Nginx Reverse Proxy (SSL "internal Error")

[#S3TT3#]

Guten Tag CB Community,

ich habe ein Problem mit dem NGINX Proxy Manager. Und zwar möchte ich einen RPi4 als Reverse-Proxy nutzen um damit mein Vaultwarden, Portainer und piVPN von Außen zu erreichen.

Ich hatte diese Konfiguratuion bereits erfolgreich eingerichtet und sie lief auch 2 Jahre Lang ohne Probleme. Jetzt bin ich vor kurzen Umgezogen und habe mich dafür entschieden den Pi neu aufzusetzen.

Also habe ich natürlich Docker/Docker-Compose installiert und zuerst einmal Portainer (CE) eingerichtet.
Als nächstes habe ich den NGINX Proxy Manager nach der Offiziellen Anleitung installiert, das hat auch soweit alles geklappt.
Dann habe ich in der Fritzbox (6690 Cable) die Ports 80 und 443 für http/s für den Pi freigegeben.
Als DynDNS Anbieter nutze ich Dynv6 und habe mir dort meine Domains erstellt, diese sind auch auf meine FB gerichtet.(Überprüfung mit Ping Befehl)

Wenn ich jetzt einen Host im Proxymanager hinzufügen will und diese mit einem SSL Cert. vebinden will kommt jedes mal die Meldung "Internal Error".

Der Log des Container´s gibt folgendes aus:

##########################################################################################################
[2/20/2023] [12:10:26 PM] [Nginx ] › ℹ info Reloading Nginx
[2/20/2023] [12:10:31 PM] [SSL ] › ℹ info Requesting Let'sEncrypt certificates for Cert #1: meinedomain.dynv6.net
[2/20/2023] [12:10:31 PM] [SSL ] › ℹ info Command: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-1" --agree-tos --authenticator webroot --email "meine@mail" --preferred-challenges "dns,http" --domains "meinedomain.dynv6.net"
[2/20/2023] [12:10:43 PM] [Nginx ] › ℹ info Reloading Nginx
[2/20/2023] [12:10:43 PM] [Express ] › ⚠ warning Command failed: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-1" --agree-tos --authenticator webroot --email "meine@mail" --preferred-challenges "dns,http" --domains "meinedomain.dynv6.net"
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
##########################################################################################################

Den LE log kann ich bei bedarf gerne noch teilen wenn benötigt ich konnte aber keine weitern Lösungsansatz aus ihm ziehen.

Mir ist bei Portainer zusätlich aufgefallen, dass wenn ich auf den jeweiligen Published Port klicke, ich auf die IP 0.0.0.0 : Port geleitet werde, was wenn ich mich nicht irre damals nicht so war und man direkt auf die IP des Pi´s mit passenden Port geleitet wurde aber da bin ich mir nicht mehr so sicher.
EDIT: Problem durch das anpassen der Host IP in Env. gelöst. Hauptproblem bleibt dennoch bestehen



Ich habe nichts anders gemacht als damals wo ich es das erste mal aufgesetzt habe, deshalb bin ich jetzt ein bisschen verwirrt.
Hatte jemand von euch das selbe Problem und konnte es ggf. lösen? Ich bin für jeden Lösungsansatz dankbar.

Mit freundliche Grüßen
Sette

 

[ksk23]

Moin.
In erster Linie solltest du das Logfile anhängen, dass einen Fehler enhält.
Irgendwo wird schon recht konkret stehen, was LE davon abhält, dir das Zert auszustellen.

Wenn kein Fehler in dem debug log ist: Da gibts im container nginx proxy manager noch einen Haufen anderer Logs - schau da mal durch - ist eeeeigentlich recht eingängig der Gerät.

 

[aronlad]

domains "meinedomain.dynv6.net"

Tja, das wird nix. Wäre ja lustig, wenn jeder x-beliebige einfach Certs für Subdomains anfordern könnte.

 

[ksk23]

Tja, das wird nix. Wäre ja lustig, wenn jeder x-beliebige einfach Certs für Subdomains anfordern könnte.

Dat is quatsch, solange du den Content der auf dieser Domain (eine subdomain ist eine domain) ausgeliefert wird bestimmen kannst, kannst du auch eine HTTP-Challenge abschließen, und demzufolge ein Zert kriegen.

Möglicherweise bringst du das mit Wildcard Certificates durcheinander?
Diese kann man (Aus nahestehenden Gründen) nur via DNS-Challenge bekommen..

 

[#S3TT3#]

In erster Linie solltest du das Logfile anhängen, dass einen Fehler enhält.
Irgendwo wird schon recht konkret stehen, was LE davon abhält, dir das Zert auszustellen

Danke für die Antwort. Ich hänge den Log hier einmal an.


Und wie ich bereits geschrieben habe, konnte ich bis vor 4 Wochen noch Zertifikate für meine Domains vom Proxymanager anfordern. Deshalb versuche ich ja gerade herauszufinden woran es liegt.

 

[Helge01]

Die Temporär für die webroot Validierung benötigte Datei kann der Certbot nicht unter der URL abrufen (nutzt dafür die öffentliche IPv4 Adresse und Port 80).

http://meinedomain.dynv6.net/.well-known/acme-challenge/GHkUAA3SKE_3v5ezcpqop_Cst4nuGZI9uiX321TesPU
"status": 400

Connection refused

Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet.

