Toggle sidebar

Lets Encrypt, Strato und Subdomains.....Probleme beim erstellen eines Zertifikates

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

84.179.xxxx.xxxx

Es hat bis vor 3 Tagen alles funktioinert,
dann wollt ich eine weitere Sub Domain ergänzen, konnte mich nicht mehr erinnern, wie ich es "damals" hinbekommen habe....und vor lauter rumgeklicke den überblick verloren.

Dann wollte ich einfach mal alles sauber von Null an aufsetzen.
Und nun geht auf einmal nix mehr.....man o man ey
 
Die IP-Adresse schaut m. E. gut aus.

Wenn Du mit einem Reverse Proxy arbeiten möchtest, dann musst Du für die Subdomains nicht "Dynamic DNS" verwenden, sondern jeweils einen "CNAME-Record" anlegen und diesen jeweils auf deine Hauptdomain zeigen lassen. Damit bekommen dann alle (Sub-)Domains dieselbe, dynamische IP-Adresse der Hauptdomain.
Ich klinke mich jetzt für heute aus ;)
 
  • Like
Reaktionen: appel2000
Ich habe das bei mir auch schon eingerichtet gehabt über Strato. Du hast nur eine Subdomain für die du DynDNS nur aktivieren brauchst. Willst du für einen anderen Dienst eine andere Subdomain nehmen musst du unter deiner ersten mitCNAME arbeiten. Zudem müssen für die Zertifikatserlangung die Ports 80 und 443 auf die DS zeigen sonst funktioniert es in diesem Szenario nicht. Ruft für jeden CNAME separat ein Zertifikat ab. Anders funktionierte es bei mir damals nicht. Jedenfalls nicht wenn es ohne weitere Kosten sein soll.
 
Fragt mich nicht wie ich drauf gekommen bin....aber ich habe nun zunächst einen "A-Record" eintrag erstelt.
Zur Option stand "Strato-IP" oder "eigene"....ich hab nun "eigene" gewählt und aus Spass mal irgendeine IP eingetragen.

Danach bin ich zum Punkt DynDNS, und habe das aktiviert.

So, und sie es wie folgt aus:

Wie ist meine IP
UND
nslookup meinedomain.de

zeigen die GLEICHE IP :):):)

ich würde meinen es geht in die richtige richtung
 
Swp2000 schrieb:
Ich habe das bei mir auch schon eingerichtet gehabt über Strato. Du hast nur eine Subdomain für die du DynDNS nur aktivieren brauchst. Willst du für einen anderen Dienst eine andere Subdomain nehmen musst du unter deiner ersten mitCNAME arbeiten. Zudem müssen für die Zertifikatserlangung die Ports 80 und 443 auf die DS zeigen sonst funktioniert es in diesem Szenario nicht. Ruft für jeden CNAME separat ein Zertifikat ab. Anders funktionierte es bei mir damals nicht. Jedenfalls nicht wenn es ohne weitere Kosten sein soll.
Zum Vergrößern anklicken....
das werde ich nun als nächstes testen....
 
Genau das beschriebene war das Problem.
Soll mal einer verstehen....ode es ist logisch und ich habs nicht verstanden, das man so vorgehen muss.
Egal, es klappt. Zugriff klappt, Zertifikate klappen. Alles wie es soll.

Danke für Eure Hilfe, nur dadurch kam ich am Ende auf die richtige Idee.

Und nun muss ich aufschreiben und ganz sicher verwahren :LOL:

Schönen Rest-Sonntag!
 
Hallo zusammen.

Ich habe auch ein ähnliches Problem und ich glaube, ich sehe den Wald von lauter Bäume nicht mehr.
Möchte ein zweites Let's Encrypt Zerti erstellen (für die eigene Domain), zusätzlich zu einer synology.me Domain.

Domain bei Strato.
Subdomain erstellt.
Diese Subdomain mittels CNAME auf die blablabla.myfritz.net gesetzt.
Port 80 zusätzlich zu 443 aufgemacht (welchen ich für das erste Zerti brauche).

Dann kommt die Meldung bei der Zertifikatsherstellung, dass Port 80 nicht offen ist (mehrmals probiert).
Muss ich irgendwie temporär noch zusätzlich die Firewall in der Syno abschalten für die Zeit?

Die Syno macht auch noch DynDNS über die synology.me Geschichte. Damals bei der Zertifikatserstellung musste ich nur im Router die Ports öffnen.
 
Da ich die Firewall sehr scharf eingestellt habe, habe ich zur Zertifikatserstellung die Firewall kurzzeitig aus. Dann ging es auch.

Also. ja.
 
OK, danke.
Aber die Sache mit dem CNAME sollte so passen, oder?
 
Zuletzt bearbeitet von einem Moderator:
Hat jemand noch eine Idee hier (siehe mein Post vom 19.2.26)?
Kann kein Zertifikat erstellen, obwohl die Ports 80 und 443 offen sind. Auch mit abgeschalteten Firewall ausprobiert.
 
yasmin_k schrieb:
Aber die Sache mit dem CNAME sollte so passen, oder?
Zum Vergrößern anklicken....
Das kannst Du ja einfach überprüfen, indem Du einen ping (oder nslookup) auf deine Subdomain machst, dann sollte die öffentliche IPv4-Adresse deiner FRITZ!Box dabei herauskommen.

Willst Du über IPv4 oder über IPv6 oder beide Protokolle zugreifen? Bei IPv6 wäre zu beachten, dass Du nicht die IPv6-Adresse der FRITZ!Box benötigst sondern die deines NAS.

