DSM 6.x und darunter LE Zertifikat Probleme ich bin verzweifelt

[Bronchito]

Hallo an Alle,

Let's Encrypt funktioniert bei mir einfach nicht. Habe sämtliche Videos Tutorials durch aber es geht nicht.

Zu mir: Habe eine DS414 , neustes DSM

FritzBox : 7590, Portfreigabe 80 / 443 / 5000 / 5001 auf NAS
Auf der Fritzbox habe ich DDNS : von selfhost, mit eigener Domain von selfhost.

Auf DSM: kein DDNS eingestellt (obwohl auch dort schon versucht). QuickConnect funktioniert , würde ich aber lieber ohne machen.

DomIx hatte es genau so, aber wenn ich mir ein Zertifikat herunterladen möchte, dann kommt immer die Fehlermeldung, dass mein port 80 nicht frei ist. Das ist aber nicht wahr, da ich zum Test mir auch WebStation geladen habe und über meine domain.de/index.html meine WebStation Testseite bekomme.

Wie gesagt, ich habe auch schon mal DDNS auf der Synology eingerichtet....gleiches Problem. Auch kann ich über WLAN auf mein Synology über meine Domain zugreifen, jedoch nicht über Mobiles Netz (Telekom). Mit QuickConnect gehts aber.....ok jetzt mach ich ein zweites Problem auf.

Liegt es jetzt an selfhost ? oder an meiner Inkompetenz. Ja ich arbeite in der IT aber Netzwerk ist überhaupt nicht meine Domaine und ich verzweifle langsam daran. Noch jemand Ideen ?

 

[Fusion]

Erst mal Grundlagen klären zum Anschluß.
Öffentliche IPv4 und IPv6? Also Dual-Stack. Oder DS-Lite mit nur öffentlicher IPv6?

Web Station von extern getestet an Port 80? Hat der anfragende Client IPv4/IPv6?

Ein funktionierendes QuickConnect (Relay) und nicht funktionierender Portzugriff ist immer ein Zeichen für eine eingeschränkte Erreichbarkeit auf einem der IP Protokolle.

Also welche öffentlichen IPs hat die Fritzbox?
Stimmen die IPs überein mit "nslookup domain.de 1.1.1.1" auf einem externen Client aufgerufen? (geht via Terminal/Konsole/Eingabeaufforderung auf Windows/Mac/Linux)

Der Domain-Name für das Zertifikat stimmt exakt überein mit dem Namen wie du ihn im Browser aufrufst?

 

[Bronchito]

Moin erstmal danke für die Antwort.

nslookup domein.de liefert mir die öffentliche ip addresse meiner Fritzbox (wie erwartet).

Ich habe eine öffentliche ip4 addresse. Anfangs hatte ich die FritzBox auf ipv4 + 6 , aber habe dann ipv6 ausgestellt. Domain habe ich so eingetragen, wie ich sie aufrufe. Ich weiss nicht ob es sinn macht hier meine domain bekannt zu geben. Anbieter meinerseites ist Deutsche Glasfaser, läuft alles über Glasfaser in mein Haus.

 

[Kurt-oe1kyw]

Willkommen im Forum.
Ich habe keine Fritzbox, aber du schreibst nur von Portfreigabe, aber nicht von Portweiterleitung.
Kannst du in der Fritzbox den Menüpunkt sehen mit den Portweiterleitungen, da sollte von extern :80 auf die interne_IP_Adresse_deiner_Diskstation ebenfalls auf :80 umgeleitet werden.
Den Namen welchen du benützen möchtest, ist der auch so in der DS eingetragen?
DSM > Hauptmenü > systemsteuerung > Externer Zugriff > Register "Erweitert" > in der Zeile Hostname oder statische IP ---> dort muss der von dir gewünschte Name stehen, OHNE ht*tp und www. usw. NUR der alleinige Name, also zB meinedomain.de oder was auch immer du dir ausgesuchst hast. Rechts unten auf "Übernehmen" klicken, sonst nimmt deine DS die eingetragenen Namen nicht an.

