DynDns für OpenVpn iVm. HTTPS?

[Kenji]

Hallo Zusammen,

ich habe eine Fragenstellung hinsichtlich Dyndns und der Verwendung z.B. später für Paperlessngx oder Drive per https.

Derzeit verwende ich folgende Konfiguration:
Modem (Fritzbox 7590 AX)) > Router (Asus RT-AX86U) mit VPN Server und Amtm/Adguard > Synology DS 923+

Auf der Fritzbox ist derzeit ein Dyndns von DuckDNS eingestellt worüber ich mich dann per VPN auf mein Netzwerk einwählen kann (Internet + Lan). Portweiterleitung für UDP/ TCP OpenVPN ist auf der Fritzbox eingetragen. Der Zugriff auf http Funktioniert.

Nun möchte ich noch gerne Teilweiße Dienste der Synology per https anstatt http erreichen. Sprich ich müsste Wildcard Zertifikat über Let´s Entcrypt erstellen. Soweit richtig?

Wenn ja sollte ich da einfach ein Synology dyndns erstellen und die Ports für Let's entcrypt weiterleiten? Muss ich diese Adresse dann auch diese neue Adresse in der Fritzbox eingeben?

Bin ein wenig verwirrt und Brauch einen Rat wie man dies optimal umsetzen könnte.

LG.




lg.

 

[plang.pl]

Portweiterleitung für UDP/ TCP OpenVPN ist auf der Fritzbox eingetragen

Kann der ASUS Router kein WireGuard? Ich denke schon, dass er das können müsste

Ich würde das Ganze mit acme.sh als Docker-Container auf der DS lösen. Da müssen auch keine Ports offen sein, um ein Wildcard-Cert zu erhalten.
https://github.com/acmesh-official/acme.sh/wiki/dnsapi#dns_duckdns

 

[Kenji]

Mitunter kann der Asus Router Wireguard. Denke du sprichst das wegen den offenen Ports an oder?

Würde ich das mit asme.sh Versuchen, muss ich dann irgendwo die DynDns Eintragen Fritzbox, Asus oder Synology Adresse Eintragen oder entfällt das bei acme.sh komplett?

Lg

 

[plang.pl]

acme.sh macht nur das Zertifikat. Welches Gerät das DDNS Update macht, spielt keine Rolle

 

[Benie]

sollte ich da einfach ein Synology dyndns erstellen und die Ports für Let's entcrypt weiterleiten?

Mit einem Synology Zertifikat mußt Du wegen LetsCrypt keine Ports öffnen. Das funktioniert auch ohne.

 

[Kenji]

Hallo zusammen, Danke für die Hinweise.


Frage über Frage:

- Duckdns.org konnte ich ein Zertifikat erstellen, per Let's Encrypt zertifizieren geht aber nicht (Nur Synology DDNS Domains unterstützen von Let's Encrypt ausgestellte Wildcard-Zertifikate.

- Ich kann kein Synology Zertifikat erstellen (Fehler oder Authentifizierung fehlgeschlagen), sehe keine Einstellung, die das verhindert. Auch DDNS per Synology funktioniert nicht.


Die Ports 80 / 443 / 5100 sind freigegeben.



Wie gehe ich vor, um ein signiertes Duckdns-Zertifikat zu erhalten?

> Mit acme.sh und duckdns? Wenn ja mit diesem Tutorial? acmesh-official/acme.sh/wiki/Synology-NAS-Guide#configuring-certificate-renewal



Lg.

 

[plang.pl]

Ja, das Wildcard nur mit Synology DDNS geht, ist bekannt. Deshalb ja der Weg über acme.sh.
Gibts als Script, ich setze es aber als Docker-Container ein. Dafür braucht man wie geschrieben gar keine Port-Weiterleitung, da die Validierung über TXT-Records der Domain geprüft wird (DNS-Challenge)

 

[Kenji]

okay, ich habe nun mich mal an das Wildcard acme.sh probiert und nach dieser Anleitung vorgegangen.

Wildcard+Zertifikate+auf+Synology+mit+ac.txt

Fehler mit ZeroSSL:

[Sun Feb 25 08:59:08 AM CET 2024] Trying to add TXT record
[Sun Feb 25 08:59:09 AM CET 2024] Errors happened during adding the TXT record, response=KO
[Sun Feb 25 08:59:09 AM CET 2024] Error add txt for domain:_acme-challenge.0808928329.duckdns.org
[Sun Feb 25 08:59:09 AM CET 2024] Please add '--debug' or '--log' to check more details.
[Sun Feb 25 08:59:09 AM CET 2024] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

hat jemand eine Ahnung wie ich das fixen kann?
Ich denke bei Docker hätte ich die gleichen Probleme gehabt. Gerne wenn jemand eine gute Anleitung für die Docker Compose hat gerne.


lg.

