Hey zusammen,
ich versuche gerade mittels Zoraxy meinen Reverse Proxy einzurichten. Es scheitert am Certificate mittels DNS Challenge.
Ich sehe in den logs von ipv64 das er eine TXT erstellt.
Zoraxy sagt aber:
invalid authorization: acme: error: 403 :: urn:ietf:params:acme:error:unauthorized :: No TXT record found at _acme-challenge.verwiebe.ipv64.de
Weiß jemand was ich falsch mache?
Diese Beobachtung mache ich auch schon längere Zeit.
Bei mir klappt es, wenn ich unmittelbar nach der Fehlermeldung direkt nochmal einen Versuch starte.
Für die automatische Erneuerung des Zertifikats ist das natürlich nicht so toll.
M.E. reagiert der DNS-Server von IPv64.net zu langsam. D.h. der TXT-Record wird zwar erstellt, ist aber nicht rechtzeitig verfügbar, bevor Zoraxy in einen Timeout läuft.
Die Trägheit macht sich übrigens auch bei einer IP-Aktualisierung bemerkbar: Nach einer Aktualisierung spricht der IPv64-eigene Healthcheck eine ganze Weile immer noch die alte IP an, obwohl es die neue IP schon kennen müsste.
Ich glaube, ich habe eine Lösung gefunden, und zwar den DNS-Server von IPv64.net direkt unten in das optionale Feld einzutragen. Dann hat er ein Zertifikat bekommen.
Das habe ich nun auch mal probiert, und außerdem das Propagation Timeout höher gesetzt.
Manuell hat das nun geklappt - nun bleibt abzuwarten, ob die automatische Erneuerung auch zuverlässig funktioniert.
Überprüft bitte mal die TTL (Time to Live) eurer DNS-Records bei ipv64.net. Grob gesagt ist das die Zeit in Sekunden, die sich ein Client oder ein anderer DNS-Server eine einmal gemachte Namensauflösung merken darf (Cache), bevor er wieder beim zuständigen DNS-Server anfragen muss. Es kann also immer etwas dauern, bis sich Änderungen im DNS verbreitet haben, wenn der Wert zu hoch ist. Ich hab das10s drin.