Nur zur Sicherheit falls du die Firewall der DS verwendest:
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Firewall" > Wenn da der Haken gesetzt ist auf "Firewall aktivieren", dann rechts auf "Regeln bearbeiten" klicken > neues Fenster > da sollte eine Zeile stehen mit der Aktion "Zulassen" für die Dienste welche du gestatten möchtest.
Ansonsten zum Testen den Haken der aktivierten Firewall mal probehalber entfernen und schauen ob dich nicht deine eigene Firewall in der DS blockt.

 

[Fusion]

Deutsche Glasfaser macht normal DS Lite. Hast du die IPv4 als Aufpreis-Paket gebucht, oder wie bist da ran gekommen?

Die Domain würde ich nicht unbedingt öffentlich posten, auch wenn das bezüglich Sicherheit keinen Unterschied macht. Darfst mir gerne als PM schicken, dann schaue ich, ob ich zum gleichen Ergebnis komme bezüglich der IP wie du.

 

[Bronchito]

Na ja, Deutsche Glasfaser vergibt keine feste IPV4 Adresse, die ändert sich halt, daher DDNS. Und ja, es ist eine portweiterleitung....Fehler in der Beschreibung meinerseits. Auf der Fritzbox port weitergeleitet von 80 in zu 80 auf dem NAS. Ansonsten, wenn ipv6, gibts dann probs ? Sollte ich die Fritzbox wieder auf Ipv6 support stellen ?

Firewall , schau ich mal nach. Sorry für die sporalischen Antworten, ist Samstag und Family haut rein. Aber schon mal danke für die Antworten. @Fusion ich schick Dir mal eine PN mit meiner Domain.

Vielen Dank schon mal.

 

[Bronchito]

Habe die Firewall intern einmal kurz ausgeschaltet. Es waren regeln hinterlegt um 80 durch zu lassen. Selbst nach abschalten kam die Fehlermeldung von Let's encrypt.

Ich war sogar auf der Webseite von Let's encrypt , wo es tools gibt, die domain zu prüfen, jedoch bekam ich dort den Fehler, dass der Service von Let's encrypt geracde nicht funktioniert......aber seit einer woche nun ?

@Edit: Ach ja, ja die domain ist in dem Reiter Erweitert bei Exteren Zugriff eingetragen.

 

[Kurt-oe1kyw]

ähm, nur zur Sicherheit. LE ist ein Sicherheitszertifikat welches für eine https Verbindung genutzt wird. Port 80 ist für eine http Verbindung, die braucht LE zum aktualisieren/erneuern/verlängern von der Zertifkatsgültigkeit, also alle 12 Wochen.
Du hast aber schon auch die für https :443 weitergeleitet auf die IP_deiner_DS auf 443? Bzw. falls du von aussen auf die DSM Oberfläche willst von aussen :5001 auf intern_IP_DS :5001?
Wenn das funktioniert würde ich auch die Standardports aus Sicherheitsgründen zusätzlich ändern.

 

[Bronchito]

Jo, ich weiss. Ich habe bzgl. der Einrichtung die Ports 80 , 443 und 5001 durchgereicht. Wenn es einmal funktioniert hat, würde ich 5001 ändern und port 80 nur aufmachen, wenn LE aktualisieren will. So ist mein Plan. Aber da selbst Standard im Moment nicht funktioniert, wollte ich es nicht komplizierter machen.

Aber ich weiss ja nicht, wer hier noch mitliest, evtl. sollte ich 5001 doch schon mal ändern ;-)

edit: Ports geändert ;-)

 

[Bronchito]

Ok,

danke schon mal für die ganzen Antworten. Ich scheine das Problem gefunden zu haben. Es liegt an Deutscher Glasfaser. Ich scheine doch keine öffentliche IP zu haben, denn DG liefert nur ipv6. Nun bin ich so weit, alles sein zu lassen, denn es scheint doch aufwändiger zu sein, den zugriff darauf möglich zu machen. Habe gelesen, dass es mit feste-ip.net gehen soll, was aber wieder mit kosten verbunden ist. Andere möglichkeiten gibt es wohl nicht oder doch ?

Mit quick connect kann ich von aussen drauf (warum auch immer), aber mir sagte man, dass das nicht so dolle ist. So jetzt ist es raus, bin ein netwerk noob....und habe euch umsonst behelligt. Danke Fusion, der mir noch mal klarheit gegeben hat.

