Kein Zugriff mehr über DuckDNS

[Markus]

Verwende seit langer Zeit DuckDNS u. NGINX für den externen Zugriff. Seit 2 Tagen komme ich aber nicht mehr rauf, Fehler:

Unable to connect to Home Assistant.

Über die interne IP zu Hause funktioniert HA.

Bin mir aber nicht bewusst was verändert zu haben, folgende Configurationen hab ich:

a) configuration.yaml

Code: Alles auswählen

http:
  server_port: 8123
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24
    - 192.168.200.0/24
    - 127.0.0.1
    - ::1
  ip_ban_enabled: true
  login_attempts_threshold: 5

b) DuckDNS addon

Code: Alles auswählen

accept_terms: false
algo: secp384r1
certfile: fullchain.pem
keyfile: privkey.pem

c) NGINX aktiviert

• Forward-Port 8123
  Websockets Support
  Force SSL
  HSTS Enabled
  HTTP/2 Support
  HSTS Subdomain

d) FritzBox Portweiterleitung an Raspi mit

• HTTP 3000
  HTTPS 443
  HTTP 80

Wo liegt der Fehler?

[carsten_h]

NGINX

Welches Add-On benutzt Du da? Zu dem "Nginx Proxy Manager" Add-On, also dem mit GUI könnte ich vielleicht etwas sagen. Zu dem anderen nicht.
Du hast dann ja von extern etwas wie "https://subdomain.domain.duckdns.org" ohne Port, oder?
In der GUI legt man dann ja die zusätzlich notwendigen Let's Encrypt Zertifikate für die subdomains an, die auch ständig neu geholt werden.

Oder funktioniert ganz simpel die IP-Adressen-Meldung an DuckDNS nicht mehr? Stimmt die IP, die ein ping auf "domain.duckdns.org" mit der externen IP der Fritz!Box überein?

[Markus]

NGINX

Welches Add-On benutzt Du da? Zu dem "Nginx Proxy Manager" Add-On, also dem mit GUI könnte ich vielleicht etwas sagen. Zu dem anderen nicht.
Du hast dann ja von extern etwas wie "https://subdomain.domain.duckdns.org" ohne Port, oder?
In der GUI legt man dann ja die zusätzlich notwendigen Let's Encrypt Zertifikate für die subdomains an, die auch ständig neu geholt werden.

Oder funktioniert ganz simpel die IP-Adressen-Meldung an DuckDNS nicht mehr? Stimmt die IP, die ein ping auf "domain.duckdns.org" mit der externen IP der Fritz!Box überein?

a) Ja, das Nginx Proxy Manager add on, Dashboard erreichbar über IP:81
b) genau https://meinname.duckdns.org
c) SSL Let's Encrypt > Public > Online
d) ping meinname.duckdns.org > funktioniert

[Osorkon]

Ich würde ja vermuten, das es mit einem ungültigen ssl Zertifikat zusammenhängt.
Wer kümmert sich bei Dir um das Zertifikat? NPM oder DuckDNS?

Gruß
Osorkon

[Markus]

Ich würde ja vermuten, das es mit einem ungültigen ssl Zertifikat zusammenhängt.
Wer kümmert sich bei Dir um das Zertifikat? NPM oder DuckDNS?

Gruß
Osorkon

Das hab ich auch schon vermutet, allerdings verstehe das Prinzip dazu nicht.
In NGM steht unter SSL Certificat meinname.duckdns.org

[carsten_h]

b) genau https://meinname.duckdns.org

Das wäre aber falsch! Mit Nginx greifst Du über eine subdomain zu, also das was ich oben schrieb.
Also subdomain.meinedomain.duckdns.org. Das wird dann von extern von Port 443 auf intern Deine Home Assistant Adresse auf Port 8123 gemappt.
Mit meinedomain.duckdns.org greifst Du nur auf Deine Fritzbox zu.

c) SSL Let's Encrypt > Public > Online

Nein, im Nginx Proxy Manager unter „SSL Certificates“ stehen die Zertifikate, die dann auch für Home Assistant genutzt werden.

d) ping meinname.duckdns.org > funktioniert

Da war meine Frage blöd. Geht der ping auf die richtige IP, die externe Deiner Fritzbox?

