# Ispconfig 3.1 ?



## mzips (24. Feb. 2016)

Hallo zusammen !

Ich würde zu Ispconfig 3 wechsel nun warte ich aber auf die v 3.1 die auf der Roadmap zu 98% fertig ist, kann man schon abschätzen wann es so weit ist oder geht die erstmal in die beta ectpp. ?
Vielen dank im Voraus


----------



## Till (24. Feb. 2016)

Es wird erstmal eine Alpha in ein paar tagen geben. Das Update von 3.0.5.x auf 3.1 ist ein ganz normales Update, es macht keinen Sinn mit einer Installation auf 3.1 final zu warten da Du keinen Vorteil bei einer frischen Installation gegenüber einem Update hast, das update führt den gleichen Code zur Systemkonfiguration aus wie der Installer.


----------



## nut (10. März 2016)

Hallo zusammen!

Ich brauche für einen neuen Server die Let's Encrypt Funktionalität.
Aktuell läuft ISPConfig Version: 3.0.5.4p8, ich überlege nun ob ich und welche Version ich installieren soll.
3.1 dev mit Let's Encrypt (gibt es da eine Anleitung?)
oder
Let's Encrypt Erweiterung (Wo kann ich die neuste finden?)

Was macht mehr Sinn?

Ich möchte mir möglichst keine Probleme einhandeln, bzw. wieder auf den offiziellen Update-Pfad gehen können wenn 3.1 released ist.

Vielen Dank für die Infos... ;-)

Edit: Es ist ein Jessie/Apache System.


----------



## Till (10. März 2016)

Das ist schwer zu sagen da die letsencrypt extensions die es für 3.0.5 gibt mit 3.1 kollidueren werden, man müsste sie also vor einem update deinstallieren und da die zertifikate nicht übernnommen werden können vermutlich cuh die zertifikate neu machen.

An sich ist die version aus dem stable-3.1 branch schon sehr weit, ja nach Anforderung an den Server kann man die durchaus schon mal probieren, wenn man damit leben kann dass vielleicht mal eine Funktion noch nicht 100% läuft oder man unter umständen mal eine zeile in einer config Datei manuell ändertn muss.



Zitat von nut:


> 3.1 dev mit Let's Encrypt (gibt es da eine Anleitung?)


Bislang noch nicht.


----------



## nut (10. März 2016)

Danke Till,
dann macht es nur Sinn den stable-3.1 Branch zu nehmen. Und config Dateien sind doch unser täglich Brot... ;-)

Ich meine nicht eine Anleitung als PDF, sondern wie ich am saubersten von 3.0.5.4p8 zu stable-3.1 wechsle? Und später wieder auf den Release Pfad?
Was muß ich beachten, evtl. hast Du das schon mal jemand erklärt im Forum?!

Etwa so:
git clone https://git.ispconfig.org/ispconfig/stable-3.1.git -> fragt nach nem Passwort 
cd stable-3.1/install 
php -q install.php

Besten Dank


----------



## Till (10. März 2016)

```
cd /tmp
wget -O ispconfig3-dev.tar.gz "https://git.ispconfig.org/ispconfig/ispconfig3/repository/archive.tar.gz?ref=stable-3.1"
tar xzf ispconfig3-dev.tar.gz
cd ispconfig3-stable*/install
php update.php
```
Updates dann mit: ispcondig_update.sh, er bietet Dir an ob Du stable (derzeit 3.0.5.4p8), git-stable (derzeit stable-3.1) oder git-master updaten willst. Bis zum release von 3.1 wäre das git-stable, später dann einfach nur stable.

Zu letsencrypt, die offizielle letsencrypt software musst Du natürlich installiert haben damit ispconfig sie nutzen kann.


----------



## Till (10. März 2016)

Ach ja, un bei Updates immer schön ja sagen, wenn er fragt ob er ein backup machen soll, dann kannst Du ggf. jederzeit ein rollback zum vorherigen release machen  Das Backup enthält immer /usr/local/ispconfig, /etc und die dbispconfig DB, die Verzeichnisse als tar.gz inkl. permissions, also ggf einfach auspacken und an ursprungsort zurück kopieren und alte dbispconfig mit mysql commandline oder phpmyadmin wieder einspielen.


----------



## mzips (10. März 2016)

Nehmen wir mal an es handelt sich um ein Debian Jessie System, also benutze ich das The Perfect Server - Debian 8 Jessie Tutorial und der Part an dem ispconfig Installiert werden soll können wir das oben gepostete benutzen ?
Ist in dem Installer bei der frage nach ssl auch schon Lets Encrypt Supported für den Panel Login ?
Sry für die vielen Fragen aber bin auch dabei weg von den anderen Opensource Lösungen hin zu ispconfig 3, ich sehe hier einfach die langjährigkeit die bisher keine andere Opensource lösung brachte.


----------



## Till (10. März 2016)

Zitat von mzips:


> Nehmen wir mal an es handelt sich um ein Debian Jessie System, also benutze ich das The Perfect Server - Debian 8 Jessie Tutorial und der Part an dem ispconfig Installiert werden soll können wir das oben gepostete benutzen ?


ja. Halt nur install.php dann.



Zitat von mzips:


> Ist in dem Installer bei der frage nach ssl auch schon Lets Encrypt Supported für den Panel Login ?


Nein, soweit ich weiß ist es bislang nur für Websites implementiert. Du könntest aber ggf. ein zertifikat für ispconfig 'manuell' mit letsencrypt erstellen und dann die Zertifikatsdateien in /usr/local/ispconfig/interface/ssl/ einfach durch symlinks auf die Zertifikate von letsencrypt ersetzen. apache, postfix und co folgen beim cert laden symlinks ohne probleme.


----------



## nut (10. März 2016)

Perfekte Antwort für mich Till.
Das war ja einfach... 
Schnell, schönes Design!

Wenn ich jetzt in eine Webseite gehe, erhalte ich die Meldung:
"1. SNI für SSL ist auf diesem Server nicht aktiviert. Sie können daher nur ein SSL Zertifikat pro IP Adresse eintragen."
Und kann dann nicht mehr auf die anderen Reiter wechseln, bis SSL deaktiviert wurde. Das passiert auch bei neu angelegten Websites.

Kann die Ursache ein "apache ssl defaul host" sein?
https://www.howtoforge.de/forum/threads/apache-sni-multi-ssl-server.6573/
a2dissite default-ssl

Als Zusatzinfo: Bisher ist in diesem "The Perfect Server" ISPConfig der DNSserver deaktiviert. Die IP der Websites ist immer "*". Das DNS Handling macht der Hetzner Robot.


----------



## nut (10. März 2016)

Waah, jetzt hab ich in der Serverkonfiguration SNI gefunden und aktiviert, jetzt komme ich aber nicht mehr auf die ISPConfog Oberfläche. Let' Encrypt funktioniert bei einer Seite die ich noch vor dem Rauswurf konfiguriert habe.

Mein vormaliges Post ist somit hinfällig!

Im Errorlog kommt nun:
````
[ 2016-03-10 15:27:43.9800 1162/7f48d0bfb740 agents/Watchdog/Main.cpp:538 ]: Options: { 'analytics_log_user' => 'nobody', 'default_group' => 'nogroup', 'default_python' => 'python', 'default_ruby' => '/usr/bin/ruby', 'default_user' => 'nobody', 'log_level' => '0', 'max_pool_size' => '6', 'passenger_root' => '/usr/lib/ruby/vendor_ruby/phusion_passenger/locations.ini', 'passenger_version' => '4.0.53', 'pool_idle_time' => '300', 'temp_dir' => '/tmp', 'union_station_gateway_address' => 'gateway.unionstationapp.com', 'union_station_gateway_port' => '443', 'user_switching' => 'true', 'web_server_passenger_version' => '4.0.53', 'web_server_pid' => '1141', 'web_server_type' => 'apache', 'web_server_worker_gid' => '33', 'web_server_worker_uid' => '33' }
[ 2016-03-10 15:27:44.1653 1165/7fb53ac71740 agents/HelperAgent/Main.cpp:650 ]: PassengerHelperAgent online, listening at unix:/tmp/passenger.1.0.1141/generation-0/request
[ 2016-03-10 15:27:44.1931 1173/7faff8463780 agents/LoggingAgent/Main.cpp:321 ]: PassengerLoggingAgent online, listening at unix:/tmp/passenger.1.0.1141/generation-0/logging
[ 2016-03-10 15:27:44.1933 1162/7f48d0bfb740 agents/Watchdog/Main.cpp:728 ]: All Phusion Passenger agents started!
AH00016: Configuration Failed
````
.... Und nix geht mehr, keine Domain ist erreichbar.

Ergänzung:
Apache wollte nicht mehr starten, weil ein Zertifikat Probleme bereitet hat.
Was mich auf die Spur gebracht hat war das: http://www.randomhacks.co.uk/apache-2-4-failed-to-start-ah00016-configuration-failed/


----------



## Till (10. März 2016)

Ich nutze kein python, daher kann ich Dir zu den Python Fehlern nicht allzu viel sagen.


