DSM 6.x und darunter DSM 6 LetsEncrypt Wizard hinter DS-Lite anschluss nutzen

[Senten]

Hallo liebe Community,

mein StartSSL-Zertifikat ist leider abgelaufen und die StartSSL CA ist inzwischen leider nicht mehr trusted. Daher sehe ich mich gezwungen auf LetsEncrypt zu wechseln.
Leider leider leider sitze ich hinter einem Dual-Stack-Lite-Anschluss, den der in DSM integrierte LetsEncrypt-Wizard nicht mag. Von außen erreichbar ist alles, was ich haben möchte. Das habe ich mittels angemietetem Linux-Server mit statischer IPv4- und IPv6-Adresse und dem port forwarding tool socat ermöglichen können. Dem LetsEncrypt-Wizard ist das aber egal, denn er geht ja über meinen DS-Lite-Anschluss raus und findet offenbar nicht mehr zurück zur DiskStation.

Wie komme ich jetzt an ein LetsEncrypt-Zertifikat?
Im Zweifel würde ich auch eine andere CA nutzen, solange ich dort ein kostenloses SSL-Zertifikat bekomme, welches auch trusted ist.

Ich hoffe, meine Problembeschreibung ist ausreichend.

Falls weitere Informationen notwendig sind, liefere ich die gerne nach.

Vielen Dank für die Unterstützung!

 

[maulsim]

Ich sitze auch hinter einem DS-Lite Anschluss und ich habe es mit Lets Encrypt hinbekommen. Mein Vorgehen ist wie folgt gewesen:
IPv6 Freigabe in FritzBox für Port 80 und 443 (es sind zwingend beide notwendig).
Ich verwende aktuell feste-ip.net als Portmapper. Dort also Port 80 und 443 auf die IPv6 der Diskstation gemapped (1:1 mapping, wichtig ist aber das von extern 80 und 443 sind der Zielport sollte egal sein)
In der Firewall der DS Port 80 und 443 öffnen.
Bei allen Domains, die ich nun über Lets Encrypt haben wollte habe ich dann den DNS A auf die IPv4 des Portmappers und den DNS AAAA auf die IPv6 der Diskstation gesetzt.
Die Hauptdomain habe ich im Wizard bei Domainname eingetragen und die ganzen weiteren Domains (subdomains der Hauptdomain) in das Feld "Betreff Alternativ Name".

Damit hats bei mir funktioniert. Probleme hatte ich anfangs damit, dass ich eine Domain im "Betreff Alternativ Name" eingetragen hatte, deren DNS Einstellungen nicht korrekt waren, dann kommt immer die Fehlermeldung, dass Port 80 nicht erreichbar ist. Es muss wirklich jede Domain die du dort angibst auf deine DS(IPv6) und Portmapper(IPv4) verweisen und auch auf Port 80 und 443 kommunizieren können. So habe ich es bei mir auf jeden Fall ans laufen bekommen.
Im Zweifel nochmal für jede Domain über nslookup (z.B. http://ping.eu/nslookup/) die Einstellungen prüfen und über einen Portchecker (z.B. http://www.ipv6scanner.com/) prüfen ob die Ports auch offen sind.

 

[Senten]

Hallo und vielen lieben Dank für die ausführliche Antwort. Die Aufgabe des portmappers sollte bei mir durch socat erfüllt werden. Vielleicht liegt es daran, dass ich auch Subdomains bei LE eingetragen habe, die noch gar nicht in Verwendung waren, also nicht auf die Diskstation zeigten. Ich werde mir das nochmal angucken und berichte dann.

Danke nochmals

 

[maulsim]

Vielleicht liegt es daran, dass ich auch Subdomains bei LE eingetragen habe, die noch gar nicht in Verwendung waren, also nicht auf die Diskstation zeigten.

Das wird sehr wahrscheinlich das Problem sein. Der Wizard/LE scheint jede Domain auf ihre Erreichbarkeit auf der DS zu prüfen.

 

[Senten]

Mit StartSSL habe ich immer ein Zertifikat für meine DS und zeitgleich für meinen Webserver bei DomainFactory erstellt. zB DSM.domain.de zeigte auf die DS und die Subdomain www.domain.de zeigte eben auf den Server bei DomainFactory. Das ist mit LE nun nicht mehr möglich ja?

 

[maulsim]

Scheint auf den ersten Blick so zu sein.
Was man versuchen könnte wäre entweder das LE Zertifikat über shell skripte zu erstellen - ggf. prüft LE dann nicht die Ports 80/443 auf deiner DS.
Weitere Idee wäre die Domain (www.domain.de) temporär auf die DS umzuleiten, dann das Zertifikat mit dem LE Wizard auf der DS zu erstellen, dann irgendwie zu exportieren, auf deinem Webserver zu importieren und die Domain (www.domain.de) wieder auf deinen Webserver verweisen.
Ob irgendwas davon funktioniert weiß ich aber nicht.

 

[Senten]

Es war jetzt so lächerlich einfach ... Ich habe im DNS nun einfach *.domain.de auf die DS weitergeleitet und ohne weiteres Zutun hat der Wizard von LE nun funktioniert...

Ich werde gleich alle wichtigen Informationen aus diesem Thread nochmal kurz zusammenfassen und an den ersten Beitrag anhängen.

An dieser Stelle nochmals vielen Dank für den entscheidenden Schubser in die richtige Richtung!

==========================

Edit: Okay mein erster Beitrag lässt sich nicht mehr editieren, also dann hier:

- Let's Encrypt überprüft alle für das Zertifikat angegebenen Sub-Domänen auf Erreichbarkeit. Daher müssen alle angegebenen Sub-Domänen, auch wenn nur temporär, auf die DiskStation zeigen.
- Außerdem, muss die DiskStation von außerhalb über Port 80 und 443 erreichbar sein. (Welche Ports intern genutzt werden, scheint egal zu sein.)
- Das allgemeine Problem mit der externen Erreichbarkeit trotz DS-Lite wurde bereits in diesem Thread hier gelöst: http://www.synology-forum.de/showth...-quickconnect-als-Lösung-des-DS-Lite-Problems