[carsten_h]

Wer kümmert sich bei Dir um das Zertifikat? NPM oder DuckDNS?

Für meinedomain.duckdns.org kümmert sich Duckdns und der macht auch das IP Adressen Update für den DNS.

Für alle subdomain.meinedomain.duckdns.org Zertifikate kümmert sich Nginx Proxy Manager.

[Osorkon]

Also verwaltest Du deine ssl Zertifikate mit NPM.
Sind diese noch aktuell, also gültig? Siehst Du ja am Ablaufdatum.

Mit den Duckdns Addon verweist Du in der Konfiguration ebenfalls auf ein ssl Zertifikat?!

Nutze das DuckDNS Addon nicht. Nur den NPM. Kann also nur mutmaßen.

Deine externe IP wird aber schon richtig mit Deiner duckdns Domain gemapt?

Kannst mal testweise das DuckDNS stoppen, den Browser Cache leeren und erneut versuchen über https auf HA zuzugreifen.

Gruß
Osorkon

[Markus]

Grundatzfrage: brauch ich unter den HA Addons den NGINX Home Assistant SSL Proxy oder Nginx Proxy Manager (hatte ich bisher)

Im NGINX Proxy Manager was das Ceritifact abgelaufen, habs erneuert (expires 17th May 2023)....bringt aber nix?

Protokoll NGINX Proxy Manager

Code: Alles auswählen

cont-init: info: /etc/cont-init.d/00-banner.sh exited 0
cont-init: info: running /etc/cont-init.d/01-log-level.sh
parse error: Expected string key before ':' at line 1, column 4
[16:56:52] ERROR: Unknown HTTP error occured
cont-init: info: /etc/cont-init.d/01-log-level.sh exited 0
cont-init: info: running /etc/cont-init.d/mysql.sh
[16:56:53] ERROR: This add-on now requires the MariaDB core add-on 2.0 or newer!
[16:56:53] FATAL: Make sure the MariaDB add-on is installed and running
cont-init: info: /etc/cont-init.d/mysql.sh exited 1
cont-init: info: running /etc/cont-init.d/nginx.sh
parse error: Expected string key before ':' at line 1, column 4
[16:56:53] ERROR: Unknown HTTP error occured
cont-init: info: /etc/cont-init.d/nginx.sh exited 0
cont-init: info: running /etc/cont-init.d/npm.sh
parse error: Expected string key before ':' at line 1, column 4
[16:56:57] ERROR: Unknown HTTP error occured
jq: error: syntax error, unexpected $end (Unix shell quoting issues?) at <top-level>, line 6:
    | .database.port =                       

jq: 1 compile error
cont-init: info: /etc/cont-init.d/npm.sh exited 0
cont-init: warning: some scripts exited nonzero
s6-rc: warning: unable to start service legacy-cont-init: command exited 1
/run/s6/basedir/scripts/rc.init: warning: s6-rc failed to properly bring all the services up! Check your logs (in /run/uncaught-logs/current if you have in-container logging) for more information.
prog: fatal: stopping the container.
s6-rc: info: service fix-attrs: stopping
s6-rc: info: service fix-attrs successfully stopped
s6-rc: info: service s6rc-oneshot-runner: stopping
s6-rc: info: service s6rc-oneshot-runner successfully stopped

[carsten_h]

brauch ich unter den HA Addons den NGINX Home Assistant SSL Proxy oder Nginx Proxy Manager

Das bleibt ganz Dir überlassen. Ersteres wird komplett über Konfigurationsdateien gesteuert und letzteres hat eine GUI, mit der das Lesen der Logs meistens entfallen kann.

Das Log habe ich nur überflogen, dort war von irgendeinem Fehler die Rede und das etwas wieder beendet wurde. Läuft das Add-On wirklich? Ich habe heute leider keine Zeit mehr zum weiteren Nachforschen.

