Let's encrypt und ddnss.de

[JSieger]

Hallo,
ich bin umgezogen. Zuvor hatte ich einen Kabelanschluss, eine FritzBox und eine feste IP. Hatte eine Subdomain für die IP und ein Zertifikat über let's encrypte. So war die Web-Station von außen als Website erreichbar.
Jetzt kann mir die Telekom (noch) keine feste IP einrichten. Habe jetzt eine Domain bei ddnss.de registriert.

• Habe in der Windows Firewall eine eingehende Regel erstellt, in der Port 80 und 443 freigegeben sind. War mir nicht sicher, ob das notwendig ist, habe aber auch eine ausgehende Regel mit Port 80 und 443 als Remoteport angelegt.
• Habe in der Web Station Port 80/443 als Standardserver und einen virtuellen Host 8080 und 8081. Alles funktioniert
• Habe unter Anmeldeportal - Erweitert Reverse Proxy engerichtet Beschreibung: Domainname, Quelle https://"domainname" Ziel http://"lokale IP":8081

Wenn ich jetzt ein Zertifikat von Let's encrypt anfordere erscheint die Meldung, dass ich überprüfen soll, ob URL erreichbar, Firewall oder Reverse Proxy richtig konfiguriert sind.
Ich bin absoluter Laie. Hoffe, dass ich mich einigermaßen verständlich ausgedrückt habe. Was mache ich falsch?
Liebe Grüße
Jörg

 

[Benares]

Habe in der Windows Firewall eine eingehende Regel erstellt ...

Wieso Windows Firewall? Du brauchst eine Portfreigabe im Router, damit Anfragen von außen an 80 und 443 an die DS durchgereicht werden.

 

[JSieger]

Sorry hatte ich natürlich vergessen. Im Speedport habe ich eine Portfreigabe eingestellt und Port 80-81 auf 8080-8081 und Port 443 auf 8080 weitergeleitet. Die Regel bei der Windows Firewall brauchte ich, weil die Firewall nach der Deinstallation von F-Secure (war beim Kabelpaket dabei) erst mal alles dicht gemacht hatte.

 

[Benares]

Da stimmt doch was nicht. Wenn dein virtueller Host auf 8080 (http) und 8081 (https) lauscht, muss doch 80 auf 8080 und 443 auf 8081 geleitet werden.
Dann brauchst du auch keinen Reverse Proxy mehr. Den bräuchtest du, wenn du 80->80 und 443->443 weiterleitest und dieser die Umsetzung auf 8080/8081 übernehmen soll.

 

[JSieger]

Ok habe ich geändert. 80 auf 808, 443 auf 8081, reverse Proxy gelöscht. Wenn ich das Zertifikat abrufen möchte kommt aber weiterhin: Kontrollieren Sie, ob IP-Adresse, Reverse Proxy-Regeln und Firewall-Einstellungen korrekt konfiguriert sind, und versuchen Sie es erneut. Die Seite nn ist erreichbar. Dort komme ich bis zur Anmdeldeaufforderung. An der liegt es aber nicht. Das habe ich getestet und die Anmeldeprozedur kurzzeitig deaktiviert.
Danke für die Hilfe.

 

[Benares]

Also momentan ist dein DNS-Name über Port 80 verbindbar (Anmeldung), 443 aber nicht (connect-Timeout). Schau erstmal, dass (bis auf die Zertifikatswarnung bei https) erstmal beides funktioniert. Ich weiß nicht, ob mit so einer Anmeldeseite funktioniert. Die LE-Server versuchen m.W. auf dem Webserver sowas wie einen Cookie zu platzieren und wieder aus auszulesen um zu prüfen, es deine Domain ist (s. hier unter http-Challenge)

Edit: und nimm den echten Namen in #5 besser wieder raus.

 

[JSieger]

Das war ein wichtiger Hinweis. Danke. Jetzt ist es wirklich so eingestellt, dass die Nachricht mit dem Sicherheitsrisiko kommt. Habe die Anmeldungsfunktion kurzzeitig deaktiviert und dabei versucht ein Zertifikat zu erstellen, aber es kam wieder die gleiche Fehlermeldung. Was könnte ich jetzt noch versuchen?
Danke Dir.

 

[Benares]

Was läuft auf dem Standard-Webserver? Eine leere Seite? Probiere mal 80->80, 443->443 als Portfreigaben.

Edit: Momentan klappt übrigens der Zugriff auf 443, der Web-Server liefert allerdings ein Quickconnect-Zertifikat.

 

[JSieger]

Ok. Ich habe ein Zertifikat für den Standard-Webserver. Dort liegt einfach eine index.php, die keine Bedeutung hat. Habe jetzt die Protumleitung wieder auf 8080 und 8081 zurückgestellt. Jetzt kommt natürlich wieder die Meldung, dass die Verbindung nicht sicher ist.
P.S. Habe das Zertifikat von Let's encrypt abgerufen. Unter Einstellungen-Konfigurieren steht aber als Zertifikat ... quckconnect.to (was auch immer das heißt :-( )

 

[Benares]

Jetzt musst du das neue Zertifikat noch dem Web-Server zuordnen (Systemsteuerung, Sicherheit, Zertifikat, Einstellungen)

 

[JSieger]

Es funktioniert! Toll! Das hätte ich alleine nie geschafft. Wie das bei der Erneuerung des Zertifikates dann sein wird, wird sich ja zeigen. Ich kanns dann direkt versuchen oder werde einfach wieder 80 auf 80 und 443 auf 443 umleiten und danach wieder zurückstellen, oder?
Danke für die großartige und kompetente Hilfe.

 

[Benares]

werde einfach wieder 80 auf 80 und 443 auf 443 umleiten und danach wieder zurückstellen, oder?

Ja, Ist zwar etwas umständlich, aber sollte funktionieren.