Beiträge von aanno

So, nachdem ich den Support von Netcup eingeschaltet habe, funktioniert auch Domain B wieder. Daher ist auch der Zertifikatsupdate wie gewohnt erfolgreich. In 24h kann ich versuchen, DNSSEC auf Domain B wieder einzuschalten.

Nachtrag: Unter CCP -> Domains -> Lupe vor der Domain -> Tab DNS kann man auch die TXT Challenges von certbot sehen:

Update: DNSSEC ein/ausschalten: CCP -> Domains -> Lupe vor der Domain -> Tab DNS -> Zeile DNSSEC Status (+ Checkbox)

Ich habe mittlerweile bemerkt, dass

1. Meine Domain B z.Z. gar nicht auflöst (aber von certbot für das TXT Challenge verwendet wird). Domain A dagegen funktioniert wie konfiguriert.
2. Bei beiden Domainen (A und B) DNSSEC bisher eingeschaltet war.
3. Der certbot 'erfolgreich' das TXT Challenge in Domain B schreibt.

Aus dem gesagten ergibt sich, dass ich mich nicht wundern muss. Solange Domain B gar nicht auflöst, wird es wohl nicht klappen. Die Preisfrage ist also, warum die Domain B nicht auflöst, obwohl sie konfiguriert ist.

Beide Domainen zeigen (natürlich) auf denselben Server. Als erste Maßnahme habe ich mal DNSSEC auf Domain B ausgeschaltet. Ich hoffe jetzt darauf, dass dadurch die Domain wieder auflöst....

Hallo Zusammen,

• die Idee mit dem DNSSEC ein/ausschalten finde ich ganz interessant. Allerdings ist mir nicht so klar, wo ich das machen soll. In der DNS API? Oder im certbot?
• Im CCP kann ich im Bereich "Domains" unter "API Log" sehen, dass die Änderungen 'erfolgreich' durchgeführt wurden. (Leider sieht man auch nicht, um welche Änderungen es sich da handelt.)

Da gibt es also einen Unterschied zwischen 'erfolgreich' aus Sicht der DNS API und 'erfolgreich' aus Sicht von certbot.

Hallo,

seit ein paar Jahren verlängere ich meine 2 Wildcard Domains mittels certbot und dem netcup plugin (und damit der domain API). Ich mache das ganze über podman (docker würde es auch tun) in dieser Art:

#!/bin/bash -x
VERSION="v2.4.0"

podman run --pull always --rm \
  --volume ../netcup/credentials.ini:/credentials.ini:z --volume ./cbconfig:/cbconfig:z --volume ./cblogs:/cblogs:z \
  docker.io/aanno/certbot-netcup:${VERSION} renew \
  --config-dir /cbconfig --logs-dir /cblogs $*

Wie gesagt, dass ganze funktionert seit Jahren. Aber im Moment will es nicht mehr. Im certbot log finde ich:

2023-04-04 17:21:36,178:DEBUG:acme.client:Storing nonce: 1AAD85u7SyXY0TLHW5gXiqpNA9KI0T1z4KcroIteGBlKpD8
2023-04-04 17:21:36,178:DEBUG:acme.client:JWS payload:
b''<img src="https://forum.netcup.de/system/images/smilies/emojione/1f914.png" alt=":/" class="smiley" srcset="https://forum.netcup.de/system/images/smilies/emojione/1f914@2x.png 2x" loading="eager" data-tooltip="unsure" aria-label="unsure" id="wscSmiley_0_0" width="23" height="23">
2023-04-04 17:21:36,180:DEBUG:acme.client:Sending POST request to https://acme-v02.api.letsencrypt.org/acme/authz
-v3/216675227487:
{
  "protected": "eyJhbGciOiAiUlMyNTYiLCAia2lkIjogImh0dHBzOi8vYWNtZS12MDIuYXBpLmxldHNlbmNyeXB0Lm9yZy9hY21lL2FjY3QvM
TIyMDU3MDkwIiwgIm5vbmNlIjogIjFBQUQ4NXU3U3lYWTBUTEhXNWdYaXFwTkE5S0kwVDF6NEtjcm9JdGVHQmxLcEQ4IiwgInVybCI6ICJodHRwcz
ovL2FjbWUtdjAyLmFwaS5sZXRzZW5jcnlwdC5vcmcvYWNtZS9hdXRoei12My8yMTY2NzUyMjc0ODcifQ",
  "signature": "SQL1QxcSHIde9cykF4Kh66bv5NfSf2L8H7bHBkFScHkXWBfcxq3qoEy2Sc8eRdY-5AfYfUjijz415qKIm4jJHR2vQ07rEkOhx
XHbfgt4pByUigMp6e_3M65yIx7VhpyeAeLP_LRHn-skTKPBNq1R2zXDM9OFl2wvGcMVEwvClB05H9wrysM-uGB_IM_8d_OdIDEGOXiA_HEQJv3uas
f_XvgwwLHSR0sHD6L27u0WRH7MmgZTneyGrztvtw6Br8-cJmd34q43vwQUkmyfZPIs611G8GgpDsDeZoAyyF2CLSGLBZH3HX-o4vl8U70dVLFopby
ukkiStI5Os7YN1TlJ7A",
  "payload": ""
}
2023-04-04 17:21:36,316:DEBUG:urllib3.connectionpool:https://acme-v02.api.letsencrypt.org:443 "POST /acme/authz-v
3/216675227487 HTTP/1.1" 200 659
2023-04-04 17:21:36,317:DEBUG:acme.client:Received response:
HTTP 200
Server: nginx
Date: Tue, 04 Apr 2023 17:21:36 GMT
Content-Type: application/json
Content-Length: 659
Connection: keep-alive
Boulder-Requester: 122057090
Cache-Control: public, max-age=0, no-cache
Link: <https://acme-v02.api.letsencrypt.org/directory>;rel="index"
Replay-Nonce: 371CbSWfPTtQPwqMnSgH_Dnt6VhCErSr5KdzDy9k73bSm8E
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800

