Nginx Reverse Proxy (SSL "internal Error")

#S3TT3#

Cadet 3rd Year
Registriert
Nov. 2016
Beiträge
34
Guten Tag CB Community,

ich habe ein Problem mit dem NGINX Proxy Manager. Und zwar möchte ich einen RPi4 als Reverse-Proxy nutzen um damit mein Vaultwarden, Portainer und piVPN von Außen zu erreichen.

Ich hatte diese Konfiguratuion bereits erfolgreich eingerichtet und sie lief auch 2 Jahre Lang ohne Probleme. Jetzt bin ich vor kurzen Umgezogen und habe mich dafür entschieden den Pi neu aufzusetzen.

Also habe ich natürlich Docker/Docker-Compose installiert und zuerst einmal Portainer (CE) eingerichtet.
Als nächstes habe ich den NGINX Proxy Manager nach der Offiziellen Anleitung installiert, das hat auch soweit alles geklappt.
Dann habe ich in der Fritzbox (6690 Cable) die Ports 80 und 443 für http/s für den Pi freigegeben.
Als DynDNS Anbieter nutze ich Dynv6 und habe mir dort meine Domains erstellt, diese sind auch auf meine FB gerichtet.(Überprüfung mit Ping Befehl)

Wenn ich jetzt einen Host im Proxymanager hinzufügen will und diese mit einem SSL Cert. vebinden will kommt jedes mal die Meldung "Internal Error".

Der Log des Container´s gibt folgendes aus:

##########################################################################################################
[2/20/2023] [12:10:26 PM] [Nginx ] › ℹ info Reloading Nginx
[2/20/2023] [12:10:31 PM] [SSL ] › ℹ info Requesting Let'sEncrypt certificates for Cert #1: meinedomain.dynv6.net
[2/20/2023] [12:10:31 PM] [SSL ] › ℹ info Command: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-1" --agree-tos --authenticator webroot --email "meine@mail" --preferred-challenges "dns,http" --domains "meinedomain.dynv6.net"
[2/20/2023] [12:10:43 PM] [Nginx ] › ℹ info Reloading Nginx
[2/20/2023] [12:10:43 PM] [Express ] › ⚠ warning Command failed: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-1" --agree-tos --authenticator webroot --email "meine@mail" --preferred-challenges "dns,http" --domains "meinedomain.dynv6.net"
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
##########################################################################################################

Den LE log kann ich bei bedarf gerne noch teilen wenn benötigt ich konnte aber keine weitern Lösungsansatz aus ihm ziehen.

Mir ist bei Portainer zusätlich aufgefallen, dass wenn ich auf den jeweiligen Published Port klicke, ich auf die IP 0.0.0.0 : Port geleitet werde, was wenn ich mich nicht irre damals nicht so war und man direkt auf die IP des Pi´s mit passenden Port geleitet wurde aber da bin ich mir nicht mehr so sicher.
EDIT: Problem durch das anpassen der Host IP in Env. gelöst. Hauptproblem bleibt dennoch bestehen



Ich habe nichts anders gemacht als damals wo ich es das erste mal aufgesetzt habe, deshalb bin ich jetzt ein bisschen verwirrt.
Hatte jemand von euch das selbe Problem und konnte es ggf. lösen? Ich bin für jeden Lösungsansatz dankbar.

Mit freundliche Grüßen
Sette
 

Anhänge

  • Bildschirm­foto 2023-02-20 um 13.27.03.png
    Bildschirm­foto 2023-02-20 um 13.27.03.png
    96,3 KB · Aufrufe: 685
Zuletzt bearbeitet:
Moin.
In erster Linie solltest du das Logfile anhängen, dass einen Fehler enhält.
Irgendwo wird schon recht konkret stehen, was LE davon abhält, dir das Zert auszustellen.

Wenn kein Fehler in dem debug log ist: Da gibts im container nginx proxy manager noch einen Haufen anderer Logs - schau da mal durch - ist eeeeigentlich recht eingängig der Gerät.
 
aronlad schrieb:
Tja, das wird nix. Wäre ja lustig, wenn jeder x-beliebige einfach Certs für Subdomains anfordern könnte.


Dat is quatsch, solange du den Content der auf dieser Domain (eine subdomain ist eine domain) ausgeliefert wird bestimmen kannst, kannst du auch eine HTTP-Challenge abschließen, und demzufolge ein Zert kriegen.

Möglicherweise bringst du das mit Wildcard Certificates durcheinander?
Diese kann man (Aus nahestehenden Gründen) nur via DNS-Challenge bekommen..
 
In erster Linie solltest du das Logfile anhängen, dass einen Fehler enhält.
Irgendwo wird schon recht konkret stehen, was LE davon abhält, dir das Zert auszustellen
Danke für die Antwort. Ich hänge den Log hier einmal an.


Und wie ich bereits geschrieben habe, konnte ich bis vor 4 Wochen noch Zertifikate für meine Domains vom Proxymanager anfordern. Deshalb versuche ich ja gerade herauszufinden woran es liegt.
 

