Meinem RS Brezn kann ich auch noch 7552 GB verpassen.
Beiträge von Virinum
-
-
Irgendwie löscht sich bei mir das IP6 Standard-Gateway nach jedem Neustart des Servers....?
Das habe ich auch beobachtet. Aber IPv6 hat trotzdem immer funktioniert.
Auf die Anzeige im Status würde ich auch nicht so sehr vertrauen. Vielleicht springt das erst um, wenn IPv6-Traffic erkannt wurde.Was sagen denn nach einem Neustart ipconfig /all und ping 2a09::?
-
Die IP vom Gateway hast du auch angepasst? Poste doch mal deine Config-Datei.
-
Gibt's übrigens auch für netcup-news.de (https://www.netcup-news.de/feed/) und netcup-sonderangebote.de (https://www.netcup-sonderangebote.de/feed/)
-
danke, allerdings handelt es sich um eine .com-Domain. Gilt das auch hierfür?
Leider nicht. Da ist die TTL 172800 (48 Stunden).
Code
Alles anzeigendig NS @a.gtld-servers.net example.com ; <<>> DiG 9.10.6 <<>> NS @a.gtld-servers.net example.com ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9705 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;example.com. IN NS ;; AUTHORITY SECTION: example.com. 172800 IN NS a.iana-servers.net. example.com. 172800 IN NS b.iana-servers.net. ;; Query time: 31 msec ;; SERVER: 2001:503:a83e::2:30#53(2001:503:a83e::2:30) ;; WHEN: Wed Mar 13 19:45:46 CET 2024 ;; MSG SIZE rcvd: 88
-
Bei .de-domains kann das durchaus bis zu 24 h dauern, bis das durchpropagiert ist.
Exakt. Hab gerade nochmal nachgeschaut. Die TTL der NS-Recrods ist bei der DENIC 86400 (24 Stunden).
Code
Alles anzeigendig NS netcup.de @f.nic.de ; <<>> DiG 9.10.6 <<>> NS netcup.de @f.nic.de ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26081 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 5, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1452 ;; QUESTION SECTION: ;netcup.de. IN NS ;; AUTHORITY SECTION: netcup.de. 86400 IN NS acns01.xaas.systems. netcup.de. 86400 IN NS acns02.xaas.systems. netcup.de. 86400 IN NS acns03.xaas.systems. netcup.de. 86400 IN NS acns04.xaas.systems. netcup.de. 86400 IN NS acns05.xaas.systems. ;; Query time: 14 msec ;; SERVER: 2a02:568:0:2::53#53(2a02:568:0:2::53) ;; WHEN: Wed Mar 13 18:18:36 CET 2024 ;; MSG SIZE rcvd: 155
-
Könntest bei der Gelgenheit auch mal eine IPv6 einrichten
SCP -> Netzwerk -> IPv6
Da findest du dann sowas in der Art: 2a03:4000:123:456::/64
Daraus suchst du dir dann eine IP-Adresse aus (z.B. mit einer 1 hinten 2a03:4000:123:456::1)
Danach trägst du das hier ein:
Bildschirmfoto 2024-03-13 um 18.14.02.png
Die DNS-Server sind die von Google (https://developers.google.com/…ocs/using?hl=de#addresses)
-
255.255.0.0
Ne, das ist ziemlich sicher 255.255.252.0. Was steht denn bei deiner IP im SCP hinter dem /?
-
Die Subnetzmaske ist meistens /22. Das entspricht nicht 255.255.255.0 sondern 255.255.252.0.
Und der Standardgateway darf natürlich nicht leer sein. Da muss die IP rein, die dir im SCP unter Netzwerk -> Gateway / Routing auf angezeigt wird.
-
Klar. Das geht. Du brauchst Keyhelp dann aber nicht neu installieren. Das Ändern des Hostnamen in Keyhelp sollte reichen.
-
Ich denke, es ist meine Schuld, habe zu oft neu installiert, weil ich ein großes Kind bin, was gerne spielt.
Ja, dadurch ist Punk 2 passiert. Für Punkt 1 kannst du nichts.
