Probleme Order certificates in Proxmox mit IPv64

Moin. Hab eine Domain, welche auch bei einem Hoster registriert ist.
Jetzt wollte ich mir für meine nodes Zertifikate erstellen mit letsencrypt, damit endlich https läuft. Meine Geräte hängen alle in einer ucs domain.

Ich habe mir einen acc bei IPv64.net gemacht und im Proxmox ein Challenge-Plugin dafür erstellt. Wenn ich nun die Zertifikate ordere kommt das:

[Sat Jan 18 10:48:46 CET 2025] You must export variable: IPv64_Token
[Sat Jan 18 10:48:46 CET 2025] The API Key for your IPv64 account is necessary.
[Sat Jan 18 10:48:46 CET 2025] You can look it up in your IPv64 account.
[Sat Jan 18 10:48:46 CET 2025] Error add txt for domain:_acme-challenge.lan.xxx.de
TASK ERROR: command ‚setpriv --reuid nobody --regid nogroup --clear-groups --reset-env – /bin/bash /usr/share/proxmox-acme/proxmox-acme setup ipv64 lan.xxx.de‘ failed: exit code 1

Wenn ich es über HTTP mache geht es, allerdings will ich nicht dauernd den Port 80 im Port forwarding auf meine internen Geräte haben.

Was mach ich falsch?

Hilft dir das?

Bitte um Feedback.

Da geht es schon bei Punkt 1 los. Leider etwas unglücklich formuliert. Lege einen A-Record für den Host an. Meint das jetzt einen 2. A-Record oder wie sollte dieser aussehen. Aktuell habe ich einen Record mit meiner Subdomain als Domain-tag und meiner static IP als Ziel-tag.

Ja, also „proxmox.deinname.ipv64.de“ wäre ja schon OK.

Also 2. A-Record mit Domain „proxmox.deinname.ipv64.de" und Ziel der internen IP meines pve?
Oder soll ich dann auf den A-Record meines Hosters zeigen? Dort hab ich ja einen A-Record „xxx.de“ mit Ziel auf die IP des hosters und einen A-Record mit „lan.xxx.de“ und Ziel auf meine feste IP vom Kabelanschluss. (Vodafone)

Alter… einfach nur ein A Record worunter der Proxmox Host erreichbar sein soll. Wenn man auf den Namen geht, öffnet sich dein Proxmox.
Kann auch eine Sub Sub sub sub domain sein… is doch meinem DNS egal. :slight_smile:

A 1.2.3.4 proxmox.domain.de

Also A-Record „pve.domain.de“ mit Ziel „IP des Gerätes“ Auf welchem Port muss denn das meinen pve erreichen können?

Korrekt.

Auf gar keinen. Denn du machst da eine DNS-Challenge. Dafür braucht der Zertifizierungsdienst keinen Zugriff. Es reicht wenn Proxmox seinen default Port offen hat.

Jetzt gerade für dich getestet. Der Prozess klappt.

Jo jetzt läuft es.

nur noch ein Problem:
image

OK, musste den PC komplett rebooten. Allerdings über die IP aufgerufen ist er immer noch nicht sicher nur über die DNS. Gibt es auch Möglichkeiten, meine eigene, schon registrierte Domain bzw. eine Subdomain davon per TLS zu registrieren?

Ja per IP ist das Zertifikat natürlich ungültig. Das liegt in der Natur.

Bei IPv64 kann man eigene Domains ab der Supporter Accountklasse anmelden.