Fehler letsencrypt mit Sunriserouter (gelöst)

Hallo zusammen,

Ich bekomme eine Fehlermeldung beim ausführen des Wizzard was den externen Zugriff angeht. Aber auch wenn ich letsencypt unter Netzwerk ausführe.

Sufu hat mich leider nicht weitergebracht.

Port 80 und 443 sind offen.

System läuft auf einem Raspi 3

LOG:

> [ fail2ban ] (Tue Dec  1 09:20:02 GMT 2020)
> System config value loglevel set to string 2
> System config value log_type set to string file
> fail2ban enabled
> 
> [ no-ip ] (Tue Dec  1 09:20:57 GMT 2020)
> 
> Auto configuration for Linux client of no-ip.com.
> 
> Only one host [xxxx.myftp.org] is registered to this account.
> It will be used.
> 
> New configuration file '/usr/local/etc/no-ip2.conf' created.
> 
> Failed to enable unit: Unit /run/systemd/generator.late/noip2.service is transient or generated.
> System config value trusted_domains => 3 set to string xxxx.myftp.org
> System config value overwrite.cli.url set to string https://xxxx.myftp.org/
> noip DDNS enabled
> 
> [ nc-autoupdate-ncp ] (Tue Dec  1 09:21:14 GMT 2020)
> automatic NextCloudPi updates enabled
> 
> [ dnsmasq ] (Tue Dec  1 09:21:15 GMT 2020)
> System config value trusted_domains => 2 set to string xxxx.myftp.org
> System config value overwrite.cli.url set to string https://xxxx.myftp.org/
> dnsmasq enabled
> 
> [ letsencrypt ] (Tue Dec  1 09:21:27 GMT 2020)
> Saving debug log to /var/log/letsencrypt/letsencrypt.log
> Plugins selected: Authenticator webroot, Installer None
> Obtaining a new certificate
> Performing the following challenges:
> http-01 challenge for xxxx.myftp.org
> Using the webroot path /var/www/nextcloud for all unmatched domains.
> Waiting for verification...
> Cleaning up challenges
> Failed authorization procedure. Xxxx.myftp.org (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://xxxx.myftp.org/0.2/gui/?item=.well-known/acme-challenge/y9MJXmVE3-GCsqC25ItHcmfOdFe4eVSbVLZJ5lgEXy8 [89.217.16.10]: "<!--\r\nCopyright : (C) 2014 Sagemcom - URD2\r\n\r\nThis software and source file is the property of Sagemcom\r\nand may not be copied o"
> IMPORTANT NOTES:
>  - The following errors were reported by the server:
> 
>    Domain: xxxx.myftp.org
>    Type:   unauthorized
>    Detail: Invalid response from
>    http://xxxx.myftp.org/0.2/gui/?item=.well-known/acme-challenge/y9MJXmVE3-GCsqC25ItHcmfOdFe4eVSbVLZJ5lgEXy8
>    [xx.xxx.xx.xx]: "<!--\r\nCopyright : (C) 2014 Sagemcom -
>    URD2\r\n\r\nThis software and source file is the property of
>    Sagemcom\r\nand may not be copied o"
> 
>    To fix these errors, please make sure that your domain name was
>    entered correctly and the DNS A/AAAA record(s) for that domain
>    contain(s) the right IP address.

Hat jemand erfahrung mit dem Fehler?

Gruss und Danke

Eicky

Let’s Encrypt prüft vor der Ausstellung eines Zertifikates, ob dieses auch wirklich von der Domain angefordert wurde, deren Domainnamenangegeben wurde. Hierzu muss der
anfragende Server die ihm übermittelte Challenge auf dem eigenen Server unter der URL “http:<domain-name>/.well-known/acme-challenge/” (Port 80/tcp) zur Abfrage bereitstellen.

Wie der angezeigten Meldung zu entnehmen ist, wird beim Zugriff auf die angegebene URL nicht der Verzeichnisinhalt und die darin enthaltene Challenge-Datei ausgegeben sondern ein Redirect auf die in der Fehlermeldung angegebene URL durchgeführt. Ich denke das darin der Fehler begründet liegt.

Hallo j-ed,

Danke für Deine schnelle und ausführliche Antwort.

Hast Du eine Idee, wie ich das beheben kann?

Falls Dir die Domain “myftp.org” gehört, konfiguriere den Webserver so, dass der Zugriff auf den genannten Pfad möglich ist. Falls Dir die Domain nicht gehört, kontaktiere gegebenenfalls den Hoster der Domain, dass er Deiner 3rd-Level-Domain den Zugriff auf den genannten Pfad einrichtet.

1 Like

Nein, ist ein Service vom dyndns Anbieter no-ip.

Und Sunrise ist dein ISP? Prüfe mal die Port-Weiterleitungen deines Modems/Routers. Aktuell sieht es wohl so aus, dass Du auf die Benutzer-Oberfläche deines Routers/Modes kommst unter der URL.

Daher würde ich Dir hier auch empfehlen deine Dyn-DNS-Adresse aus den Beträgen zu entfernen.

2 Likes

Danke für den Hinweis. Ja Sunrise ist mein Provider. Und die Sagecom im Logfile ist der Router.

Das mit der Portweiterleitung verstehe ich nicht. Es sind beide ports offen und dem Raspi zugeordnet.

Wenn Du gleichzeitig in der Router-Konfiguration zulässt, dass man über das Internet auf den Router zugreifen darf, dann hat diese Einstellung häufig eine höhere Priorität als eine Portweiterleitung für den gleichen Port.

Gemäß der folgenden Anleitung kann man den Remote-Management-Zugriff von überall in der Router-Konfiguration abschalten:

1 Like

Ich habe jetzt den Port 80 und 443 auf der Seite vom Router geschlossen und den Wizzard erneut ausgeführt mit dem selben Ergebnis

Ich habe versucht übers Backend die Ports neu anzustoßen. Da liegt wohl schon der Fehler

Go to http://miniupnp.free.fr/ or https://miniupnp.tuxfamily.org/
for more information.
List of UPNP devices found on the network :
desc: http://192.168.1.1:49152/327a684f/gatedesc0b.xml
st: urn:schemas-upnp-org:device:InternetGatewayDevice:1

Found valid IGD : http://192.168.1.1:49152/upnp/control/WANIPConn1
Local LAN ip address : 192.168.1.20
ExternalIPAddress = xx.xxx.xx.xx
AddPortMapping(443, 443, 192.168.1.20) failed with code 606 (Action not authorized)

Could not forward ports automatically.
Do it manually, or activate UPnP in your router and try again

I think your configuration looks much better now, because the url is no longer redirected to your router. If I access your server using the url “http://xxxx.myftp.org/nextcloud/” over the internet I’m now redirected to your Nextcloud instance.

Before you can get the certificate verification running you need to make sure that the url “http://xxxx.myftp.org/.well-known/acme-challenge/” is being redirected to a directory in which the Let’s encrypt script stores the challenges.

Unfortunately I don’t know how this is down on a NextcloudPi so I recommend to study the configuration guide to solve the problem.

Beim Sunriserouter gibt es unter Experte den Punkt “DMZ” da muss der Raspi hinterlegt werden, ansonsten blockiert der Router die Anfrage.

Ich danke euch für eure Hilfe.