Wart vielleicht mal heute Nacht ab. Könnte mir vorstellen, dass dann zumindest schon mal das Zertifikat für panel.deineDomain.de da ist.Das Deaktivieren von DNSSEC geht auch nicht sofort. Das dauert auch ein paar Stunden.
Wann setzt man denn dieses DNSSEC richtig ein?
Damit signiert man seine DNS-Einträge und schützt sie so vor Veränderungen. Neben dem Sicherheitsaspekt braucht man das auch für so Sachen wie DANE. Nur leider bekommt netcup es nicht gebacken DNSSEC ordentlich umzusetzen. Daher solltest du das nicht verwenden, wenn du die Nameserver von netcup nutzt. Du kannst aber auch einen Anbieter wie Cloudflare oder deSEC verwenden. Die können DNSSEC.
-
Wenn ich das richtig rausgelesen habe, würde ein neuer Hostname ja schon reichen. Ich werde gleich noch einmal probieren, wenn es nicht geht, dann kommt eine neue Domain her.
Ne, ich sehe in den Logs nur Meldungen zu deiner Hauptdomain. Die Subdomain für Keyhelp konnte nicht mit einem Zertifikat versorgt werden, weil DNSSEC kaputt war/ist. Hier würde ich noch was abwarten.
Sind also zwei Gründe, warum keine Zertifikate ausgestellt werden:- DNSSEC kaputt, dadurch konnte der CAA-Record nicht abgefragt werden
- Zu viele Zertifikate für deineDomain.de ausgestellt.
-
Kann der Server online bleiben? oder lieber ausschalten, sind ja auch einiges Einstellungen und Anpassungen zu machen. Hätte ja jetzt locker ne Woche Zeit.
Du kannst den betroffenen Domains auch erstmal das selbstsignierte Zertifikat zuweisen. Dann kannst du damit wenigstens schon mal arbeiten. Aber andere würde ich erst auf das System lassen, wenn die richtigen Zertifikate da sind.
Klar, neue Domain wäre auch möglich. Als Übergangslösung könntest du aber auch eine andere Zertifizierungsstelle nutzen und das Zertifikat manuell installieren. Z.B. hiermit: https://www.sslforfree.com/
-
Solch ein Mist aber auch. Wird Keyhelp das selber regeln oder muss ich dann wieder neu installieren?
Der Cron-Job regelt das. Keyhelp wird jetzt jede Nacht versuchen das Zertifikat auszustellen.
DNSSEC hast du deaktiviert?
-
Wie lange dauert sowas ca.?
Innerhalb 168 Stunden (eine Woche) nur 5 doppelte Zertifikate. Du kannst also wieder eins ausstellen, wenn das 5. letzte Zertifikat eine Woche her ist.
Hier ein paar mehr Details: https://letsencrypt.org/de/docs/rate-limits/
-
Und hier hilft leider nur abwarten: Details: Error creating new order :: too many certificates (5) already issued for this exact set of domains in the last 168 hours
-
Liegt doch an DNSSEC
Aus aus der PN: Details: DNS problem: looking up CAA for panel.deineDomain.de: DNSSEC: Bogus
Deaktivieren und abwarten. Wenn du nicht weißt, wofür man DNSSEC braucht, behaupte ich einfach mal, dass du es auch nicht brauchst.
-
wenn du nur meinedomain.de eingebe, bekomme ich das:
Da bekomme ich übrigens das hier ausgeliefert:
-
Also das DNSSEC deaktivieren?
Wenn du es nicht unbedingt brauchst, würde ich es deaktivieren.
Das ist in dem Fall aber nicht der Grund.
Unter panel.deineDomain.de wird auch ein selbstsigniertes Zertifikat ausgestellt. Also irgendwas klappt da noch nicht mit dem Ausstellen der Zertifikate, wie es mir scheint. -
Oder hat vielleicht die Option DNSSEC damit etwas zu tun? denn die ist aktiv.
Das ist bei netcup nie so eine gute Idee. Das läuft sehr instabil.
Schick mir gern mal deine Domain per PN. Dann gucke ich mal, ob mir beim DNS was auffällt.