----------



## nut (11. März 2016)

Wie kann ich die Zertifikate von Let's Encrypt nutzen?
Immer wenn ich ein Zertifikat (mit Let's Encrypt) für eine Website erstelle, dann nutzt er das Zertifikat der nächst besten bzw. irgend einer anderen Website? (übrigens selbiges Verhalten wenn ich HTTPS nutze obwohl ssl aus ist)
Im SSL Reiter sind auch nur SSL-Request und SSL-Zertifikat befüllt.
Ohne "Let's Encrypt SSL" werden wie gehabt selv signed Zertifikate erstellt und genutzt.
letsencrypt ist in /opt/letsencrypt installiert. Ich habe dann einfach mal den Befehl:  ./letsencrypt-auto --help all aufgeführt.


Ist evtl. mein Vorgehen falsch?
1. "SSL" + "Let's Encrypt SSL" -> beide aktivieren
2. Im Reiter SSL Oben die Werte eintragen (Bundesland, Ort, Firma, Abteilung, Land, SSL Domain)
3. Im Reiter SSL "SSL-Aktion" -> "Zertifikat erstellen" wählen.
4. Speichern


----------



## Croydon (11. März 2016)

Hallo,
zuerst einmal muss LetsEncrypt korrekt installiert sein. Das geschieht aber normalerweise, indem man einfach einmalig letsencrypt-auto (als root oder via sudo) ohne Parameter aufruft. Dabei sollte er dann alle Voraussetzungen installieren.
Danach ist das Vorgehen so:
SSL aktivieren und Lets Encrypt SSL aktivieren und speichern. Im SSL Tab NICHTS machen, sonst überschreibt man das LE-SSL sofort wieder.
ISPConfig fordert dann automatisch das Zert für alle Aliasdomains/Subdomains und die Hauptdomain der Webseite an.


----------



## nut (11. März 2016)

Danke Croydon,
wenn ich ./letsencrypt-auto aufrufe, dann werde ich gefragt, für welche Domains ich HTTPS aktivieren möchte.
Soll ich das für die gewünschten oder alle Domains bejahen? Anders gefragt, löst die cert Erstellung über Let's Encrypt nicht eigentlich ISPConfig aus?

Richtiges Vorgehen danach in ISPConfig 3.1:
1. "SSL" + "Let's Encrypt SSL" -> beide aktivieren
2. Speichern


----------



## Croydon (11. März 2016)

Beim Aufruf von letsencrypt-auto geht es nur darum, dass LE initialisiert wird. Generiert muss da nichts werden. Die Erstellung löst ISPconfig aus, dafür ist aber eine korrekte Installation von LE notwendig, die durch den ersten Aufruf von letsencrypt-auto eigentlich gemacht wird.
Das Vorgehen ist in 3.1 so korrekt, ja.


----------



## mzips (12. März 2016)

Habe jetzt mal die 3.1 Installiert läuft soweit echt gut aber beim Installer bekomme ich folgendes:
[WARN] autodetect for Postgrey failed
[WARN] autodetect for Mailman failed
[WARN] autodetect for Metronome XMPP Server failed
[WARN] autodetect for Ubuntu Firewall failed
[WARN] autodetect for Bastille Firewall failed
[WARN] autodetect for OpenVZ failed
postconf: warning: unmatched request: "maildrop.unix"

Muss Postgrey nur via apt Installiert werden ?
Was hat es mit den Firewalls aufsich ist jetzt garkeine aktiv für ispconfig ?
mailmann und openvz ist klar ist ja nicht drauf 
Gibt es ein HowTo für Metronome XMPP Server ?

LG


----------



## robotto7831a (13. März 2016)

Postgrey wird per apt installiert.

apt-get install postgrey


----------



## florian030 (13. März 2016)

Die Warnungen zeigen Dir nur die Pakete an, die der Installer nicht gefunden hat.

Die Warnung von postconf verstehe ich gerade aber nicht. Welche Postfix-Version und welches OS ist das denn? Hast Du in der master.cf "maildrop  unix" ?


----------



## mzips (14. März 2016)

Die dist ist Debian 8 und Postfix version  2.11.3 in der master.cfg steht nichts von "maildrop unix"


----------



## florian030 (14. März 2016)

Komisch. Ich habe eben mal ein Upgrade auf 3.1 auf Deban 8 gemacht und die Warnung nicht bekommen. Nutzt Du Courier oder Dovecot?
Und was bekommst Du bei:

postconf -M maildrop/unix
und
postconf -M maildrop.unix

?


----------



## mzips (14. März 2016)

Ich benutze Dovecot.
Gebe ich die beiden sachen ein bekomme ich folgendes:

```
root@sv01:~# postconf -M maildrop/unix
maildrop   unix  -       n       n       -       -       pipe flags=DRhu user=vm                                                                                                             ail argv=/usr/bin/maildrop -d vmail ${extension} ${recipient} ${user} ${nexthop}                                                                                                              ${sender}
root@sv01:~# postconf -M maildrop.unix
postconf: warning: unmatched request: "maildrop.unix"
```


----------



## florian030 (14. März 2016)

Bei der Ausgabe kann in der maser.cf "maildrop unix" nicht fehlen. Allerdings sieht das etwas kurz aus.


----------



## mzips (18. März 2016)

Zitat von Till:


> ja. Halt nur install.php dann.
> 
> 
> 
> Nein, soweit ich weiß ist es bislang nur für Websites implementiert. Du könntest aber ggf. ein zertifikat für ispconfig 'manuell' mit letsencrypt erstellen und dann die Zertifikatsdateien in /usr/local/ispconfig/interface/ssl/ einfach durch symlinks auf die Zertifikate von letsencrypt ersetzen. apache, postfix und co folgen beim cert laden symlinks ohne probleme.


OK wie man Symlinks erstellt das weiss ich aber die LE Zertifikate haben andere Datei Endungen: 
cert.pem
chain.pem
privkey.pem
fullchain.pem
Wie geht man da vor ?

LG


----------



## Till (18. März 2016)

Endung ist egal. Also symlink mit dateiname und endung wie ispconfig sie erwartet auf den pdaf mit dateiname und endung wie letsencrypt sie erstellt.

also

domain.key => privkey.pem
domain.crt => cert.pem
domain.bundle => chain.pem (oder auff fullchain, probier einfach aus wenn es nicht auf anhieb "grün" im browser ist.


----------



## mzips (18. März 2016)

Zitat von florian030:


> Bei der Ausgabe kann in der maser.cf "maildrop unix" nicht fehlen. Allerdings sieht das etwas kurz aus.


Also in der master.cf steht folgendes:

```
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d vmail ${extension} ${recipient} ${user} ${nexthop} ${sender}
```
Aber bei ausgabe von:
root@sv01:~# postconf -M maildrop.unix

kommt immer noch:
postconf: warning: unmatched request: "maildrop.unix"


----------



## florian030 (19. März 2016)

Die Warnung ist bei Deiner Postfix-Version schon ok und das Ergebnis stimmt ja auch. Ich versteh nur nich, warum Dir das bei einem update oder install ausgegeben wird.
Ab Postfix 2.11 ist das postconf -M service/type um den Eintrag aus der master.cf zu lesen. Bis dahin war das service.type


----------



## mzips (19. März 2016)

Ah ok dann hat sich das geklärt nachdem ich jetzt eine neu Installation gemacht habe taucht der Fehler auch nicht aus ;-)

Eine Sache noch bei Ausgabe von:
[WARN] autodetect for Ubuntu Firewall failed
[WARN] autodetect for Bastille Firewall failed

Heißt das keine Firewall wird konfiguriert ?


----------



## florian030 (19. März 2016)

Ich glaub, ich hab da noch nen Bug im installer 
Damit einer der beiden Firewalls installiert wird, brauchst Du iptables und ufw oder bastille-netfilter. Ob das installiert ist, kannst Du mit

```
which iptables
which ufw
which bastille-netfilter
```
feststellen. Wenn Du bei iptables und einem der anderen beiden Aufrufe einen Pfad ausgegeben bekommst, dann ersetz mal in install/lib/installer_base.lib.php die Zeile

```
if(is_installed('iptables') && is_installed('bastille-netfilter')) $conf['bastille']['installed'] = true;
```
durch

```
if(is_installed('iptables') && is_installed('bastille-netfilter')) $conf['firewall']['installed'] = true;
```
Und ruf dann noch mal install.php auf.


----------



## mzips (19. März 2016)

Hier die Ausgabe:

```
root@sv01:~# which iptables
/sbin/iptables
root@sv01:~# which ufw
root@sv01:~# which bastille-netfilter
root@sv01:~#
```
install.php ausführen geht ja nicht mehr Ispconfig ist ja schon installiert ;-)


----------



## florian030 (19. März 2016)

ohne ufw oder bastille keine firewall. also sowas wie apt-get install ufw und danach dann eben update.php (vorher aber den stable-3.1 branch aktualisieren oder die änderung von oben selbst vornehmen)


----------



## mzips (19. März 2016)

Also sehe ich das richtig das nur ufw in frage kommt da keine Pakete seitens bastille für Debian 8 gibt?


