Also mit meiner Lösung aus Beitrag #7 wird das auf der DSM erstellte Zertifikat automatisiert in die Fritz!Box eingespielt.
Meine Lösung von oben funktioniert nach wie vor, auch mit den aktuellsten Fritz!Box und DSM Versionen...
DSM 6.x und darunter Automatisierte Lets Encrypt Erneuerung (inkl. Portfreigabe + Fritz!Box Integration)
- Ersteller princemaxwell
- Erstellt am
Alle DSM Version von DSM 6.x und älter
Also mit meiner Lösung aus Beitrag #7 wird das auf der DSM erstellte Zertifikat automatisiert in die Fritz!Box eingespielt.
Meine Lösung von oben funktioniert nach wie vor, auch mit den aktuellsten Fritz!Box und DSM Versionen...
Hallo princemaxwell,
Bücher und Hardware zum Thema gibt es bei Amazon: Automatisierte Lets Encrypt Erneuerung (inkl. Portfreigabe + Fritz!Box Integration)
Bücher und Hardware zum Thema gibt es bei Amazon: Automatisierte Lets Encrypt Erneuerung (inkl. Portfreigabe + Fritz!Box Integration)
Das funktioniert bei mir ja auch. Aber das Zertifikat ist dennoch nicht für die Fritzbox gültig, weil es ja für den Domain Namen der Syno erstellt wurde. Daher die Frage, wie du das gemacht hast. 
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Z.b. in dem er https://meine.example.com:4444 die Fritzbox aufruft und https://meine.example.com die NAS.
Das Zertifikat gilt ja für den Domain Namen und wenn es vom jeweiligen Server ausgeliefert wird ist es auch beides Mal gültig.
Wenn du die Fritzbox über eine IP oder einen Namen der nicht im Zertifikat steht aufrufst gibt es halt Fehler.
Ebenso könnte er den Reverse Proxy der DS nutzen und via https://meine.example.com die Nas aufrufen und https://deine.example.com auf die Fritzbox leiten. Dann ist es egal welches Zertifikat die Fritzbox hat, weil der Client nur mit dem Proxy spricht.
Gibt so viele Möglichkeiten. Die Frage ist wie du es konkret bei dir machst um den Fehler bei dir abstellen zu können.
Das Zertifikat gilt ja für den Domain Namen und wenn es vom jeweiligen Server ausgeliefert wird ist es auch beides Mal gültig.
Wenn du die Fritzbox über eine IP oder einen Namen der nicht im Zertifikat steht aufrufst gibt es halt Fehler.
Ebenso könnte er den Reverse Proxy der DS nutzen und via https://meine.example.com die Nas aufrufen und https://deine.example.com auf die Fritzbox leiten. Dann ist es egal welches Zertifikat die Fritzbox hat, weil der Client nur mit dem Proxy spricht.
Gibt so viele Möglichkeiten. Die Frage ist wie du es konkret bei dir machst um den Fehler bei dir abstellen zu können.
Und das ist dann schon der Punkt. Ich kenne die Möglichkeiten einfach nicht. Aber der Reverse-Proxy hört sich interessant an.
Diese Zertifikatsaussteller prüfen auf HTTP (Port 80) ob eine Datei vorhanden ist, um damit sicherzustellen dass DU überhaupt das Recht besitzt dir dafür ein Zertifikat ausstellen zu lassen.
Also kommt man um die Portfreigabe garnicht drumrum. (falls Port 80 nicht eh schon offen ist, für irgendwas Anderes)
Und zu den 90 Tagen:
Warum gibt es ein Problem, dass es nur Monatlich (29/30/31), Wöchentlich oder Täglich gibt?
Das Script kann doch problemlos täglich oder wöchentlich aufgerufen werden, prüft ob das Zertifikat noch gültig ist (bzw. schaut wann das letzte Mal aktualisiert wurde)
und wenn nicht nötig, dann bricht es einfach ab.
Zuletzt bearbeitet:
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Doch, kommt man. Bei synology.me findet eine DNS Validierung statt, kein offener Port benötigt.
Mit synology.me kannst dir auch Wildcard Zertifikate ausstellen lassen.
Kann natürlich sein, dass er bei expliziten Domainangaben noch http-01 benutzt und nur mit Wildcards auf dns-01 zurück greift.
Aber dass man nicht um eine Portfreigabe herumkommt stimmt so pauschal nicht.
Wenn man eigene LE Clients (bsp. Acme.sh) auf der Syno installiert kommt man auf jeden Fall drum herum (bsp. Challenge-alias oder Domain-alias)
Mit synology.me kannst dir auch Wildcard Zertifikate ausstellen lassen.
Kann natürlich sein, dass er bei expliziten Domainangaben noch http-01 benutzt und nur mit Wildcards auf dns-01 zurück greift.
