Mehr hab ich nicht

  • Was soll ich wo bei der ACME Challenge eintragen?

    Na da, wo sie sonst automatisch eingetragen werden. Das hast du ja überprüft. Jedenfalls hast du das behauptet. Die Frage ist: Wurde das richtige eingetragen? Und was ist damit passiert, nachdem der Vorgang gescheitert ist?


    Welche Skripte?

    Die, die die Ausführung machen. Deren Output sieht man ja oben, auch die Voraussetzungen, die sie brauchen.

  • Wie gesagt, die TXT Einträge wurden wieder automatisch gelöscht, nachdem das ganze gescheitert ist. Ich hab nix gemacht.

    Scheint wohl sehr unsauber zu sein das ganze in NPM. Wenn die so ne Funktion anbieten, dann sollte sie auch ohne weiteres Zutun laufen…

  • Das halte ich für zu wenig. Es ist nahezu unmöglich, dass die Lets Encrypt Server nach so kurzer Zeit schon Ergebnisse bekommen. Neben der Aktualisierungszeit muss man ja auch TTL in Betracht ziehen.


    Du kannst ja mal parallel zum Vorgang die DNS Challenge per nslookup aufrufen und schauen, ob sie aufgelöst wird.

  • Das halte ich für zu wenig. Es ist nahezu unmöglich, dass die Lets Encrypt Servef nach so kurzer Zeit schon Ergebnisse bekommen. Neben der Aktualisierungszeit muss man ja auch TTL in Betracht ziehen.


    Du kannst ja mal parallel zum Vorgang die DNS Challenge per nslookup aufrufen und schauen, ob sie aufgelöst wird.

    Sorry, da bin ich überfragt...

  • 5 Min sind definitiv zu knapp.


    Setze die Waittime mal höher (kA wo das bei NPM geht... ich nutze einen eigenständigen acme Client).


    Die Netcup DNS Zonen werden nur alle 10 Min erneuert und mit 630 Sek Wartezeit fahre ich bisher sehr gut.