 

[plang.pl]

Dazu kann ich wenig sagen. Ich mach das immer über Let's Encrypt

 

[Benares]

Ich hab in meinen Aufzeichnungen noch folgenden Kommentar von mir gefunden:

acme.sh --set-default-ca --server letsencrypt #beim Default (zerossl) braucht man Portweiterleitungen

Scheinbar bin ich da auch mal drüber gestolpert. Befehl einmalig absetzen, der merkt sich das, danach lief's

 

[Kenji]

okay habe den Prozess auch nochmal mit "acme.sh --set-default-ca --Server letsencrypt" nochmal angestoßen. Scheint wohl auch dies umzustellen aber komme trotzdem nicht weitern.

- Ich habe unter Externer Zugriff > DDNS > die Duckdns hinterlegt. Die IP extern ist die korrekte, es wird aber Fehlgeschlagen angezeigt. Prüfe ich nun unter Bearbeitung die Verbindung steht dort aber "normal"
-unter Sicherheit > Zertifikat ist das Zertifikat von duckdns hinterlegt.
- muss ich in der Fritzbox diese Dyndns auch noch hinterlegen? wäre ja aber dann doppelt Fritzbox/synology

lg.

 

[Benares]

Muss im 3. Screenshot nicht dein 08irgendwas.duckdns.org als Hostname rein?
Löst "nslookup 08irgendwas.duckdns.org" korrekt auf?
M.W. ermittelt acme.sh aus der Domain den zuständigen Nameserver und quasselt dann mit dem.

 

[Kenji]

Muss im 3. Screenshot nicht dein 08irgendwas.duckdns.org als Hostname rein?
Löst "nslookup 08irgendwas.duckdns.org" korrekt auf?

> Korrekt der Hostname war nicht korrekt, nun wird zumindestens unter DDNS "normale" angezeigt.
> nslookup findet die Adresse.

Leider hat sich aber an dem acme.sh Fehler nichts verändert

lg.

 

[plang.pl]

Worauf die Adresse zeigt, ist acme.sh egal

 

[Benares]

Und dein DuckDNS_Token passt? In deinem deiner Screenshots sieht man den mit "<>" drum rum, denke aber nicht, dass das dazugehört, also ohne <> in die account.conf eintragen. Lass mal mit --debug laufen.

@plang.pl, die IP ist egal, aber der Name muss DNS-auflösbar, damit acme.sh die zug. Nameserver ermitteln kann.

 

[Kenji]

Und dein DuckDNS_Token passt?

stimmt, die "<>" dürfen nicht dabei sein. Nun geht es schonmal weiter aber ist bei der DNS Prüfung wohl im Loop, DNS Prüfung?.

Beim Überspringen zeigt es mir an das kein Zertfikat vorhanden ist.

lg.

 

[Benares]

Das sieht schon besser aus. Bau mal noch ein "--dnssleep 300" ein. Es dauert nach einem DNS-Update immer etwas, bis die _acme_challenge-Einträge auch aufgelöst werden können. Erst wenn das Zertifikat auch da ist, kann es deployed werden - nächste Baustelle.

 

[Kenji]

so habe dies nun mal ausprobiert. Es wurde wohl keine Fehlermeldung mehr hinterlegt.
Ist das Zertifikat nun signiert? Viel Unterschied wie zuvor konnte ich nicht festellen.

lg.

 

[Benares]

Mmh, ich glaube noch nicht . Aber am 20.02. scheinst du ja schonmal eins bekommen zu haben. Geh mal mit --dnssleep noch etwas hoch. Bei netcup brauch ist da mind. 600.

 

[Kenji]

habe es nun nochmal ein paar mal probiert mit zeitlichem Abstand = immer noch die gleiche Fehlermeldung.
dnssleep wurde zwischen 0-3000 probiert, scheint wohl ein anderes Problem zu sein.

hab mal noch --log dahinter gemacht, wie komme ich an diese? per ftp finde ich diese nicht

@was mir gerade noch gekommen ist habe ich mal anderst probiert acme zu installieren über die console. Aber nur die ersten Schritte ohne igrendwelche Einstellungen anzupassen. Muss dieser ordner wie im Screenshot vorhanden sein? Nicht das da was kollidiert.