Zertifikat bei Lets Encrypt

[Vigo79]

Hallo Zusammen,

sicher wird euch das Thema schon langweilen. Mich beschäftigt es seit 2 Tagen und bin jetzt mit meinem Latein am Ende.
Ich hab eine eigene Domain und dort eine Subdomain angelegt, die auf meine Quickconnect Verbindung der Synology DS218+ weiterleitet. Ich kann vom Smartphone, auch ausserhalb des WLANs auf die Diskstation zugreifen.
Gestern wollte ich in der DS Photo App den Kamera Upload einrichten, hat auch eine handvoll hochgeladen. Aber dann kam immer diese Zertifikatsmeldung.
Hab die bekannten Youtube Videos geguckt, in meiner Fritzbox 7490 die Ports 5000 bis 5001 sowie 80 und 443 als Portfreigaben zum Diskstation Server (interne feste IP im Netzwerk) eingerichtet.
Danach bin ich in der DSM auf Sicherheit und hab scheitere immer am Lets Encrypt Zertifikat. Als Domain gebe ich meine angelegte Subdomain an, eine eMail Adresse die unter meiner Domain auch erreichbar ist. Die dritte Zeile lasse ich leer.
Und ständig kommt die Meldung "Verbindung zu Lets Encrypt konnte nicht hergestellt werden". In der Fritzbox hab ich sogar kurzfristig mal diese Portfreigabe eingestellt, die wirklich alles durchlässt. Klappt auch nicht. Firewall hab ich keine. Sogar den Virenscanner hab ich schon komplett deaktiviert.
Was kann ich noch probieren?

Ciao Vigo

 

[c0smo]

Ist Port 80 und 443 in der DS Firewall ebenfalls offen?
Was meinst du mit "...die auf meine Quickconnect Verbindung der Synology DS218+ weiterleitet"? Du kannst QC deaktivieren, wenn du mit deiner Domain Zugriff hast.

 

[Vigo79]

In der DS unter Sicherheit ist die Firewall deaktiviert.

Wenn ich bei meinem Anbieter eine Subdomain einrichte, kann ich einen Ordner auf dem Server angeben oder eine Weiterleitung. Und bei der Weiterleitung habe ich meine Quickconnect Adresse angegeben. Wüsste nicht was ich dort sonst angeben soll? Wenn ich da meine interne IP Adresse der Diskstation angebe, dann kann doch mein Webhoster damit nix anfangen? Sorry, bin da echter Anfänger

 

[c0smo]

Also diese Vorgehensweise wäre mir neu. Wer ist dein Anbieter? Hast du einen dyndns?

Normal hast du eine Domain mit Subdomain. Die SD routet mit Typ A (ipv4) oder AAAA (ipv6) auf deinen DynDNS oder auf deine feste IP und nicht auf Quickconnect.

 

[Vigo79]

ok, das hört sich für mich jetzt kompliziert an! Ich bin bei all-inkl.com
Eine DynDNS habe ich mir vorhin auf der DS eingerichtet. Die Diskstation ist jetzt dadurch auch unter "xxxxx.synology.me" aufrufbar. xxxx steht natürlich für nen von mir vergebenen Namen. Also sollte ich meine Subdomain nicht auf die Quickconnect sondern die erstellte xxxx.synology.me umleiten lassen? Wie gesagt bin da ein Depp und für jeden Tipp dankbar.

Edit: Jetzt hab ichs nochmal versucht und die DYNDNS Adresse mit dem xxxxx.synology.me ist nicht aufrufbar... eieiei

 

[c0smo]

Du hast jetzt 2 Domains. Eine von deinem Anbieter und eine von Synology. Du solltest dich erstmal für eine entscheiden.

1. Verwende die von Synology und stell auf diese dein Zertifikat aus. Fertig.
2a. Nimm deine Domain und einen eigenen DynDNS. Dann muss deine Domain auf den DynDNS routen mit Typ A.
2b. Nimm deine Domain und route auf synology.me mit einem CNAME Eintrag.

Bei 2b bin ich mir nicht 100% sicher ob das möglich ist. Im Grunde sollte es gehen. Ein CNAME auf eine fritz.box.adresse ist auch möglich. Das wäre im Grunde das gleiche.

 

[Vigo79]

ich hab in der DS jetzt eine Synology.me DNS Adresse angelegt und der Status ist "normal". Wenn ich im Browser diese Adresse aufrufe kommt eine Zeitüberschreitung bzw erstmal ein weisser Screen und dann keine Verbindung möglich.
Beim Anlegen der Subdomain kann ich keinen Typ A etc einstellen.

Ich schau nochmal bei Youtube ob ich zum erstellen einer DynDNS für die NAS was finde. Mich verwirrt die Sache immer mehr und durch das ewige rumprobieren glaub ich, mach ich mehr kaputt als ich gut mache.

 

[c0smo]

Jetzt lutsch mal nen drop, das wird schon

Du brauchst keine subdomain wenn du den Dienst von Synology verwendest. Auch keine eigene Domain. Streich das mal beides!
Sind denn alle anderen Anforderungen gegeben?
Firewall? Portweiterleitung im Router?

Das du im Heimnetz nicht unter einer Domain erreichbar bist, kann auch andere Gründe haben (Thema loopback). Welchen Router verwendest du?

Verbinde dich aus dem mobil Netz mit der synology Adresse inkl. Port.
H**ps://synology.me:5001 - das wäre die DSM Oberfläche.

 

[Vigo79]

Danke für deine Geduld lol. Ich bin technisch eigentlich wirklich versiert, aber das hier ist Neuland

Aktueller Stand ist:
mit hxxps://xxxxxx.synology.me:5001 ist meine Diskstation jetzt am Browser und übers Smartphone (ohne WLAN) erreichbar. Firewall (in der DS?) ist nicht eingerichtet. Portweiterleitung in der Fritzbox 7490 ist eingerichtet (5000 bis 5001, 80 und 443)
Ohne diese Portfreigabe würde die Synology.me DynDNS auch nicht funzen stimmts?

Die Zertifikaterstellung hat jetzt ebenfalls geklappt!

Jetzt könnte ich also 1. die Quickconnect Verbindung deaktivieren und wenn ich 2. eine kürzere Adresse haben wollen würde, könnte ich bei meinem Provider eine anlegen mit Weiterleitung auf die "hxxps://xxxxxx.synology.me:5001" ?

 

[c0smo]

Also im Grunde brauchst du nur eine Portweiterleitung für die Dienste die von extern erreichbar sein sollen. Wenn du nicht auf DSM musst brauchst du nicht 5000/5001 aufmachen. Port 80/443 wird für die Photostation benutzt.
Ausserdem, 80 und 5000 sind unverschlüsselt! Die sollten generell zu sein. Wenn dann 443/5001.

Such dir die Dienste aus die du benötigst. Dann vergib benutzerdefinierte Ports (am besten im 5stelligen Bereich) im Anwendungsportal.
Anschließend leitest du diese Ports in der FritzBox auf deine DS.
Danach Firewall unter LAN1 einrichten und unten "wenn keine Regel zutrifft, verweigern" aktivieren.
In der FW wird auch nur das auf gemacht was du intern und extern benötigst.

QC kann deaktiviert werden.
Eine eigene Domain erfordert das, was ich #6 geschrieben habe.

 

[Vigo79]

Supi, schau ich mir an! und die Ports nur für IPv4 aufmachen oder auch IPv6 ?

 

[c0smo]

Ipv4 reicht, wenns läuft. Ausser du bist experimentierfreudig

 

[Vigo79]

Ich hab zumindest heut die Nase voll vom experimentieren Danke dir! Ich melde mich wieder

 

[Vigo79]

Morgen

Also jetziger Stand ist... Ich habe eine DynDNS direkt aus dem DSM von Synology erhalten und dann hat auch das mit dem Zertifikat geklappt. Sieht eigentlich gut aus, aber... wenn ich mit den Synology Apps drauf zugreife kommt die Meldung, dass das Zertifikat nicht vertrauenswürdig ist und ob ich dennoch weitermachen möchte. Woran kann das nun wieder liegen?

 

[c0smo]

Unter Android kann es helfen wenn du in den App Einstellungen die Daten und den Cache einmal leeren tust.

 

[Matthieu]

Ist das Zertifikat auch den Diensten zugeordnet? Wenn du ein LE-Zertifikat abgerufen hast, siehst du zwei Einträge. Das von Synology mitgelieferte bleibt da drin. Du musst dein LE-Zertifikat noch über "Konfigurieren" den Diensten zuweisen.

MfG Matthieu

 

[Vigo79]

Jawoll! Ich hab hier Systemvoreinstellung, FTPS und Drive drin stehen, dazu das erstellte Zertifikat der DynDNS. In den Apps hab ich mal den Cache gelöscht. Mal sehen ob der Fehler wieder kommt, danke.
Ich kämpf jetzt nur noch mit Drive... synchronisiert seit Tagen, dann wieder nicht und schon, obwohl ich die Ordner nicht anfasse... Aber isn andres Thema Danke Euch derweilen!