Über welchen Mechanismus möchtest Du das zweite Zertifikat ausstellen (acme.sh nativ oder auf einer VM usw. - ggf. Screenshots machen und hier einstellen)?
Hast Du einen Proxy aktiv? Wohin werden die Ports 80 und 443 weitergeleitet?
Eventuell kommen Pakete an Port 443 (und ggf. 80) gar nicht dort an, wo Du sie für Zertifikatserstellung benötigst.
 
Hagen2000 schrieb:
Das kannst Du ja einfach überprüfen, indem Du einen ping (oder nslookup) auf deine Subdomain machst, dann sollte die öffentliche IPv4-Adresse deiner FRITZ!Box dabei herauskommen.

Willst Du über IPv4 oder über IPv6 oder beide Protokolle zugreifen? Bei IPv6 wäre zu beachten, dass Du nicht die IPv6-Adresse der FRITZ!Box benötigst sondern die deines NAS.

Über welchen Mechanismus möchtest Du das zweite Zertifikat ausstellen (acme.sh nativ oder auf einer VM usw. - ggf. Screenshots machen und hier einstellen)?
Hast Du einen Proxy aktiv? Wohin werden die Ports 80 und 443 weitergeleitet?
Eventuell kommen Pakete an Port 443 (und ggf. 80) gar nicht dort an, wo Du sie für Zertifikatserstellung benötigst.
Zum Vergrößern anklicken....
Danke.

Also, beim ping oder nslookup kommt die IPv6 Adresse der FritzBox.
Ist ein DS-Lite (Glasfaser Anschluss von M-Net).

Das Zertifikat für die Subdomain möchte ich direkt auf der DS machen via Let'sEncrypt und da scheitert's (angeblich die Ports nicht offen).
Benutze dort bereits eins für eine synology.me Domain aber möchte auf meine eigene Domain umstellen, die hab ich eh.
Bis jetzt habe ich diverse Dienste am Laufen, die über den ReverseProxy der DS laufen.
Wenn das Zertifikat erstellt wäre, dann hätte ich es ah alles im ReverseProxy umgestellt, aber das kann ich noch nicht.

Den Port 80 habe ich nur für die Erstellung des Zertifikats geöffnet.
I
 

Anhänge

  • Fehler.png
    Fehler.png
    51,6 KB · Aufrufe: 6
  • Ports in der Fritz.png
    Ports in der Fritz.png
    73,7 KB · Aufrufe: 6
Hagen2000 schrieb:
Bei IPv6 wäre zu beachten, dass Du nicht die IPv6-Adresse der FRITZ!Box benötigst sondern die deines NAS.
Zum Vergrößern anklicken....
Du musst dazu auf der FRITZ!Box eine MyFRITZ!-Freigabe für dein NAS erstellen und diese beim CNAME hinterlegen. Die IPv6-Adresse der FRITZ!Box nützt hier nichts (Grundprinzip IPv6).

Bei Synology-DDNS geht es meines Wissens deshalb, weil die die DNS-01-Challenge für die Zertifikatserstellung benutzen und daher gar keinen Zugriff auf das NAS über die Ports 80 und 443 benötigen (für Wildcard-Zertifikate ist das Verwenden der DNS-01-Challenge ohnehin erforderlich).

Welche FRITZ!Box, welches FRITZ!OS benutzt Du?
 
Ich bin seinerseits von Strato zu Netcup gewechselt, da die keine API für das LE-Updates hatten. Haben die das nun?
 
Hagen2000 schrieb:
Du musst dazu auf der FRITZ!Box eine MyFRITZ!-Freigabe für dein NAS erstellen und diese beim CNAME hinterlegen. Die IPv6-Adresse der FRITZ!Box nützt hier nichts (Grundprinzip IPv6).

Bei Synology-DDNS geht es meines Wissens deshalb, weil die die DNS-01-Challenge für die Zertifikatserstellung benutzen und daher gar keinen Zugriff auf das NAS über die Ports 80 und 443 benötigen (für Wildcard-Zertifikate ist das Verwenden der DNS-01-Challenge ohnehin erforderlich).

Welche FRITZ!Box, welches FRITZ!OS benutzt Du?
Zum Vergrößern anklicken....
Das ist schon bereits erledigt.
CNAME zeigt auf den DDNS Namen von MyFritz.

Die Box ist eine 7530 mit FritzOS 8.20
 

Anhänge

  • Verbindungen.jpg
    Verbindungen.jpg
    94,1 KB · Aufrufe: 3
synfor schrieb:
Da haben wir doch schon die Probleme: DS-Lite und falsche IPv6-Adresse beim DDNS.
Zum Vergrößern anklicken....
Da kriegt man nur noch solche Anschlüsse von dem Verein. :D

Was meinst du mit der falschen IPv6-Adresse beim DDNS? Wo genau?
 
Ich glaube ich hab's.
Habe den CNAME auf die xxxxxxx.myfritz.net gesetzt und nicht auf host.xxxx.myfritz.net.
Ich probiere es gleich mit dem Zerti und melde mich nochmal
 
  • Like
Reaktionen: Hagen2000
Ok, läuft. Hatte Tomaten auf den Augen.

Danke euch!

Muss mal dann schauen, ob der Rest auch noch läuft.
 

Anhänge

  • Zertis.jpg
    Zertis.jpg
    29,3 KB · Aufrufe: 11
Zuletzt bearbeitet:

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten