Let's encrypt hinter reverse Proxy

[daschmidt94]

Guten Abend,

ich versuche vergebens in einem Nextcloud-Docker ein Let's encrypt Zertifikat zu erstellen.
Leider gelingt mir das nicht. Hab die http://meine.ddns.net:32768 auf meine.ip:80 und https://meine.ddns.net:32769 auf meine.ip:443 weitergeleitet.
Warum kann ich dann kein Zertifikat erstellen? Es ist ja http und https weitergleitet


- The following errors were reported by the server:

Domain: xxx.ddns.net
Type: unauthorized
Detail: Invalid response from
http://xxx.ddns.net/.well-known/acme-challenge/T8g_2laOHGwy-K_WZHAZJbE_AgmgQ8C2_W94tABOYFk
[194.xxx.xxx.xxx]: "<!DOCTYPE html>\n<html>\n<head>\n<meta
charset=\"utf-8\">\n<style>body{font-family:Arial,Helvetica,sans-serif;font-size:12px;text-alig"

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.

 

[blurrrr]

Warum? Vermutlich wegen völligem Unverständnis und totaler Blindheit ?

Man vergleiche:
http://meine.ddns.net:32768
und
http://xxx.ddns.net

Finde den Unterschied! .... ?

 

[daschmidt94]

Finde den Unterschied! .... ?

Das hab ich nur ersetzt es steht bei beiden die gleiche Addresse

 

[Fusion]

Ich werde aus der Beschreibung auch nicht ganz schlau.

Normal erstellt man das Zertifikat auf der DS für den Reverse proxy. 80/443 auf die DS weitergeleitet.
Der reverse proxy terminiert die SSL Verbindung und leitet den Verkehr dann über eine zweite Verbindung (typischerweise auf localhost oder die lan-ip der DS) weiter in den Docker Container.
Im Docker Container selber macht man dabei überhaupt nichts mit let's encrypt.

 

[daschmidt94]

Danke für die Antwort.

Das heißt ich erstelle in der DS GUI das zertifikat und muss das selber alle 90 Tage erneuern?

 

[Fusion]

Wieso sollte das nicht automatisch gehen?

 

[daschmidt94]

Das weiß ich eben nicht ob sich das Zertifikat automatisch verlängert deswegen wollte ich dies mit einem Certbot machen.

Wenn die DS das automatisch macht, wäre das überflüssig

 

[Fusion]

Dreimal darfst du raten wieso die DS die /acme-challenge abgreift und sie nicht bis in den Docker Container durchgeht.
Syno kocht auch nur mit fremden Wassern. Was die genaue Basis ist, certbot, acme.sh etc, weiß ich nicht. Aber das wurde auch nur in die GUI verpackt und sollte sich zwischen 60-90 Tagen erneuern, wenn die Ports weiterhin offen sind und die Domain korrekt auflöst.
Steht denke auch in der online Hilfe, ohne es geprüft zu haben.

 

[luddi]

Wieso sollte das nicht automatisch gehen?

Aber das wurde auch nur in die GUI verpackt und sollte sich zwischen 60-90 Tagen erneuern, wenn die Ports weiterhin offen sind und die Domain korrekt auflöst. Steht denke auch in der online Hilfe, ohne es geprüft zu haben.

Also ich habe auch hier im Forum des Öfteren gelesen, dass sich die Zertifikate automatisch erneuern in dem von dir genannten Zeitraum.
Aus diesem Grund hatte ich auch die Ports 80/443 geöffnet gelassen nach der letzten manuellen Aktualisierung der Zertifikate. Leidr geschah selbst nach 90 Tagen nichts und das Zertifikat ist mit seiner Gültigkeit ausgelaufen.

Von mir aus kann ich berichten dass dies nicht der Fall ist. Der einzige Unterschied den ich hier sehe ist, dass ich keine synology domain verwende sondern eigene Domains. Ob es wirklich daran liegt kann ich nicht sagen. Fakt ist aber, dass z.B. auch Wildcard Zertifikate bei eigenen Domains nicht funktionieren.

