[Eisfair] [E64]: dehydrated: Wechsel zu tls-alpn-01 -> python3 -> invalid challenge

Marcus Röckrath marcus.roeckrath at gmx.de
So Mai 29 12:33:04 CEST 2022 

Hallo Rolf,

Rolf Bensch wrote:

>> Bei python3 haben sich größere Änderungen ergeben, über die sich besser
>> Holger äußern kann.
>> 
>> Nur soviel: Es gibt inzwischen python38 und python310; python3 ist nur
>> noch ein Pseudopaket für Pakete, denen egal ist, ob sie python38 und
>> python310 vorfinden.
>> 
>> Welches python ist bei dir auf der Kiste?
> 
> bisher nur python2 (mit diversen Modulen). Wie geschrieben, hatte ich
> manuell python3 nachinstalliert, damit kamen jetzt mehrere python38-Pakete
> ins System.

python ist nur eine "weiche" Abhängigkeit des certs_dehydrated-Paketes, da
python nur für den Fall der Nutzung von alpn gebraucht wird, da der Dienst
in python3 geschrieben ist.

>> Du musst natürlich den alpn-Server auf einen anderen als den Port 443
>> legen.
> 
> Das dachte ich mir.
> 
>> Der entfernte letsencrypt-Server benutzt aber natürlich weiterhin den
>> Port 443 für seine Anfrage, die somit weiterhin beim Apachen landet.
>> 
>> Hier eine Beschreibung aus einem älteren Thread:
>> https://groups.google.com/g/spline.eisfair/c/iAxr0c7AgBI/
>> 
>> ----------------- Zitat ------------------------------------------------
>> Der ALPN-Responder-Dienst ist ein eigener Dienst, der natürlich lokal
>> nicht auf dem https-Port des Apachen laufen darf - zwei Dienste auf
>> gleichem Port geht nicht.
>> 
>> Benutzt man also einen lokalen Webserver auf dem Port 443, muss man
>> DEHYDRATED_ALPN_LISTEN_PORT auf einen anderen freien Port setzen z. B.
>> 8443 ...
>> 
>> Im Router ist dann der Port 443 nach intern 8443 weiterzuleiten.
> 
> wodurch der Apache während des Updates nicht mehr erreichbar ist.

Klar, für den zeitraum der Aktualisierung landen dann alle Anfragen auf den
Port 443 beim ALPN-Server.

>> Falls natürlich im Regelfall eine Weiterleitung von 443 an den internen
>> Webserver gewünscht ist, müsste man nun folgende Schritte über die Hooks
>> auf dem Router realisieren:
>> 
>> 1. Löschen der Weiterleitung des 443 an den internen Webserver
>> 2. Anlegen der Weiterleitung des 443 an den ALPN-Responder-Port
> 
> wenn hier wieder auf der Fritzbox die Portweiterleitung modifiziert werden
> müssen, bringt das gegenüber http-01 keinen Vorteil. Bisher wurde Port 80
> nur während des Letsencrypt-Update geöffnet, über Port 443 war der Apache
> aber (bis auf den Neustart) unterbrechungsfrei erreichbar.

Genbau und es wäre zu klären, wieso die Portweiterleitungen auf der FRITZ
nicht sicher einzurichzten sind.

Mit der neuesten Firmware von AVM sollte man per TR64 eingerichtete
Portweiterleitungen nicht mehr per TR64 entfernen, sondern nur deaktiv
schalten - da haben die irgendwas "verschlimmbesert".

Also bei Nutzung des Fritzbox-Skriptes nicht mehr das del-Kommando sondern
z. B. add mit Schalter --inactive oder das disable-Kommando.

Eventuell vorhandes ÜPortweiterleitungschaos kann man IMHO nur in er
Fritzweboberfläche und durch Neustart wieder beheben.
 
-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair