DSM 6.x und darunter Verbindung zu Let's Encrypt fehltgeschlagen

[St08]

Guten Abend!

Das Thema ist hier schon mehrmals diskutiert worden. Ich habe die Threads auch durchgearbeitet. Aber bei mir funktioniert es trotzdem nicht.

Wenn ich mir ein HTTPS-Zertifikat von Let's Encrypt abrufen will, kommt immer die Fehlermeldung "Verbindung zu Let's Encrypt fehlgeschlagen. Bitte stellen Sie sicher, dass auf Ihrer Diskstationen und Ihrem Router Port 80 für die Internet-Domainüberprüfung durch Let's Encrypt geöffnet ist."

Was habe ich?

DiskStation:
DS214 play mit DSM 6.1.3-15152 Update 7
DSM-Port 80 für HTTP und Port 5001 für HTTPS
HTTP-Verbindungen automatisch zu HTTPS umleiten ausgeschaltet
Web Station installiert, aber nicht weiter konfiguriert.

Fritz!Box
7490 mit Firmware 6.90
Port 80 auf Port 5000 bei DiskStationen freigegeben (IP4 und IP6)
Port 443 auf Port 5001 bei DiskStationen freigegeben (IP4 und IP6)
DynDNS eingerichtet

1und1
Subdomain nas.meine-domain.de eingerichtet
C-Name der Subdomain auf mein-name.dyndns.org gesetzt


Bei "Zertifikat erstellen" habe ich eingetragen:
Domainname nas.meine-domain.de
Email name@meine-domain.de

Habe jetzt viel rumprobiert. Aber das einzige, was passiert ist, das manchmal die Fehlermeldung "Let's Encrypt nicht erreichbar" kommt und manchmal "Vorgang fehlgeschlagen". Meistens kommt aber die Fehlermeldung von oben.

Hab ich irgendwas übersehen?

 

[Fusion]

Fritzbox Portweiterleitung Port 80 auf Port 80 am NAS.

An Systemsteuerung > Netzwerk > DSM Einstellungen musst du gar nix ändern was Ports angeht.
Die Ports kann man ändern, aber 80/443 dürfen da nicht rein.

 

[tproko]

Port 443 und Webstation werden nicht benötigt. Bei mir klappt das erneuern rein über Port 80.

Wie Fusion schrieb, ändere 80-5000 auf 80-80

 

[St08]

Vielen Dank! Sehe gerade, dass ich eine Tippfehler oben im Post hatte. Sorry!

In der DiskStation ist als HTTP-Port 5000 eingestellt, nicht 80.

Habe jetzt aber auch mal eine Port-Freigabe von 80 auf 80 in der Fritz!Box eingetragen. Selber Fehler...

Übrigens: Wenn ich nas.meine-domain.de im Browser eingebe, kommt die Oberfläche der Web-Station. Als die Web-Station noch nicht aktiv war, kam das Anmeldefenster der DiskStation.

Das zeigt doch: Port 80 wird korrekt auf die DiskStation weitergeleitet, oder? Warum findet Let's Encrypt das dann nicht?

Was muss denn bei Port 80 kommen? WebStation oder Anmeldefenster?

 

[Fusion]

Es muss nichts kommen um es plakativ zu sagen.

Synology hat eine Automatik in den System Webserver eingebaut, der bei nicht aktiver / nicht installierter Web Station die Anfragen an Port 80/443 auf 5000/5001 auf den DSM umleitet.
Und wenn die Web Station aktiv ist, werden die 80/443 eben an den user webServer weiter gegeben. Das ist auch mit LE schon berücksichtigt.

Es ist für Beantragung/Erneuerung vermutlich nur Port 80 nötig, allerdings würde ich doch mal zur Sicherheit kurz testen die 80/443 eins zu eins an die DS zu leiten in der Fritzbox.

nas.meine-domain.de landet auf deiner DS, also ist schon mal keine falsche Einstellung beim Hoster/CNAME.
nas.meine-domain.de ist der einzige Eintrag den du neben der email im Zertifikatsantrag tätigst, dann ist auch hier erst mal alles in Ordnung.

Dann bleibt jetzt nur
- weiter jeden Tag 1-2 mal probieren, ob es irgendwann durchgeht
- oder Support anschreiben
- oder mal auf der Konsole probieren (/mit eventuell besserer Fehlermeldung)

Oder es gibt noch eine Einstellung die ich grad nicht im Blick habe / nicht erwähnt wurde die uns reinpfuscht.

Auf der Konsole wäre (SSH/Telnet anmelden und mit sudo -i und admin passwort zu root wechseln)

/usr/syno/sbin/syno-letsencrypt new-cert -vv -d nas.meine-domain.de -m meine@email.de

 

[Andy14]

Was mir noch einfallen würde, Firewall aktiv? Oder IP Adressen in der Sperrliste?

 

[bastians]

Moin,

es könnte ein IPv6 Problem sein. Bei Dir macht die Fritzbox die Namensregistrierung, richtig? Dann zeigt für IPv6 mein-name.dyndns.org auf die IPv6-Adresse der Fritzbox und nicht die des NAS. Bei IPv6 findet keine Portweiterletung statt!

Zum prüfen könnest Du mal abfragen, ob für mein-name.dyndns.org eine IPv6 Adresse zugewiesen ist (ich weiß nicht ob dyndns IPv6 unterstüttzt).

Bastian

 

[Fusion]

Manche Dienste unterstützen auf IPv6, z.B. dynv6.com, oder spdns.de, oder...

Neben der Portfreigabe in der Fritzbox für die v6 Interface ID des Zielgerätes ist dann noch der dynDNS Client (oder DDNS Updater 2) auf der DS zu nutzen, damit für die dyn-Adresse auch die richtige IPv6 hinterlegt wird.

 

[St08]

Hallo zusammen,

danke für Eure Hilfe! Es läuft!

Der letzte Tipp war der entscheidende: DynDNS arbeitet mit IP4 und IP6. Also habe ich im DSM auch den DDNS eingestellt, dann lief es!

 

[Helge4u]

Guten Tag. Ich konnte auch kein Let's Encrypt Zertifikat kriegen. Ursache: Ich hatte BLA.DOMAIN.DE in DynDNS registiriert. Das war auch per HTTP erreichbar. Portfreigaben für Port 80 auf die DS218+ mit Webservice prima erreichbar. Aber ich hatte DOMAIN.DE angegeben bei der LE Registrierung. Und, naja, da war halt nix. BLA.DOMAIN.DE bei LE ging sofort. Aber Firefox findet's trotzdem unsicher (Google Chrome ist zufrieden, IE muss ich noch testen)