{
  "identifier": {
    "type": "dns",
    "value": "<domain>.com"
  },
  "status": "invalid",
  "expires": "2023-04-11T17:06:29Z",
  "challenges": [
    {
      "type": "dns-01",
      "status": "invalid",
      "error": {
        "type": "urn:ietf:params:acme:error:dns",
        "detail": "DNS problem: SERVFAIL looking up TXT for _acme-challenge.<domain>.com - the domain's nameservers may be malfunctioning",
        "status": 400
      },
      "url": "https://acme-v02.api.letsencrypt.org/acme/chall-v3/216675227487/5QsEYA",
      "token": "bFcekpDtgLpVbYDUMsSCO1a7J1Kz3maVytOMq0TTLQI",
      "validated": "2023-04-04T17:21:31Z"
    }
  ]
}
2023-04-04 17:21:36,317:DEBUG:acme.client:Storing nonce: 371CbSWfPTtQPwqMnSgH_Dnt6VhCErSr5KdzDy9k73bSm8E
2023-04-04 17:21:36,317:INFO:certbot._internal.auth_handler:Challenge failed for domain <domain>.com
2023-04-04 17:21:36,317:INFO:certbot._internal.auth_handler:Challenge failed for domain <domain>.com
2023-04-04 17:21:36,318:INFO:certbot._internal.auth_handler:dns-01 challenge for <domain>.com
2023-04-04 17:21:36,318:INFO:certbot._internal.auth_handler:dns-01 challenge for <domain>.com
2023-04-04 17:21:36,318:DEBUG:certbot._internal.display.obj:Notifying user: 
Certbot failed to authenticate some domains (authenticator: dns-netcup). The Certificate Authority reported these problems:
  Domain: <domain>.com
  Type:   dns
  Detail: DNS problem: SERVFAIL looking up TXT for _acme-challenge.<domain>.com - the domain's nameservers may be malfunctioning

  Domain: <domain>.com
  Type:   dns
  Detail: DNS problem: SERVFAIL looking up TXT for _acme-challenge.<domain>.com - the domain's nameservers may be malfunctioning

Hint: The Certificate Authority failed to verify the DNS TXT records created by --dns-netcup. Ensure the above domains are hosted by this DNS provider, or try increasing --dns-netcup-propagation-seconds (currently 900 seconds)

Hat jemand eine Idee, wie ich weiter verfahren könnte?

Beste Grüße, aanno

Hallo,

nur mal zur Sicherheit, ob ich das mit der stundengenauen Abrechnung bei VPS Servern richtig verstanden habe: Ich bestelle den VPS mit 0 Monaten Laufzeit, zahle im Voraus, benutze ihn solange ich möchte und bekomme nach 3 Monaten das Geld erstattet, das ich nicht verbraucht habe?

Ist das so richtig oder habe ich etwas vergessen?

Besten Gruß

aanno

Wow, das nenne ich mal eine prompte Antwort! Vielen Dank!

Hallo,

ich bin gerade auf dnsrobocert gestoßen. Im Gegensatz zu meiner bisherigen Lösung (docker-letsencrypt-nginx-proxy-companion) würde das ermöglichen, auf meiner Domain wildcard Subdomains zu verwenden.

Die Dokumentation spricht auch von netcup. Allerdings benötigt man folgende Angaben:

• auth_customer_id Specify customer number for authentication
• auth_api_key Specify api key for authentication
• auth_api_password Specify api password for authentication

Von diesen Sachen kenne ich nur die auth_customer_id. Wie komme ich an die anderen Beiden

Beste Grüße

aanno

Hallo Dragon,

hmm, für die Domain muss ich '@' in der Spalte Host eintragen, oder?

Ferner bin ich mir nicht so sicher, ob die ipv6 Adresse für alle Subdomains gesetzt ist, denn auch Example Domain liefert:

> host www.example.com
www.example.com is an alias for example.com.
example.com has address 5.45.xxx.xxx
example.com mail is handled by 10 mail.example.com.

Gruß

aanno

Hallo,

vielen Dank für den Tipp: poweroff und neustart helfen. Bisher hatte ich das falsch verstanden und 'nur' einen ACPI reboot durchgeführt (was aber offensichtlich nicht langt). Bleibt das DNS Problem, hier ein Screenshot:

Ist hier irgendwas erkennbar falsch?