Was mir gerade noch einfällt. Die Fehlermeldung lautet „unable to connect to Home Assistant“. Wer oder was gibt diese Meldung überhaupt aus? Ein Browser kann es ja eigentlich nicht sein, da der ja nichts von Home Assistant weiß, oder?
Oder hast Du einfach nur ein Anmeldeproblem, das ja im linken Menü unter Benachrichtigungen angezeigt werden müsste.

Oben steht, daß Du kein oder ein falsches Maria-DB Add-On hast!

Jetzt muss ich aber weg…

[carsten_h]

So sollte ein richtiger Hochlauf aussehen:

Code: Alles auswählen

 s6-rc: info: service s6rc-oneshot-runner: starting
s6-rc: info: service s6rc-oneshot-runner successfully started
s6-rc: info: service fix-attrs: starting
s6-rc: info: service fix-attrs successfully started
s6-rc: info: service legacy-cont-init: starting
cont-init: info: running /etc/cont-init.d/00-banner.sh
-----------------------------------------------------------
 Add-on: Nginx Proxy Manager
 Manage Nginx proxy hosts with a simple, powerful interface
-----------------------------------------------------------
 Add-on version: 0.12.3
 You are running the latest version of this add-on.
 System: Home Assistant OS 9.5  (aarch64 / raspberrypi4-64)
 Home Assistant Core: 2023.2.5
 Home Assistant Supervisor: 2023.01.1
-----------------------------------------------------------
 Please, share the above information when looking for help
 or support in, e.g., GitHub, forums or the Discord chat.
-----------------------------------------------------------
cont-init: info: /etc/cont-init.d/00-banner.sh exited 0
cont-init: info: running /etc/cont-init.d/01-log-level.sh
cont-init: info: /etc/cont-init.d/01-log-level.sh exited 0
cont-init: info: running /etc/cont-init.d/mysql.sh
cont-init: info: /etc/cont-init.d/mysql.sh exited 0
cont-init: info: running /etc/cont-init.d/nginx.sh
cont-init: info: /etc/cont-init.d/nginx.sh exited 0
cont-init: info: running /etc/cont-init.d/npm.sh
cont-init: info: /etc/cont-init.d/npm.sh exited 0
s6-rc: info: service legacy-cont-init successfully started
s6-rc: info: service legacy-services: starting
services-up: info: copying legacy longrun manager (no readiness notification)
services-up: info: copying legacy longrun nginx (no readiness notification)
s6-rc: info: service legacy-services successfully started
[18:34:51] INFO: Starting NGinx...
[18:34:51] INFO: Starting the Manager...
[2/16/2023] [6:34:52 PM] [Global   ] › ℹ  info      Manual db configuration already exists, skipping config creation from environment variables
[2/16/2023] [6:34:56 PM] [Migrate  ] › ℹ  info      Current database version: 20211108145214
[2/16/2023] [6:34:56 PM] [Setup    ] › ℹ  info      Logrotate Timer initialized
[2/16/2023] [6:34:56 PM] [Setup    ] › ℹ  info      Logrotate completed.
[2/16/2023] [6:34:56 PM] [IP Ranges] › ℹ  info      Fetching IP Ranges from online services...
[2/16/2023] [6:34:56 PM] [IP Ranges] › ℹ  info      Fetching https://ip-ranges.amazonaws.com/ip-ranges.json
[2/16/2023] [6:34:57 PM] [IP Ranges] › ℹ  info      Fetching https://www.cloudflare.com/ips-v4
[2/16/2023] [6:34:57 PM] [IP Ranges] › ℹ  info      Fetching https://www.cloudflare.com/ips-v6
[2/16/2023] [6:34:57 PM] [SSL      ] › ℹ  info      Let's Encrypt Renewal Timer initialized
[2/16/2023] [6:34:57 PM] [SSL      ] › ℹ  info      Renewing SSL certs close to expiry...
[2/16/2023] [6:34:57 PM] [IP Ranges] › ℹ  info      IP Ranges Renewal Timer initialized
[2/16/2023] [6:34:57 PM] [Global   ] › ℹ  info      Backend PID 270 listening on port 3000 ...
[2/16/2023] [6:35:03 PM] [Nginx    ] › ℹ  info      Reloading Nginx
[2/16/2023] [6:35:04 PM] [SSL      ] › ℹ  info      Renew Complete

Vielleicht kannst Du da einen Unterschied sehen, ich muss jetzt wieder weg.

