ich habe gestern versucht auf der OPNSense mittels des ACME-Plugin ein Let’s Encrypt Zertifikat mittels DNS-01 Challenge und einer eigenen Domain von ipv64 einzurichten.
Es wird auch ein ACME Eintrag im TXT format angezeigt, leider aber nicht verifiziert, sodass das Let’s Encrypt Zertifikat ausgeatellt werden kann.
Wenn ich den selben Schritt aber mit einer DynDNS Adresse von ipv64 mache, dann funktioniet alles reibungslos.
Erst im laufe des Tages kann ich nähere Angaben zu der „Fehlermeldung“ machen.
Sofern aber jemand eine Idee hat, wäre ich dafür sehr dankbar.
Also ich habe eben noch mal nachgeschaut.
Wenn ich eine eigene Domain anlege, dann habe ich eine Fehlermeldung beim NS record.
NS BAD - NS are not set correctly (May take 48 hours)
Meine Frage: Muss ich den Record selbst anlegen oder dauert es wirklich bis zu 48h bis sich das erledigt hat?
So wie es scheint ist aber auf der OPNSense alles richtig konfiguriert. In den Logs beim ACME Plugin steht nur, dass ich auf folgende Seite verwiesen werde:
IPv64 Account Upgrade - > eigene Domain erstellt - > verweißt auf IP Adresse der FW - >
Wenn ich nun das ACME Plugin einstelle, kommt der besagte Fehler.
Wenn ich aber eine DynDNS Adresse nehme wie z. b.
Test.ipv64.de - > verweißt auf die IP Adresse der FW
Und ich nun das ACME Plugin einstelle, dann funktioniert alles.
Und jetzt kommt wahrscheinlich der Denkfehler.
Wieso muss ich jetzt noch mal bei einem anderen Anbieter (welcher gar nicht existiert) NS Eintrage auf die von ipv64 anlegen?
Um weitere lokale Dienste auch mit dem Zertifikat auszustatten, reicht dafur nicht die test.ipv64.de Adresse aus, oder muss es eine eigene Domain sein? Oder gibt es hierbei einen Unterschied zwischen „AccessPoint.eigeneDomain.de“ und „AccessPoint.test.ipv64.de“?
Domain irgendwo kaufen - > Domain bei diesem Anbieter Einstellen (NS Records auf IPv64.net setzen) - > IPv64.net Account registrieren - > IPv64 Account Upgrade - > eigene Domain erstellt - > verweißt auf IP Adresse der FW
Okay, also Domain registriert und ns1.ipv64.net und ns2.ipv64.net alsNS hinzugefügt. Das hat funktioniert.
Beim ACME plugin wurde das Zertifikat signiert und hat gepasst.
Die OPNSense ist leider noch nicht ubter der neuen Adresse erreichbar und die nach wie vor sag ipv64 beim NS Check "NS are not set correctly). Vielleicht dauert es einfach noch ein paar stunden?
Bei IPv64 wird die Domain ganz normal als A record angelegt und die Destination ist die öffentliche IP Adresse, richtig?
Und bei dem Provider wo du die Domain hast, hast du die NS Einträge auf ns1.ipv64.netns2.ipv64.net gesetzt?
Wenn ja, dann gut, musst du leider abwarten, aber dein Domainprovider ist Müll.
Hallo,
ich habe exakt das gleiche Thema und stehe offenbar beharrlich auf dem Schlauch!
In opnsense einen Account, eine Challenge-Type und ein Zertifikat angelegt.
Als Challenge-Type habe ich DNS-01 ausgewählt.
Als API-Key hab ich sowohl den Level2 als auch Level1 (mit dem &domain=…-Suffix) probiert.
Habe es sowohl für eine eigene Domain, als auch für eine Subdomain von ipv64.net probiert.
Alles ohne Erfolg.
Und jedesmal meckert mich das Log nach wenigen Sekunden so an:
zwischen Klick auf “force renew” und der Fehlermeldung liegen immer ca. 5 Sekunden. Daher vermute ich, dass die API-Authentifizierung schon scheitert. Sehe nämlich auch keinen temporär erzeugte TXT-Record.
Port 80 und 443 leite ich in der opnsense nicht weiter.
Und ja, die NS-Autorität für die Domain liegt schon ne ganze Weile bei ns{1,2}.ipv64.net
Warum will das bei mir nicht funktionieren?
Was übersehe ich?
Um auf Nummer sicher zu gehen:
der “Security Level 2” - Key sollte doch reichen oder?
Und der Key den ich eintrage sind nur die chaotischen 33 Zeichen nicht die komplette Update-URL oder?