Anhänge

Die Temporär für die webroot Validierung benötigte Datei kann der Certbot nicht unter der URL abrufen (nutzt dafür die öffentliche IPv4 Adresse und Port 80).

Connection refused

Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet.

Sieht nach einem Netzwerkproblem aus. Ist denn die Seite überhaupt vom Internet aus erreichbar?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: ksk23
Mein Vorposter hat schon die relevanten Zeilen rausgesucht: Da es nen HTTP400 gibt, scheint es mir Netzwerkseitig zu fluppen (zumindest zeigt diese Domain irgendwohin, wo es nen Webserver gibt, der HTTP400er ausliefert..) - mit der Konfiguration des Webservers stimmt ggf etwas noch nicht;

Würde auf sowas wie: Falschen Port forwarded?
Dieses Webinterface vom Nginx Proxy Manager solltest nur du von intern zugreifen (Also dessen Port),
und Ports 80(!11) und 443 musst du von außen erreichbar machen.

..wo ich das so schreibe.. HTTP400: Hast du etwa auf Port 80 auch den SSL Port drangehangen "Hintenrum"? :>

Das muss in etwa so aussehen:
router-Port80 -> Nginx-proxy-manager port80*
router-Port443 -> Nginx-proxy-manager port443*

* weil du da noch Dogger und Portainer und bla hast, und du die Ports ja variabel wählen kannst (sie müssen halt nur konsistent sein..)
 
Helge01 schrieb:
Sieht nach einem Netzwerkproblem aus. Ist denn die Seite überhaupt vom Internet aus erreichbar?
Das ist das Problem, Sie ist nicht zu erreichen. Ich habe es vorher immer überprüft indem ich den Proxy-Host im Manager angelegt habe und zuerst durch das aufrufen der Seite überprüft habe ob Sie unverschlüsselt zu erreichen ist. Das ist aktuell leider auch nicht möglich, er kann die Seite auch unverschlüsselt nicht erreichen.

Das macht natürlich den SSL Fehler erstmal 2. Rangig.

Kann dies etwas mit dem Netzwerkeinstellungen des Containers zutun haben?
Ergänzung ()

Die Ports habe ich nicht verändert, diese sind im Container wie folgt angelegt

ports:
- '80:80'
- '81:81'
- '443:443'

Die Ports der anderen Container habe ich angepasst

Ich kann nacher mal einen Screen vom Docker UI Anhängen

Ports der FRITZ!Box zeigen auf den PI mit offenen Port 80 und 443.

Soll ich versuchen den Proxymanager einzeln ins Netz zu bringen?
Wenn ich mich nicht irre ist das mit MAC Vlan möglich.
 
Zuletzt bearbeitet:
Die Domain zeigt Korrekt auf meine öffentliche IP.

Komme aber nicht von außen auf den Service.

Port Forwarding müsste aber stimmen hänge später nochmal das UI der FB Portfreigabe an.
 
Im LAN funktioniert alles einwandfrei.
Ich komme auf alle Dienste welche auf dem PI laufen ohne Probleme.

Und ich bin eigentlich auch ziemlich
das das Portforwarding stimmt Port 80 und 443 zeigen beide auf dem PI.
 
Wie meinst du das?

Die Ports sind in der FB frei und soweit ich weiß hat Raspian Standardmäßig keine Firewallregeln eingerichtet die die Ports betreffen würden oder?

PS. Ich danke euch wie verrückt für die Anteilnahme
 
Generell, auf deinem Internetanschluss sind die Ports 80/443 geschlossen und zumindest über IPv4 nicht erreichbar.
 
  • Gefällt mir
Reaktionen: #S3TT3#
Also könnte das am ISP liegen? Oder verstehe ich das immer noch falsch? Sorry wenn ja😅
 
Wenn du kein DS-lite hast, wovon ich ausgehe, dann liegt es an deiner Router Konfiguration (Firewall / Portweiterleitung)

Vorausgesetzt deine öffentliche IP Adresse hat sich seit gestern nicht geändert.
 
Zuletzt bearbeitet:
Ich überprüfe das daheim nochmal und mache mal screens. Was bräuchtest du denn alles für eine Einschätzung? Abgesehen vom PFW
 
Zuletzt bearbeitet:
#S3TT3# schrieb:
Was bräuchtest du denn alles für eine Einschätzung?
Schwierig zu sagen da ich noch nie eine Fritzbox hatte. Interessant wäre die Portweiterleitung und dazugehörige Firewall Regel.

Da du vermutlich bei Vodafone bist, hast du DS-Lite oder richtiges Dual Stack?
 
Meine Fritzbox benutzt einen DS-Lite Tunnel.

Habe im Anhang mal ein Screen von der Portainer UI und der Portfreigabe (Firewall) der Fritzbox angehangen.
 

Anhänge

  • Bildschirm­foto 2023-02-22 um 19.54.46.png
    Bildschirm­foto 2023-02-22 um 19.54.46.png
    169,8 KB · Aufrufe: 722
  • Bildschirm­foto 2023-02-22 um 19.57.11.png
    Bildschirm­foto 2023-02-22 um 19.57.11.png
    221 KB · Aufrufe: 656
Zuletzt bearbeitet:
Zurück
Oben