Port 3000 habe ich übrigens nicht weitergeleitet, ich wüßte jetzt auch nicht wofür der gut ist.

[Markus]

da war was an der MariaDB, sollte wieder laufen, der NGINX Proxy Manager hat aber noch folgende Fehler raus:

Code: Alles auswählen

[20:17:43] INFO: Starting the Manager...
[20:17:43] INFO: Starting NGinx...
nginx: [warn] conflicting server name "meinname.duckdns.org" on 0.0.0.0:80, ignored
nginx: [warn] conflicting server name "meinname.duckdns.org" on 0.0.0.0:443, ignored
[2/16/2023] [8:17:44 PM] [Global   ] › ℹ  info      No valid environment variables for database provided, using default SQLite file '/data/database.sqlite'
[2/16/2023] [8:17:44 PM] [Global   ] › ℹ  info      Generating SQLite knex configuration
[2/16/2023] [8:17:44 PM] [Global   ] › ⬤  debug     Wrote db configuration to config file: ./config/production.json
[2/16/2023] [8:17:48 PM] [Migrate  ] › ℹ  info      Current database version: none
[2/16/2023] [8:17:49 PM] [Setup    ] › ℹ  info      Logrotate Timer initialized
[2/16/2023] [8:17:49 PM] [Setup    ] › ℹ  info      Logrotate completed.
[2/16/2023] [8:17:49 PM] [IP Ranges] › ℹ  info      Fetching IP Ranges from online services...
[2/16/2023] [8:17:49 PM] [IP Ranges] › ℹ  info      Fetching https://ip-ranges.amazonaws.com/ip-ranges.json
[2/16/2023] [8:17:49 PM] [IP Ranges] › ℹ  info      Fetching https://www.cloudflare.com/ips-v4
[2/16/2023] [8:17:50 PM] [IP Ranges] › ℹ  info      Fetching https://www.cloudflare.com/ips-v6
[2/16/2023] [8:17:50 PM] [SSL      ] › ℹ  info      Let's Encrypt Renewal Timer initialized
[2/16/2023] [8:17:50 PM] [SSL      ] › ℹ  info      Renewing SSL certs close to expiry...
[2/16/2023] [8:17:50 PM] [IP Ranges] › ℹ  info      IP Ranges Renewal Timer initialized
[2/16/2023] [8:17:50 PM] [Global   ] › ℹ  info      Backend PID 268 listening on port 3000 ...
2023/02/16 20:17:51 [error] 292#292: *1 connect() failed (111: Connection refused) while connecting to upstream, client: 193.36.224.237, server: meinname.duckdns.org, request: "GET / HTTP/1.1", upstream: "http://192.168.200.178:8123/", host: "meinname.duckdns.org"
[16/Feb/2023:20:17:51 +0100] - 502 502 - GET https meinname.duckdns.org "/" [Client 193.36.224.237] [Length 150] [Gzip -] [Sent-to 192.168.200.178] "Python/3.8 aiohttp/3.8.3" "-"
`QueryBuilder#allowEager` method is deprecated. You should use `allowGraph` instead. `allowEager` method will be removed in 3.0
`QueryBuilder#eager` method is deprecated. You should use the `withGraphFetched` method instead. `eager` method will be removed in 3.0
QueryBuilder#omit is deprecated. This method will be removed in version 3.0
Model#$omit is deprected and will be removed in 3.0.

Im Browser (Firefox) kommt folgender Fehler:

Code: Alles auswählen

meinname.duckdns.org verwendet ein ungültiges Sicherheitszertifikat.
 
Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
 
Fehlercode: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

[carsten_h]

Da scheint mir die Konfiguration von Nginx nicht richtig zu laufen.
Soweit ich weiß geht das auch nur mit subdomain.meinedomain.duckdns.org, da aufgrund der subdomain Nginx entscheidet dür wen die Pakete sind. Wenn Du da die subdomain weglässt, sollte das nicht gehen.
Das ist das was ich oben schon geschrieben habe.

upstream: "http://192.168.200.178:8123/", host: "meinname.duckdns.org

Das hier scheint mir auch genau falsch herum zu sein.
Unter Hosts/Proxy Hosts müsste unter Source „subdomain.meinedomain.duckdns.org“ stehen und bei destination „http://aaa.bbb.ccc.ddd:8123“ eingetragen werden.

Firefox bekommt da irgendein seltsames Zertifikat, das Du selber ausgestellt hast. Du mußt Dir dazu die Zertifikatinformationen im Browser ansehen, da steht ja woher es kommt.

Bei mir ist es so konfiguriert wie ich es oben beschrieben habe und wie es auch in dem gif auf der Nginx Proxy Manager Webseite zu sehen ist. Wie man es anders machen kann weiß ich nicht, da kann ich weniger helfen.

Das hier ist meine Konfiguration in Nginx (und eben noch das Zertifikat):

AC74AB9F-F81D-4217-987A-9FB252B72184.jpeg (151.49 KiB) 1690 mal betrachtet

7A743163-C131-4B5E-87A1-39CB544329F5.jpeg (100.15 KiB) 1690 mal betrachtet

[Markus]

hmm, hab jetzt im Nginx Proxy Manager.
home.meinname.duckdns.org als source bei den Proxy Host eingetragen

Rufe ich zB in Chrome nun home.meinname.duckdns.org auf kommt

FRITZ!Box
Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.

Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein.

Wenn Sie über einen anderen Hostnamen auf die FRITZ!Box zugreifen wollen, ergänzen Sie diesen bitte als Ausnahme in der Benutzeroberfläche Ihrer FRITZ!Box unter "Heimnetz > Netzwerk > Netzwerkeinstellungen" im Bereich "DNS-Rebind-Schutz".

[carsten_h]

Ich habe in der Fritzbox den DNS Rebind Schutz nicht an, jedenfalls nicht für Home Assistant.

Auf welche IP Adresse leitest Du denn in der Fritzbox die Ports 443/80 weiter? Das sieht so aus als würden die in die Fritzbox gehen.

[Markus]

443.png (6.81 KiB) 1685 mal betrachtet

80.png (6.6 KiB) 1685 mal betrachtet

[carsten_h]

Und an welche IP Adresse gehen die? Das war die Frage.

[Markus]

Und an welche IP Adresse gehen die? Das war die Frage.

Sorry, gehen an die IP Adresse des Raspi (mit HA).

[carsten_h]

Du könntest nur versuchen diese subdomain im DNS Rebind Schutz anzugeben.

[Markus]

Irgendwie hab ich eine ordentliche Baustelle, hätte ein Backup von Jänner eingespielt, jetzt bekomm ich immer

Code: Alles auswählen

502: Bad Gateway

und der NGINX Proxy Manager startet nicht unter den Add ons

[Markus]

So, die Addons starten wieder....da hat der Weg geholfen

Einstellungen > System > Hardware > Rechts oben "System neustarten"

Aber der Zugriff von aussen funktioniert nicht, da hab ich im Nginx Proxy Manager was interessantes entdeckt unter SSL

npm.png (3.66 KiB) 1660 mal betrachtet

bzw. unter Edit Proxy Host

asdf.png (16.74 KiB) 1660 mal betrachtet

[Markus]

So, ich dreh mich im Kreis....hatte wohl zuviele let's encrypt Anfragen....hab mir nun einen neue DuckDNS Subdomain angelegt und anstatt den Nginx Proxy Manager den NGINX Home Assistant SSL proxy (wird als offizielles addon unterstützt).