Aber dass man nicht um eine Portfreigabe herumkommt stimmt so pauschal nicht.
Wenn man eigene LE Clients (bsp. Acme.sh) auf der Syno installiert kommt man auf jeden Fall drum herum (bsp. Challenge-alias oder Domain-alias)
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 3.987
- Punkte für Reaktionen
- 517
- Punkte
- 174
Genau das ist das Angenehme an dieser Lösung, sie funktioniert ohne Portfreigaben parallel zu allen anderen Einstellungen und auch Blockierungen in der Firewall.
Dazu kann ein guter VPN Router selbstständig LE Zertifikate für den Eigenbedarf abholen. Die Draytek machen das jedenfalls.
Dazu kann ein guter VPN Router selbstständig LE Zertifikate für den Eigenbedarf abholen. Die Draytek machen das jedenfalls.
Genau so habe ich das gemacht. Ich habe ne eigene Domain, da habe ich das Ganze dann mit den entsprechenden Ports realisiert.
Die Fritz!Box hat nen eigenen, die DSM ebenfalls. So habe ich ein Zertifikat, was für beide Geräte gültig ist. Damit ich nicht immer die Ports eingeben muss (obwohl es Favoriten im Browser gibt
) habe ich dann noch kurze Subdomains (fb.domain.de, dsm.domain.de), die ne simple Weiterleitung auf die Domain mit Port (domain.de:12345, domain.de:45678) machen.Hallo zusammen
ich hab das Skript mit dem aktuellen OS genutzt und es hat funktioniert.
Bin vor kurzem auf die neue Labor Version (zukünftiges Fritz OS 7.5) umgezogen und jetzt kommt folgender Fehler:
<?xml version="1.0"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<s:Fault>
<faultcode>s:Client</faultcode>
<faultstring>UPnPError</faultstring>
<detail>
<UPnPError xmlns="urn:dslforum-org:control-1-0">
<errorCode>600</errorCode>
<errorDescription>Argument Value Invalid</errorDescription>
</UPnPError>
</detail>
</s:Fault>
</s:Body>
</s:Envelope>Port sharing: ACTIVATED!
Zugriff für Anwendungen zulassen und Status Informationen per UPnP übertragen ist aktiviert
Hat jemand eine Idee woran es liegen könnte?
Gruß
Bastian
ich hab das Skript mit dem aktuellen OS genutzt und es hat funktioniert.
Bin vor kurzem auf die neue Labor Version (zukünftiges Fritz OS 7.5) umgezogen und jetzt kommt folgender Fehler:
<?xml version="1.0"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<s:Fault>
<faultcode>s:Client</faultcode>
<faultstring>UPnPError</faultstring>
<detail>
<UPnPError xmlns="urn:dslforum-org:control-1-0">
<errorCode>600</errorCode>
<errorDescription>Argument Value Invalid</errorDescription>
</UPnPError>
</detail>
</s:Fault>
</s:Body>
</s:Envelope>Port sharing: ACTIVATED!
Zugriff für Anwendungen zulassen und Status Informationen per UPnP übertragen ist aktiviert
Hat jemand eine Idee woran es liegen könnte?
Gruß
Bastian
@frogy
Ich habe soeben das offizielle FB Update 7.50 auf einer 7590 installiert.
Danach habe ich das Skript gestartet und einmal durchlaufen lassen.
Portfreigabe aktivieren, Zertifikatsimport und Portfreigabe deaktivieren haben fehlerlos funktioniert.
Evtl. liegt es an der BETA Version, ansonsten habe ich keine Erklärung.
Ich habe soeben das offizielle FB Update 7.50 auf einer 7590 installiert.
Danach habe ich das Skript gestartet und einmal durchlaufen lassen.
Portfreigabe aktivieren, Zertifikatsimport und Portfreigabe deaktivieren haben fehlerlos funktioniert.
Evtl. liegt es an der BETA Version, ansonsten habe ich keine Erklärung.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.114
- Punkte
- 214
@EDvonSchleck
Ich denke, das spielt keine Rolle, weil jede DS die Skripte ausführen kann.
Funktioniert bei mir mit DSM 6 und 7, auf DS216+, DS218+ und DS920+
Ich denke, das spielt keine Rolle, weil jede DS die Skripte ausführen kann.
Funktioniert bei mir mit DSM 6 und 7, auf DS216+, DS218+ und DS920+
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.114
- Punkte
- 214
Warum nutzt Ihr nicht acme.sh und spart euch das ganze mit der Fritz!Box und Script?
Portfreigaben sind dort ebenso nicht notwendig wie eine Aufgabe.
acme.sh erneuert automatisch alle 60 Tage das Zertifikat und kann es auch an andere Geräte verteilen. Entspannter geht es nicht mehr!
Einfache Installation via Docker in 5min oder nativ – wenn es unbedingt sein soll.