Sieht nach einem Netzwerkproblem aus. Ist denn die Seite überhaupt vom Internet aus erreichbar?

 

[ksk23]

Mein Vorposter hat schon die relevanten Zeilen rausgesucht: Da es nen HTTP400 gibt, scheint es mir Netzwerkseitig zu fluppen (zumindest zeigt diese Domain irgendwohin, wo es nen Webserver gibt, der HTTP400er ausliefert..) - mit der Konfiguration des Webservers stimmt ggf etwas noch nicht;

Würde auf sowas wie: Falschen Port forwarded?
Dieses Webinterface vom Nginx Proxy Manager solltest nur du von intern zugreifen (Also dessen Port),
und Ports 80(!11) und 443 musst du von außen erreichbar machen.

..wo ich das so schreibe.. HTTP400: Hast du etwa auf Port 80 auch den SSL Port drangehangen "Hintenrum"? :>

Das muss in etwa so aussehen:
router-Port80 -> Nginx-proxy-manager port80*
router-Port443 -> Nginx-proxy-manager port443*

* weil du da noch Dogger und Portainer und bla hast, und du die Ports ja variabel wählen kannst (sie müssen halt nur konsistent sein..)

 

[#S3TT3#]

Sieht nach einem Netzwerkproblem aus. Ist denn die Seite überhaupt vom Internet aus erreichbar?

Das ist das Problem, Sie ist nicht zu erreichen. Ich habe es vorher immer überprüft indem ich den Proxy-Host im Manager angelegt habe und zuerst durch das aufrufen der Seite überprüft habe ob Sie unverschlüsselt zu erreichen ist. Das ist aktuell leider auch nicht möglich, er kann die Seite auch unverschlüsselt nicht erreichen.

Das macht natürlich den SSL Fehler erstmal 2. Rangig.

Kann dies etwas mit dem Netzwerkeinstellungen des Containers zutun haben?

Ergänzung (22. Februar 2023)

Die Ports habe ich nicht verändert, diese sind im Container wie folgt angelegt

ports:
- '80:80'
- '81:81'
- '443:443'

Die Ports der anderen Container habe ich angepasst

Ich kann nacher mal einen Screen vom Docker UI Anhängen

Ports der FRITZ!Box zeigen auf den PI mit offenen Port 80 und 443.

Soll ich versuchen den Proxymanager einzeln ins Netz zu bringen?
Wenn ich mich nicht irre ist das mit MAC Vlan möglich.

 

[ksk23]

was heißt nicht möglich konkret?

• Zeigt meinedomain... korrekt auf deine IP?
• Kommst du per TCP Port 80 (von außen, also interet, ggf handy?) auf die IP an den Service?

Wenn 2teres nein: stimmt iwas mit dem Port-Forwarding nicht.

 

[#S3TT3#]

Die Domain zeigt Korrekt auf meine öffentliche IP.

Komme aber nicht von außen auf den Service.

Port Forwarding müsste aber stimmen hänge später nochmal das UI der FB Portfreigabe an.

 

[ksk23]

kommst du denn von einem weiteren computer im Lan via "Pi-interne-ip Port80" an den Service?
Wenn ja: In der Tat irgendwas Fritzbox
Wenn nein: auf dem Pi weitermachen..

 

[#S3TT3#]

Im LAN funktioniert alles einwandfrei.
Ich komme auf alle Dienste welche auf dem PI laufen ohne Probleme.

Und ich bin eigentlich auch ziemlich
das das Portforwarding stimmt Port 80 und 443 zeigen beide auf dem PI.

 

[Helge01]

Die Ports 80/443 sind aber bei dir nicht offen.

 

[#S3TT3#]

Wie meinst du das?

Die Ports sind in der FB frei und soweit ich weiß hat Raspian Standardmäßig keine Firewallregeln eingerichtet die die Ports betreffen würden oder?

PS. Ich danke euch wie verrückt für die Anteilnahme

 

[Helge01]

Generell, auf deinem Internetanschluss sind die Ports 80/443 geschlossen und zumindest über IPv4 nicht erreichbar.

 

[#S3TT3#]

Also könnte das am ISP liegen? Oder verstehe ich das immer noch falsch? Sorry wenn ja😅

 

[Helge01]

Wenn du kein DS-lite hast, wovon ich ausgehe, dann liegt es an deiner Router Konfiguration (Firewall / Portweiterleitung)

Vorausgesetzt deine öffentliche IP Adresse hat sich seit gestern nicht geändert.

 

[#S3TT3#]

Ich überprüfe das daheim nochmal und mache mal screens. Was bräuchtest du denn alles für eine Einschätzung? Abgesehen vom PFW

 

[Helge01]

Was bräuchtest du denn alles für eine Einschätzung?

Schwierig zu sagen da ich noch nie eine Fritzbox hatte. Interessant wäre die Portweiterleitung und dazugehörige Firewall Regel.

Da du vermutlich bei Vodafone bist, hast du DS-Lite oder richtiges Dual Stack?

 

[#S3TT3#]

Meine Fritzbox benutzt einen DS-Lite Tunnel.

Habe im Anhang mal ein Screen von der Portainer UI und der Portfreigabe (Firewall) der Fritzbox angehangen.