Es bekomm ich aber folgenden Fehler von der FritzBox

FRITZ!Box
Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.

Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein.

Wenn Sie über einen anderen Hostnamen auf die FRITZ!Box zugreifen wollen, ergänzen Sie diesen bitte als Ausnahme in der Benutzeroberfläche Ihrer FRITZ!Box unter "Heimnetz > Netzwerk > Netzwerkeinstellungen" im Bereich "DNS-Rebind-Schutz".

In der FritzBox sind folgende Port-Freigaben

• HTTPS 443
  HTTP 80

Wie bekomm ich das wieder hin?

[carsten_h]

anstatt den Nginx Proxy Manager den NGINX Home Assistant SSL proxy (wird als offizielles addon unterstützt).

Zu letzterem kann ich gar nichts schreiben, da ich den nie ausprobiert habe.
Es lief direkt mit dem Nginx Proxy Manager, der übrigens von Frenck, einem der Home Assistant Entwickler ist, völlig problemlos.

Zu Deinem Rebind Problem schrieb ich ja oben schon etwas und es steht ja auch in der Fehlermeldung.

[Markus]

Bzgl. Rebind Meldung;

trage ich meinname.duckdns.org ein, erscheint die Login Seite der FritzBox, nicht HA

[Markus]

Nachdem ich auf NGINX Home Assistant SSL proxy umgestellt und eine neue DuckDNS Domain eingerichtet habe, klappt es wieder. Einzig diese Error Meldung im Protokoll von NGINX Home Assistant SSL proxy verstehe ich noch nicht:

Code: Alles auswählen

s6-rc: info: service s6rc-oneshot-runner: starting
s6-rc: info: service s6rc-oneshot-runner successfully started
s6-rc: info: service fix-attrs: starting
s6-rc: info: service fix-attrs successfully started
s6-rc: info: service legacy-cont-init: starting
s6-rc: info: service legacy-cont-init successfully started
s6-rc: info: service legacy-services: starting
s6-rc: info: service legacy-services successfully started
[08:21:53] INFO: Running nginx...
2023/02/26 08:32:59 [error] 146#146: *23 upstream timed out (110: Operation timed out) while reading response header from upstream, client: meine.IP., server: meinname.duckdns.org, request: "GET /api/hassio/addons/core_nginx_proxy/logs HTTP/2.0", upstream: "http://172.......:8123/api/hassio/addons/core_nginx_proxy/logs", host: "meinname.duckdns.org", referrer: "https://meinname.duckdns.org/hassio/addon/core_nginx_proxy/logs"
2023/02/26 13:12:13 [error] 146#146: *2445 upstream timed out (110: Operation timed out) while reading response header from upstream, client: meine.IP., server: meinname.duckdns.org, request: "GET /api/hassio/addons/core_nginx_proxy/logs HTTP/2.0", upstream: "http://172.......:8123/api/hassio/addons/core_nginx_proxy/logs", host: "meinname.duckdns.org", referrer: "https://meinname.duckdns.org/hassio/addon/core_nginx_proxy/logs"
2023/02/26 13:12:16 [error] 146#146: *2445 upstream timed out (110: Operation timed out) while reading response header from upstream, client: meine.IP., server: meinname.duckdns.org, request: "GET /api/hassio/addons/core_nginx_proxy/logs HTTP/2.0", upstream: "http://172.......:8123/api/hassio/addons/core_nginx_proxy/logs", host: "meinname.duckdns.org", referrer: "https://meinname.duckdns.org/hassio/addon/core_nginx_proxy/logs"

Code: Alles auswählen

2023/02/26 19:29:35 [crit] 146#146: *5870 SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking, client: 178.128.91.110, server: 0.0.0.0:443
2023/02/27 04:14:05 [crit] 146#146: *10014 SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking, client: 198.199.118.220, server: 0.0.0.0:443
2023/02/27 05:25:57 [crit] 146#146: *10432 SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking, client: 159.89.122.80, server: 0.0.0.0:44