Gruß

aanno

Hallo,

versuche mich bei meinem vServer an ipv6, komme aber nicht so richtig weiter.

• Ich habe unter https://www.vservercontrolpanel.de ein ipv6 Netzwerk aktiviert. Sagen wir mal 2a03:4000:xxxx:xxxx::/64.
• Ich habe unter netcup ccp zu den DNS Einstellungen einen AAAA Record 2a03:4000:xxxx:xxxx::2 zu der meiner Domain example.com hinzugefügt.
• Ich habe unter /etc/network/interfaces statische ipv6 Adressen eingetragen:
  
  
  Code

  # The loopback network interface
  auto lo
  iface lo inet loopback
  
  
  
  
  # The primary network interface
  allow-hotplug eth0
  iface eth0 inet dhcp
  
  
  
  
  # http://www.netcup-wiki.de/wiki/Zusätzliche_IP_Adresse_konfigurieren
  iface eth0 inet6 static
      	address 2a03:4000:xxxx:xxxx::1
      	netmask 64
      	#gateway wird hier keines benötigt, da dieses automatisch definiert wird
  
  
  
  
  auto eth0:1
  iface eth0:1 inet6 static
      	address 2a03:4000:xxxx:xxxx::2
      	netmask 64

  Alles anzeigen
• Das scheint vom vServer aus auch zu funktionieren:
  
  
  Code

  # ping6 2a03:4000:xxxx:xxxx::2
  PING 2a03:4000:xxxx:xxxx::2(2a03:4000:xxxx:xxxx::2) 56 data bytes
  64 bytes from 2a03:4000:xxxx:xxxx::2: icmp_seq=1 ttl=64 time=0.042 ms

  
  

• DNS Auflösung von ipv6 Adressen ist möglich:
  
  
  Code

  > host ipv6-test.com
  ipv6-test.com has address 5.135.xxx.xxx
  ipv6-test.com has IPv6 address 2001:41d0:8:e8ad::1
  ipv6-test.com mail is handled by 10 mail.t0x.net.

• Leider aber keine Verbindung dorthin:
  
  
  Code

  > ping6 2001:41d0:8:e8ad::1
  connect: Network is unreachable

• Auch mein DNS AAAA Record scheint (selbst nach einigen Tagen) nicht aktiv zu sein:
  
  
  Code

  > host example.com
  example.com has address 5.45.xxx.xxx
  example.com mail is handled by 10 mail.example.com

Kann mir jemand einen Tipp geben?
Gruß
aanno

Hallo,

ich beantworte die Frage jetzt mal selber: Wenn man (als admin) einen Kunden mit Froxlor anlegt bzw. bearbeitet, dann gibt es eine großen Abschnitt Dienstleistungsdaten. Hier steht standardmäßig alles auf 0 (Null). Möchte man einem Kunden Mails ermöglichen, dann muss man hier natürlich aktiv werden, d.h. eine Zahl in die entsprechenden Felder eintragen bzw. die Checkbox vor ∞ wählen.

Das war genau mein Problem

Hat man hier etwas anderes als Null, dann kann der Kunde wiederum in Froxlor die Mail konfigurieren. Es gibt dann ziemlich oben im Menü links dafür 2 neue Menüpunkte. (Ich hatte urtümlich gedacht, das der Kunde per se einen Mail Account verpasst bekommt, das ist aber nicht der Fall.)

Mit besten Grüßen

aanno

Hallo Herr Preuß,

das wird es (wahrscheinlich) sein! Können Sie mal ganz kurz zusammenfassen, wie man mit Froxlor Postfächer anlegt?

Mit besten Grüßen

aanno

Guten Abend,

benutze das Standard Debian Wheezy Froxlor Image auf einem VServer von netcup und versuche, einen Mail Account zu benutzen, den ich auf dieser Kiste einrichte. Auf der Maschine lief im Auslieferungszustand bereits die Kombination Postfix/Courier, beide mit MySQL als User Datenbank.

Habe mit Froxlor ein paar Kunden angelegt und versuche nun die entsprechenden Postfächer mittels Thunderbird per IMAP zu erreichen (Ich verstehe das doch richtig und die Kunden bekommen durch Froxlor automatisch ein entsprechendes Postfach, wenn ihre Domain als Mail/MX Domain konfiguriert wird, oder doch nicht?). Die IMAP Verbindung kommt auch zustande (d.h. courier macht schon irgend etwas), aber Einloggen funktioniert nicht.

Im Log finde ich HInweise, dass die Authentifizierung/Authorisierung nicht funktioniert. Das ist meiner Ansicht auch kein Wunder, da in der MySQL froxlor Datenbank in den Tabellen mail_users und mail_virtual absolut nichts drin steht.

Hat jemand eine Idee, was ich falsch mache? (Vielleicht hilft mir auch eine kurze Zusammenfassung, wie man in Froxlor einen Mail Account einrichtet?!?)

Mit besten Grüßen

aanno