----------



## Till (20. März 2016)

Zitat von mzips:


> Also sehe ich das richtig das nur ufw in frage kommt da keine Pakete seitens bastille für Debian 8 gibt?


Die Bastille Scripte werden von ISPConfig installiert, daher benötigt man dafür kein debian Paket. Da Bastille aber kein IPv6 kann, ist UFW zu empfehlen wenn Du auch IPv6 auf dem Server nutzt


----------



## mzips (20. März 2016)

Ok das klingt einleuchtend und habe es auch so Installiert danke für die Info Till


----------



## mzips (20. März 2016)

Zitat von mzips:


> OK wie man Symlinks erstellt das weiss ich aber die LE Zertifikate haben andere Datei Endungen:
> cert.pem
> chain.pem
> privkey.pem
> ...


Habe es so gemacht Funktion auf:
https://sv01.domain.de <-Funktioniert
https://sv01.domain.de/phpmyadmin <- Funktioniert
https://sv01.domain.de:8080 <- Funktioniert nicht er nimmt noch immer das am Anfang erstellte eigene Zertifikat.

Wo könnte da der Wurm sein ? gibt es auch eine Lösung von http direkt beim Aufrufen auf https umzuleiten?

LG


----------



## Till (20. März 2016)

Hast Du das Zertifikat in /usr/lokal/ispconfig/interface/ssl/ durch einen Symlink auf das letsencrypt cert ersetzt?


----------



## mzips (20. März 2016)

ja genau so habe ich es gemacht


----------



## mzips (20. März 2016)

OK schein zu funzen bin wie folgt vorgegangen:
in: /usr/local/ispconfig/interface/ssl/
ispserver.crt
ispserver.key.secure
ispserver.key
gelöscht.

Dann:
Symlink erstellt:
ln -s /etc/letsencrypt/live/sv01.domain.de/cert.pem /usr/local/ispconfig/interface/ssl/ispserver.crt
ln -s /etc/letsencrypt/live/sv01.domain.de/fullchain.pem /usr/local/ispconfig/interface/ssl/ispserver.key.secure
ln -s /etc/letsencrypt/live/sv01.domain.de/privkey.pem /usr/local/ispconfig/interface/ssl/ispserver.key

Wie kann man postfix ect testen wegen der ssl Einstellung ?


----------



## schickel (20. Juni 2016)

Zitat von mzips:


> ....
> Wie kann man postfix ect testen wegen der ssl Einstellung ?


Zum Beispiel mit:
openssl s_client -starttls smtp -connect mail.example.com:25


----------



## Sp4x18 (17. Aug. 2016)

hi ich hab eine Frage. Ich verwende im Moment die Stable Verison 
Kann ich ohne bedenken auf die GIT Version Updaten? Oder zerstör ich mir damit alles ? 
MFG Sp4x


----------



## Till (17. Aug. 2016)

Das sollte keine Probleme machen. Außer Du hast das Domain Modul an, denn da gubt es noch Fehler die derzeit das Final release blockieren.


----------



## Sp4x18 (17. Aug. 2016)

Was meinen sie mit Domain Modul? Ich habe keine extra Module Installiert. Nur die Stable Branch


----------



## Till (17. Aug. 2016)

das Domain Modul ist Bestandteil von ISPConfig. System > Interface config > Domain.


----------



## Sp4x18 (17. Aug. 2016)

Ach das. Okay nein das verwende ich nicht. Danke dann werde ich mal ein Backup machen und die Git installieren. Vielen Dank für den Wahnsinns schnellen Support


----------



## mzips (24. Aug. 2016)

Sry das es evtl. Nervt aber Till kann man einschätzen wann der Release sein wird ?

LG


----------



## Till (24. Aug. 2016)

Du kannst 3.1 doch jederzeit runter laden und einsetzen, schau vorher in den Bugtracker https://git.ispconfig.org/ispconfig/ispconfig3/issues ob da etwas dabei ist was Dir probleme macht. Ich denke mal das die meisten die neu installieren bereits 3.1dev nehmen. Es wird die Tage noch eine RC 2 geben, und dann sehen wir mal weiter ob noch kritische Bug reports rein kommen.


----------



## mzips (25. Aug. 2016)

wird die 3.1dev aktuell gehalten und wo lade ich sie runter?


----------



## Till (25. Aug. 2016)

https://git.ispconfig.org/ispconfig/ispconfig3/repository/archive.tar.gz?ref=stable-3.1


----------