 

[Fusion]

Ich benutze auch eigene Domains. Und die Aktualisierung funktioniert bei mir seit Anfang an.
Und wenn das absolut nicht will lässt mal halt via Aufgabenplaner die Erneuerung laufen.
Wildcard Zertifikate werden aktuell nur für synology.me Domains unterstützt, hat Synology aber auch nie anders behauptet (bis sie es vielleicht irgendwann schaffen die DNS APIs für die anderen Anbieter mit in die GUI zu packen. Bis dahin geht es halt nur auf der Konsole im Eigenbau).

 

[ottosykora]

ich habe auch keine syno domain, normale ddns von einem ddns Anbieter.
80 muss da allerdings frei zu dem Gerät kommen welcher auch die Zert verwaltet und zur Verfügung stellt.
Und zwar 80 und nicht von aussen verschleiert. Dann geht es automatisch.

 

[luddi]

via Aufgabenplaner die Erneuerung

Bei mir lief es noch nie von selbst, deshalb habe ich es auch per Aufgabenplaner gelöst. Das läuft auch zuverlässig.

hat Synology aber auch nie anders behauptet

Ich auch nicht Hatte es nur erwähnt dass es hier auch unterschiede gibt.

Und zwar 80 und nicht von aussen verschleiert

Und bei mir klappt es dennoch nicht! Mit Port 80 und 443 permanent offen. Auch nichts verschleiert sondern direkt 80 -> 80 und 443 -> 443.
Funktioniert bei mir trotzdem nicht.

 

[Tengo]

Also ich nutze inzwischen den Nginx-Proxy-Manager von jlesage über Docker und manage dort alle Zugriffsverteilungen und Zertifikate. das klappt komplett problemlos.

 

[blurrrr]

Ja, irgendwelche schlauen Leute gibt es immer, welche sich nicht mit dem Problem an sich beschäftigen, sondern einfach von was "ganz" anderem reden ("Habe ein Problem mit 'A nach B'" -> "Nimm doch einfach C!")... ?

Zugegebenermaßen ist der NPM schon eine nette Geschichte, allerdings auch "nur" als Docker-Container vorhanden. Gibt nebst dem auch noch etliche andere Lösungen (mit/ohne Docker/VMM). Ist halt immer die Frage, wieviel Aufwand und Ressourcenverschwendung es wert sein darf und wie "tief" es in die Materie gehen darf. Der NPM ist sowieso nur eine GUI für Nginx (also für die Klickibunti-Fraktion... "YEAH! Geil... bunte Knöpfe!"). Derlei gibt es auch massig auf dem Markt (allerdings ist die LE-Integration schon ganz nett). Allerdings kommt die Syno ja auch schon mit einer entsprechenden Funktionalität daher, von daher ist es also recht witzlos. Ein Glück, dass das nun nicht alle so machen, denn ansonsten wäre die Liste der vorgeschlagenen Lösungen vermutlich sehr sehr lang ?

Zudem sind hier wohl eher das Wildcard-Zertifikat bzw. die entsprechenden Challenge-Typen das - aktuell besprochene - Problem und nicht die ReverseProxy-Funktionalität an sich... ?

Und mal so als Schlusswort: Sind halt immer die geizigen Lümmels mit Ihren Problemchen hier... Ich "kaufe" mir mein Wildcard-Zertifikat wenigstens noch immer brav (wenn auch mittlerweile jährlich) ?

 

[Tengo]

Hallo blurrrr,

ja, da hast Du recht. Ein alternativer Lösungsvorschlag bringt nicht viel für das eigentliche Problem. Sorry, das war von mir am Ziel vorbei.

Ich kann aber nochmal bestätigen, dass auf meinen beiden DSen an unterschiedlichen Standorten die Syno-interne LE-Lösung völlig problemlos klappt. Beide DSen liegen hinter Fritzboxen, die über MyFritz-Konten ihre DynDNS regeln (Telekom-Anschlüsse mit 100 bzw. 50 MBit). Port 80 wird auf der einen direkt an die DS durchgegeben, auf der anderen über Port 8080 an den nginx-proxy-manager in den Dockercontainer weitergereicht und von dort als Port 80 weiter. Und auf beiden klappt die Erneuerung von LE problemlos. Mehr kann ich dazu nicht sagen.