Beiträge von kyze

Zitat von KB19

Ja, über UDP laut Deiner Ausgabe. Oder hast Du es auch mit dem TCP-Flag getestet?

Dann hattest Du Glück, denn die Zonen werden definitiv nur alle 10 Minuten generiert. Erst dann springt auch die Spalte "gültig" im CCP auf "yes". Ich würde sicherheitshalber immer die doppelte Zeit einplanen.

Selbst mit +tcp bei dig kommt er durch, scheint also grundsätzlich schon zu klappen das ganze.

Mit den was die 10 Minuten angeht, guter Hinweis. Ich werde meine delays nochmal auf 25m/30m anpassen, damit auch nichts schiefgehen kann wenns unglücklich starten sollte. Für renews ist es ja dann nicht mehr zeitkritisch.

Grundsätzlich hab ich ja kein Problem mit den Netcup-DNS-Servern. Geschwindigkeit ist da ja idr auch nicht wirklich relevant, wenn die Einträge erstmal da sind.

War offensichtlich mit den defaults da jetzt mal ein Problem, aber mit so ein paar Settings das ganze zu umgehen reicht mir erstmal.

Ist mir vorher halt noch nicht entgegengekommen, weil ich immer die normale HTTP-Challenge gemacht habe.

Die Domain die ich nun per DNS mache, ist halt eine die via Zerotier geroutet ist und deswegen fällt hier die HTTP-Challenge einfach raus.

Das ganze nochmal woanders verteilen würde ich somit erstmal weglassen, obwohl das GUI von Netcup auch nicht wirklich schön ist

Ja, die 192.168.171.2 ist der Host, auf dem Caddy lief. Ist hinter einem NAT vom Vodafone-Router, aber denke ich wenig relevant weil dig ja funktionierte. Deswegen hatte ich da etwaige Netzwerkproblemchen erstmal außen vor gelassen, wenn dig da nicht komische Sachen veranstaltet

Aber waren hier schon die richtigen Hinweise: Mit einem erhöhten Timeout bei den Challenges hat es tatsächlich funktioniert!

Wundert mich etwas, weil ich nach dem Aufruf die Einträge bei Netcup direkt sehen und auch abfragen konnte, aber wer weiß wie lang das nach außen braucht.

Jetzt geht es auf jeden Fall und falls jemand interessiert wie der tls-teil im Caddy mit einer Caddyfile dazu aussieht:

*.sub.domain.de {
        tls {
                issuer acme {
                        dns netcup {
                                customer_number 12345
                                api_key derkeyhier
                                api_password daskennworthier
                        }
                resolvers 8.8.8.8 1.1.1.1
                propagation_timeout 30m
                propagation_delay 15m
                }
        }
...
}

Hi zusammen,

aktuell möchte ich für eine nicht extern erreichbare Subdomain ein Wildcard-SSL-Zertifikat haben.

Als reverse-proxy und anforderer hierfür ist Caddy mit dem netcup-dns-plugin aktiv.

Nun funktioniert das anfordern und die dns-txt-records scheinbar wunderbar, aber kann von extern nicht validiert werden.

Im Caddy sehe ich, dass mein lokaler Host anscheinen einen timeout beim anfragen von den netcup-nameservern bekommt ?

Nov 16 16:51:30 mono01 caddy[21307]: {"level":"error","ts":1668613890.8654814,"logger":"tls.obtain","msg":"will retry","error":"[*.meinedomain.de] Obtain: [*.meinedomain.de] solving challenges: waiting for solver certmagic.solverWrapper to be ready: checking DNS propagation of \"_acme-challenge.meinedomain.de\": read tcp 192.168.171.2:36928->46.38.225.225:53: i/o timeout (order=https://acme.zerossl.com/v2/DV90/order/w02GF_wNesuRmdgHUYnzGg) (ca=https://acme.zerossl.com/v2/DV90)","attempt":9,"retrying_in":1800,"elapsed":7412.034317054,"max_duration":2592000}

Selber abrufen mit dig an die DNS scheint aber kein Problem zu sein, womit ich ein Netzwerkproblem erstmal ausschließen würde.

[root@mono01 caddy]# dig @46.38.225.225 -t txt meinedomain.de

; <<>> DiG 9.16.33-RH <<>> @46.38.225.225 -t txt meinedomain.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23351
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: e85823d8b42291f70100000063750c63d27896c4a8ae4941 (good)
;; QUESTION SECTION:
;meinedomain.de.            IN    TXT

;; ANSWER SECTION:
meinedomain.de.        300    IN    TXT    "v=spf1 mx a:meinedomain.de ..."

;; Query time: 15 msec
;; SERVER: 46.38.225.225#53(46.38.225.225)
;; WHEN: Wed Nov 16 17:14:27 CET 2022
;; MSG SIZE  rcvd: 168

Habt ihr dazu eine Idee ?

Danke und Gruß

Muss ja keine automatische Mail sein, es reicht, wenn es Opt-in ist. Oder Pull, wäre mir beides recht.

Ich bin nur darauf aufmerksam geworden, da ich im Monitoring nun sehr hohe Steal-Werte hatte (>50%). Das hat sich nach einem Aus- und Einschalten und der Speicheroptimierung nun behoben.

Hi zusammen,

ich gucke relativ selten in das SCP, da mein vserver in der Regel stabil läuft.

Dadurch entgehen mir Meldungen wie "Neue KVM Version verfügbar" und "Speicheroptimierung notwendig" teilweise Monatelang.

Kann man sich dafür Mailbenachrichtigungen schicken lassen, damit man das ggf. zeitnah entsprechend umsetzt ?

Gruß

Bei mir hat es nun nach dem 3. oder 4. mal endlich so gut funktioniert, dass die Meldung weg ist..