 

[Fusion]

IPv6 Erreichbarkeit gibt es von Haus aus, wenn der Router und die DS und alle Clients IPv6 Fähigkeiten haben und diese aktiv sind und Portfreigaben im Router für die DS und definierte Ports bestehen.
Nur für IPv4 Clients braucht man Hilfsmittel.

QuickConnect arbeitet mit einem externen Relay auf den Syno Servern. Deine DS baut eine Verbindung dorthin auf und externe Anfragen werden durch diese Verbindung zurück getunnelt.

 

[Bronchito]

Ok,

Verstanden. Habe auf der Fritzbox alles auf ipv6 gestellt. Habe aber noch nicht geschnallt, wie ich selfhost dazu bekomme, dyndns auf ipv6 zu machen, damit ich über meine domain daran komme. Per ipv6 ip hab ich es jetzt schon hinbekommen, nur portumleitung geht nicht mehr. Muss jetzt auf der ds 5001 ändern und den neuen port durchschleifen. Habe selfhost mal gefragt, wie ich das jetzt ein zu stellen hab.

 

[servilianus]

Aber die Deutsche Glasfaser vergibt doch definitiv gar keine IPv4-Adresse???

 

[Bronchito]

Jo,
Das hab ich doch auch gemerkt. Die vergeben nur private adressen. Daher meine umstellung.

 

[Bronchito]

Ich sollte noch erwähnen, das wir erst kürzlich auf Deutsche Glasfaser umgestellt wurden. Daher meine Unwissenheit.

 

[Fusion]

Die Fritzbox macht bei IPv6 nur noch Portfreigaben, keine Weiterleitung. Öffnet also in ihrer Firewall einen Port für ein Gerät im LAN. Deshalb musst du die Ports direkt am Zielgerät ändern und auch diesen geänderten Port in der Fritzbox freigeben, wenn du andere Ports benutzen willst.

Selfhost musst du auf der DS selbst machen. Entweder mit dem eingebauten DDNS (unterstützt der Selfhost?) oder per DDNS Updater 2 von QTip, damit Selfhost auch die Globale IPv6 der DS bekommt die erreicht werden soll und nicht eine IP der Fritte.

 

[Bronchito]

Ja, ddns der ds unterstüzt selfhost. Ich teste das morgen. Bin gerade unterwegs. Danke schon mal. Werde dann ddns auf der fritz ausschalten.

 

[Bronchito]

Update,

selfhost liefert mir bei ddns nur ne ipv4 addresse. Obwohl die wohl auch ipv6 können. so sieht es aus.....habe eine subdomain eingetragen und die feste ipv6 addresse meiner ds eingetragen. Nichts. Über meine Domain ist es nicht erreichbar. Ich gebe jetzt mangels wissen auf und lasse es, somit ist die ds nicht von aussen erreichbar. Ist halt so. Ohne einen Experten komme ich nicht weiter und gebe jetzt auf.

 

[Bronchito]

Ich habe von selfhost eine Anleitung bekommen. Support hat prompt geantwortet. Um es kurz zu sagen, selfhost kann ipv6. Meine DS hat auch jetzt eine fixe ipv6 addresse und Fritz ist eingestellt----ipv6 addresse nach aussen frei gegeben. Laut selfhost muss ich jetzt ddns auf der Synology nutzen und nicht auf der Fritzbox (sons könnte ich nur die services der fritz nutzen). Gesagt getan.....ähm...nein...den der selfhost service in der DS übergibt nur die ipv4 addresse.

Ok, mach ich nen eigenen Eintrag. Ok die Variablen von DS kann ich nicht nutzen da __MYIP__ nur die ipv4 addresse weiter gibt. Also in die Updateurl die ipv6 addresse fix reingeschrieben. Geht leider immer noch nicht. Frage, kennt jemand den Variablennamen für die ipv6 addresse ? im Synology DDNS stehen ja beide addressen drinn und werden auch übergeben, also muss das konfigurierbar sein. Weiss einer wie ?

 

[Fusion]

Höchstens mit dem "DDNS Updater 2" von QTip. Nicht von Synology.

Andernfalls muss man die config Dateien analysieren gehen und dort vielleicht was finden.
Würde mich aber nicht wundern, wenn Synology das einfach nicht vorgesehen hat für andere Dienste und es auch nicht nachpflegt.