woensdag 19 april 2023 20:08

Acties:
  • 0 Henk 'm!
  • Omaha2002
  • Registratie: December 2002
  • Laatst online: 09-09 21:40

Omaha2002

Topicstarter
Zoals velen tracht ik van PFsense naar OPNsense over te stappen. Echter heb ik moeite om HAproxy aan de praat te krijgen. Op de PFsense werkt het en redirect ik met HAproxy op domeinnaam 80/443 naar verschillende achterliggende webservices. Waaronder 1 *.domein naar Nxing Proxy Manager die ik dan lekker makkelijk kan gebruiken voor experimenten van dockers die op verschillende poorten draaien. SSL monteer ik dan af op Nginx Proxy Manager.

Op OPNsense wil ik het netjes doen en SSL afhandelen op OPNsense en met HAproxy doorverwijzen naar de verschillende webservices. Ik heb mijn domeinnamen gehost bij Transip.

Ik gebruik deze tutorial: https://forum.opnsense.org/index.php?topic=23339.0

Waar ik op vastloop is de letsencrypt acme client en hoe de API van Transip te gebruiken:

Afbeeldingslocatie: https://tweakers.net/i/LR9YoAa9eNuQCrYzRZ97CZjqkYU=/800x/filters:strip_exif()/f/image/w6v4Ic1nrpRnv7Y30wyIUtYJ.png?f=fotoalbum_large

Als ik de API pagina van Transip goed begrijp zou de loginnaam moeten zijn: gebruik<accestoken> en de API key de gegenereerde private key.

Echter in de log krijg ik voortdurend:

Error add txt for domain:_acme-challenge.XXXXXX.nl

Heeft iemand de Acme client op OPNsense met de API van Transip wel aan de praat gekregen en hoe?

Alvast bedankt voor het meedenken :)

donderdag 20 april 2023 10:08

Acties:
  • +1 Henk 'm!
  • jeedie
  • Registratie: November 2014
  • Laatst online: 10-09 08:22

jeedie

Ik denk dat je de usernaam niet goed gebruikt. Dit moet je usernaam van transip zijn, dit is niet je mailadres maar je usernaam waarmee je inlogt in het control panel. Na het inloggen is je usernaam ook zichtbaar rechtsboven onder het tandwieltje. Deze moet letterlijk zo in OPNSense onder 'Username' ingevuld worden.

De private key moet inderdaad in het 'API key' veld ingevuld worden binnen OPNSense.

donderdag 20 april 2023 10:16

Acties:
  • +1 Henk 'm!
  • !GN!T!ON
  • Registratie: September 2006
  • Laatst online: 06-09 18:39

!GN!T!ON

Heb je je IP ook toegevoegd aan de whitelist in het Transip controlpanel?

donderdag 20 april 2023 11:11

Acties:
  • +1 Henk 'm!
  • UTPBlokje
  • Registratie: Februari 2020
  • Laatst online: 10-09 22:32

UTPBlokje

De accesstoken en keypair zijn verschillende manieren van connectie met de api van TransIP. Als ik me niet vergis maakt acme dns01 gebruik van accesstoken login. Dus gewoon een kwestie van username zoals @jeedie aangeeft en dan de accesstoken in het wachtwoord veld. Whitelist ip is niet verplicht maar wel veiliger wanneer je een niet verlopen accesstoken in TransIP aanmaakt

zaterdag 22 april 2023 16:04

Acties:
  • 0 Henk 'm!
  • Omaha2002
  • Registratie: December 2002
  • Laatst online: 09-09 21:40

Omaha2002

Topicstarter
Het gaat niet goed, in de logfile:

[Sat Apr 22 15:57:42 CEST 2023] Key file doesn't seem to be a valid key: /var/etc/acme-client/configs/643be1f72eb313.48236739//secret.key

Ik maak een accesstoken aan onderin, heb m'n WANip toegevoegd aan whitelist: (in screenshot staat accepteer alleen ip uit whitelist uit, getest met aan en uit).

login: usernaam van transip
API key: onderaan aangemaakte accesstoken

Afbeeldingslocatie: https://tweakers.net/i/bBqcOXCuReqoSPT4FjjABWN3isU=/x800/filters:strip_exif()/f/image/2InGl3FtBTRCTHoYj6s6A3mf.png?f=fotoalbum_large

Is helemaal niets te vinden over Transip API en OPNsense acmeclient, ben vast niet de enige die hier op vastloopt

[ Voor 9% gewijzigd door Omaha2002 op 22-04-2023 16:07 . Reden: info ttoegevoegd ]

zaterdag 22 april 2023 21:01

Acties:
  • +1 Henk 'm!
  • Jack Flushell
  • Registratie: Juli 2000
  • Laatst online: 18-08 14:54

Jack Flushell

BIEM!