Portfreigaben sind dort ebenso nicht notwendig wie eine Aufgabe.
acme.sh erneuert automatisch alle 60 Tage das Zertifikat und kann es auch an andere Geräte verteilen. Entspannter geht es nicht mehr!
Einfache Installation via Docker in 5min oder nativ – wenn es unbedingt sein soll.
@EDvonSchleck
Ich weiß nicht, ob der Verwendungszweck vergleichbar ist, weil ich mich mit acme.sh nicht intensiv beschäftigt habe.
Meine Ausgangslage war, dass ich mit der internen Funktion der DS dss LE-Zertifikat, was dort erstellt wurde, regelmäßig automatisiert erneuern will. Dafür ist jedoch die Freigabe von Port 80 nötig, was das erste Skript übernimmt. Danach werden die Aktionen auf der DS durchgeführt, das zweite Skript importiert dann das fertige Skript von der DS direkt in die FritzBox und schließt dort dann die Ports, wieder mit dem ersten Skript.
Ich bezweifle, dass acme.sh einen Importer für die FritzBox liefert, oder ist das so?
Ich weiß nicht, ob der Verwendungszweck vergleichbar ist, weil ich mich mit acme.sh nicht intensiv beschäftigt habe.
Meine Ausgangslage war, dass ich mit der internen Funktion der DS dss LE-Zertifikat, was dort erstellt wurde, regelmäßig automatisiert erneuern will. Dafür ist jedoch die Freigabe von Port 80 nötig, was das erste Skript übernimmt. Danach werden die Aktionen auf der DS durchgeführt, das zweite Skript importiert dann das fertige Skript von der DS direkt in die FritzBox und schließt dort dann die Ports, wieder mit dem ersten Skript.
Ich bezweifle, dass acme.sh einen Importer für die FritzBox liefert, oder ist das so?
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.114
- Punkte
- 214
- Mitglied seit
- 22. Feb 2018
- Beiträge
- 1.173
- Punkte für Reaktionen
- 376
- Punkte
- 109
sieht sehr vielversprechend aus. Leider habe in den unterstützten Anbietern kein Strato gefunden. Oder war ich blind? Mit welchem Anbieter nutzt du es?
Hab auch meine Domain bei Strato, hab da auch nachgefragt, da gibt's wohl keine Unterstützung für eine DNS-API für amce.sh.
Über kurz oder lang werde ich wohl doch den Anbieter wechseln müssen
Habt ihr euch schonmal das Projekt von "RaspBerry Pi Cloud" hier angeschaut? Klingt vielversprechend, und entwickelt sich ständig weiter.
Über kurz oder lang werde ich wohl doch den Anbieter wechseln müssen
Habt ihr euch schonmal das Projekt von "RaspBerry Pi Cloud" hier angeschaut? Klingt vielversprechend, und entwickelt sich ständig weiter.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.114
- Punkte
- 214
Strato nicht, deshalb war ja gerade das Netcup Angebot zur Blackweek interessant. Dort kostete eine Domain 1,56 € pro Jahr zzgl. 20 einmalig für die Einrichtung.
Es gibt aber eine custom-api. Keine Ahnung, ob das mit Strato funktioniert. Ansonsten umziehen oder einen DynDNS-Anbieter nutzen, welcher das unterstützt. Insgesamt werden über 150 Anbieter unterstützt.
Zur Not bei Netcup für 6 € im Jahr eine Domain sichern/umziehen und bei dem nächsten Angebot auf den günstigen Tarif umschreiben lassen. Auch die „normalen“ 6 € pro Jahr tun keinen richtig weg, das kostet bei uns schon ein ganzes Brot. Der Vorteil bei der DS freue ich mich ein ganzes Jahr, das Brot will nach ein paar Tagen wieder raus!
Es gibt aber eine custom-api. Keine Ahnung, ob das mit Strato funktioniert. Ansonsten umziehen oder einen DynDNS-Anbieter nutzen, welcher das unterstützt. Insgesamt werden über 150 Anbieter unterstützt.
Zur Not bei Netcup für 6 € im Jahr eine Domain sichern/umziehen und bei dem nächsten Angebot auf den günstigen Tarif umschreiben lassen. Auch die „normalen“ 6 € pro Jahr tun keinen richtig weg, das kostet bei uns schon ein ganzes Brot. Der Vorteil bei der DS freue ich mich ein ganzes Jahr, das Brot will nach ein paar Tagen wieder raus!
Nee, weh tut das nicht. Aber das Projekt finde ich gut, um endlich mal den "Großen" etwas entgegen zu setzen.
Der scheint mir relativ fit zu sein, der Junge. Klar will er über kurz oder lang auch mal Kohle damit verdienen
Der scheint mir relativ fit zu sein, der Junge. Klar will er über kurz oder lang auch mal Kohle damit verdienen
Zuletzt bearbeitet:
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