Ik zie dat de key die je hebt aangemaakt alleen geldt voor whitelisted IP's. Heb je het IP adres van de machine waarop je de aanvraag doet toegevoegd aan de whitelist? Als je dual stack gebruikt zowel IPv4 als IPv6 toevoegen.

Bij username vul je je username van TransIP in.

Bij API key de private key die je eenmalig te zien krijgt toen je de key aanmaakte, inclusief de tags dus:

-----BEGIN PRIVATE KEY----
bladibla
-----END PRIVATE KEY-----

Je lijkt het allemaal goed gedaan te hebben... (maar denk eraan ook IPv6 als je dat gebruikt)
Maak desnoods een nieuwe key aan.

Succes.

[ Voor 64% gewijzigd door Jack Flushell op 22-04-2023 21:07 ]

zaterdag 22 april 2023 21:59

Acties:
  • 0 Henk 'm!
  • Omaha2002
  • Registratie: December 2002
  • Laatst online: 09-09 21:40

Omaha2002

Topicstarter
Het werkt! Dank voor de tips, voor de volledigheid, ik heb:
- IPv6 gedisabled op OPNsense (test later met);
- je moet 5 minuten (300s) wachten voordat certificate geinstalleerd wordt;

Die 5 minuten waren de crux voor mij, ik zag foutmeldingen in de acme log en dacht, we proberen iets anders waardoor het steeds fout ging.

Dus... even geduld.

zaterdag 22 april 2023 22:12

Acties:
  • +1 Henk 'm!
  • Jack Flushell
  • Registratie: Juli 2000
  • Laatst online: 18-08 14:54

Jack Flushell

BIEM!

De sleep time is omdat sommige providers wat sloom zijn bij de aanmaak van de benodigde dns records (of in elk geval met de propagatie ervan). Het kan prima zijn dat het met 60s ook al lukt. 300 is veilig en ik kan zeker bij renewals geen kwaad, want doorgaans renew je veel eerder dan dat het certificaat verlopen is. Bij mij loopt een dagelijkse cron in opnsense die in de nacht loopt.

vrijdag 15 september 2023 13:19

Acties:
  • 0 Henk 'm!
  • Omaha2002
  • Registratie: December 2002
  • Laatst online: 09-09 21:40

Omaha2002

Topicstarter
Voor anderen die hier mee zitten en het niet aan de praat krijgen, je moet Key Pairs aanmaken, niet een accesstoken!! De bovenste optie in het TransIP scherm.

Afbeeldingslocatie: https://tweakers.net/i/g7f3nKWWxWCAj1nzjV2RepTVYmM=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/ludNCSKuZQCTUxLyNX6SOpnf.png?f=user_large

[ Voor 30% gewijzigd door Omaha2002 op 15-09-2023 13:20 ]

zaterdag 16 september 2023 13:12

Acties:
  • 0 Henk 'm!
  • Mr_PinooO
  • Registratie: Januari 2007
  • Laatst online: 09-06-2024

Mr_PinooO

Het heeft een tijd goed gewerkt, 4 maand ofzo.

Maar nu krijg ik hier de foutmelding:

Error add txt for domain:_acme-challenge.xxxxxxx.xxx

Werkt het bij jullie nog wel ?

En je hebt geen IP's toegevoegd bij Transip ? Aangezien Whitelisted IP op nee staat.

Kan verder niet echt een foutmelding vinden, was al aan het zoeken hoe je amce.sh vanuit de shell zelf kan runnen om meer informatie te zien. Maar nog geen succes.. :(

zaterdag 16 september 2023 20:52

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Niet online

jadjong

Zie de reactie van Jack Flushell hier boven, niet toevallig ipv6 er bij gekregen in de afgelopen dagen?

zondag 17 september 2023 11:50

Acties:
  • 0 Henk 'm!
  • Mr_PinooO
  • Registratie: Januari 2007
  • Laatst online: 09-06-2024

Mr_PinooO

IpV6 had ik ook al eerder, toen het nog werkte....

Zal het voor de zekerheid eens testen met ipv6 uit.

zondag 17 september 2023 12:57

Acties:
  • 0 Henk 'm!
  • Mr_PinooO
  • Registratie: Januari 2007
  • Laatst online: 09-06-2024

Mr_PinooO

Hmmmz, met ipv6 uit loopt die wel door.....

Nu dus uitzoeken hoe de acmeclient geforceerd kan worden om ipv4 te gebruiken, of via een andere gateway naar buiten die alleen ipv4 ondersteund. ?!?

Iemand dat al opgelost?
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq