DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern
- Ersteller TACiboy
- Erstellt am
Alle DSM Version von DSM 6.x und älter
Hallo TACiboy,
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt Zertifikat abgelaufen - wie erneuern
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt Zertifikat abgelaufen - wie erneuern
- Mitglied seit
- 06. Sep 2020
- Beiträge
- 1.143
- Punkte für Reaktionen
- 261
- Punkte
- 159
kenne kopano jetzt nciht .. aber wenn du was abholst, ist der port egal, du fraegst ja nach aussen ab.
wenn kopano allerdings ein mailserver mit mxer ist .. dann bekommst du die mails geliefert.. das nehme
ich aber erst mal nicht an ..
also butter bei die fische .. hau mal deine dyndns oder syno ddns adresse per PN rueber, dann kann man
anfangen zu schauen was nun auf ist und was nicht. so ist das doch weiter stochern im nebel.
wenn kopano allerdings ein mailserver mit mxer ist .. dann bekommst du die mails geliefert.. das nehme
ich aber erst mal nicht an ..
also butter bei die fische .. hau mal deine dyndns oder syno ddns adresse per PN rueber, dann kann man
anfangen zu schauen was nun auf ist und was nicht. so ist das doch weiter stochern im nebel.
Vielen Dank. Ich bin nur grad nich daheim. Wird leider Anfang der Woche werden. Da bin ich wieder zu Hause und kann das dann per PN schicken.
Kopano --->> ist ein Exchange Ersatz der auch hier im Forum sehr stark diskutiert wird.
Kopano --->> ist ein Exchange Ersatz der auch hier im Forum sehr stark diskutiert wird.
Zuletzt bearbeitet:
Tut er bei mir, wenn ich "Hand anlege".
Gibt es ein Regelwerk um LetsEncrypt-Server exklusiv durch die Firewall zu lassen (feste IPs, ...)?
Ich habe den Zugriff aus USA und anderen Ländern in der Firewall gesperrt.
Oder eine automatische Vorgehensweise wenn ich die Firewall nicht von Hand kurz für die Zertifikatserneuerung stoppen möchte?
Oder muss ich damit leben dass man das nicht mit Bordmitteln von DSM automatisch im Hintergrund ablaufen lassen kann?
Danke für deine Zeit
Gruß Handfest
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Nein, gibt es nicht. Siehe z.b. Hier https://community.letsencrypt.org/t/whitelisting-le-ip-addresses-ranges-in-firewall/45190/2
Alternative ist mit DynDNS von synology.me zu arbeiten, oder die selbst einen le Client (Bsp acme.sh) auf die DS zu holen. Mit denen wird / kannst du dns-01 als Validierungsmethode verwenden (im letzteren Fall muss das dein dynDNS Anbieter, oder ein Alias Hoster unterstützten, dass du dort via API die DNS TXT Einträge ändern kannst).
Dass braucht dann keine offenen Ports mehr, da die Validierung über das DNS läuft und nicht über den Webserver selbst.
Alternative ist mit DynDNS von synology.me zu arbeiten, oder die selbst einen le Client (Bsp acme.sh) auf die DS zu holen. Mit denen wird / kannst du dns-01 als Validierungsmethode verwenden (im letzteren Fall muss das dein dynDNS Anbieter, oder ein Alias Hoster unterstützten, dass du dort via API die DNS TXT Einträge ändern kannst).
Dass braucht dann keine offenen Ports mehr, da die Validierung über das DNS läuft und nicht über den Webserver selbst.
- Mitglied seit
- 08. Mai 2015
- Beiträge
- 6.639
- Punkte für Reaktionen
- 1.197
- Punkte
- 254
Hallo, ich möchte das Thema noch einmal aufgreifen:
Ich habe heute nochmal einen Angriff gestartet.
An einem Telekom Anschluss kann ich ein Zertifikat erfolgreich erstellen.
Gleiches an meinem Anschluss geht weiterhin.
Kurze Frage: Wie kann ich denn prüfen ob es an meinem Anschluss liegt?
Hat mein Provider die Ports 80 und/oder 443 gesperrt oder eingeschränkt?
Ich habe heute nochmal einen Angriff gestartet.
An einem Telekom Anschluss kann ich ein Zertifikat erfolgreich erstellen.
Gleiches an meinem Anschluss geht weiterhin.
Kurze Frage: Wie kann ich denn prüfen ob es an meinem Anschluss liegt?
Hat mein Provider die Ports 80 und/oder 443 gesperrt oder eingeschränkt?
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Landet der Aufruf von meine.example.com für die du das Zertifikat haben willst im Browser von extern aufgerufen auf deiner DS?
Wenn nicht, wie ist der Fehler?
Worin besteht der Unterschied zwischen Telekom und "deinem" Anschluß?
Dual Stack vs Dual Stack Lite?
Wenn nicht, wie ist der Fehler?
Worin besteht der Unterschied zwischen Telekom und "deinem" Anschluß?
Dual Stack vs Dual Stack Lite?
Wenn ich beispiel.dyndns.com eingebe dann kommt:
_________________________________________________________________________________________________________________________
An dem Telekom Anschluss erscheint dann:
nginx/1.14.2
___________________________________________________________________________________________________________________________
Das mit dem Dual Stack und Dual Stack lite bin grad am googlen weil ich dennUnterschied nicht kenne.
Wenn ich in der FritzBox die IP6 Unterstützung aktiviere bekomme ich keine IP6 IP-Adresse.
Erst wenn ich
IPv6-Anbindung mit Tunnelprotokoll verwenden
aktiviere bekomme ich eine IP6- IP-Adresse.
Hmmm...diese Seite ist leider nicht erreichbar
Die Antwort von beispiel.dyndns.com hat zu lange gedauert- Bing nach beispiel.dyndns.com durchsuchen
_________________________________________________________________________________________________________________________
An dem Telekom Anschluss erscheint dann:
400 Bad Request
The plain HTTP request was sent to HTTPS portnginx/1.14.2
___________________________________________________________________________________________________________________________
Das mit dem Dual Stack und Dual Stack lite bin grad am googlen weil ich dennUnterschied nicht kenne.
Wenn ich in der FritzBox die IP6 Unterstützung aktiviere bekomme ich keine IP6 IP-Adresse.
Erst wenn ich
IPv6-Anbindung mit Tunnelprotokoll verwenden
aktiviere bekomme ich eine IP6- IP-Adresse.
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
AM Telekom Anschluß fehlt nur ein https vorne an der Adresse. Dann kommt vermutlich die Dummy Seite der Web Station.
Beim anderen ein Timeout, also gar nicht erreichbar, hängt also irgendwo in einer Firewall/Portweiterleitung/Anschluß zwischen Client und DS.
Auf welchen Anschluß beziehen sich die ganzen Aussagen im unteren Teil?
Wenn du keine IPv6 bekommst ist es wohl noch ein IPv4 Only Anschluß (öffentlich), also weder Dual Stack (ipv4/ipv6 öffentlich) noch Dual Stack Lite (ipv4 privat / ipv6 öffentlich). Für die ungefragte externe Erreichbarkeit braucht es eine öffentlich ansprechbare IP.
Sind das zwei verschieden DS? An zwei verschiedenen Standorten?
Oder diesselbe DS und du hast zwei Internetanschlüsse bei dir?
Und WO bei welchem Anbieter ist nun DER Anschluß der nicht bei der Telekom ist?
Beim anderen ein Timeout, also gar nicht erreichbar, hängt also irgendwo in einer Firewall/Portweiterleitung/Anschluß zwischen Client und DS.
Auf welchen Anschluß beziehen sich die ganzen Aussagen im unteren Teil?
Wenn du keine IPv6 bekommst ist es wohl noch ein IPv4 Only Anschluß (öffentlich), also weder Dual Stack (ipv4/ipv6 öffentlich) noch Dual Stack Lite (ipv4 privat / ipv6 öffentlich). Für die ungefragte externe Erreichbarkeit braucht es eine öffentlich ansprechbare IP.
Sind das zwei verschieden DS? An zwei verschiedenen Standorten?
Oder diesselbe DS und du hast zwei Internetanschlüsse bei dir?
Und WO bei welchem Anbieter ist nun DER Anschluß der nicht bei der Telekom ist?
Wie genau geht das?
Ich habe bei meiner Synology nur Port 443 offen. Eine Aktualisierung (sowohl über DSM als auch über Kommando-Zeile) schlägt aber fehl.
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Es kommt auf die Validierungsmethode an. Bei den meisten also ob sie synology.me oder eigene Domains verwenden und ob das Zertifikat komplett neu ausgestellt oder erneuert wird.
Die Methoden sind http-01 oder dns-01. Es kommt immer die Methode zum Einsatz die bei der Erstausstellung vom System gewählt. Deshalb hilft / ändert es teilweise etwas wenn man die Zertifikate löscht und neu beantragt.
Für synology.me kommt aktuell dns-01 zum Einsatz. Validierung also über das DNS System bei Synology. Dafür muss überhaupt kein Port offen sein. Hier werden auch Wildcard Zertifikate unterstützt.
Bei eigenen Domains oder anderen dynDNS kommt normal http-01 zum Einsatz und Port 80 muss mindestens für die Initiale Erstellung offen sein. Wieso es bei manchen dann mit der Erneuerung nur über 443 klappt und bei manchen nicht hab ich noch nicht durchschaut.
Hier könnte die Konsolenausgabe -vv helfen, wenn man die mal vergleicht bekommt.
Für andere dynDNS und eigene Domains mit wildcard muss man aktuell ebenfalls immer auf die Konsole und dns-01 benutzen. Bsp acme.sh Client mit einem Anbieter für den es direkt ein DNS-API Plugins gibt, oder unter der Verwendung von challenge oder Domain alias (Validierung beim API unterstützten Anbieter für eine Domain die bei einem anderen Anbieter liegt (DNS Verwaltung)).
Die Methoden sind http-01 oder dns-01. Es kommt immer die Methode zum Einsatz die bei der Erstausstellung vom System gewählt. Deshalb hilft / ändert es teilweise etwas wenn man die Zertifikate löscht und neu beantragt.
Für synology.me kommt aktuell dns-01 zum Einsatz. Validierung also über das DNS System bei Synology. Dafür muss überhaupt kein Port offen sein. Hier werden auch Wildcard Zertifikate unterstützt.
Bei eigenen Domains oder anderen dynDNS kommt normal http-01 zum Einsatz und Port 80 muss mindestens für die Initiale Erstellung offen sein. Wieso es bei manchen dann mit der Erneuerung nur über 443 klappt und bei manchen nicht hab ich noch nicht durchschaut.
Hier könnte die Konsolenausgabe -vv helfen, wenn man die mal vergleicht bekommt.
Für andere dynDNS und eigene Domains mit wildcard muss man aktuell ebenfalls immer auf die Konsole und dns-01 benutzen. Bsp acme.sh Client mit einem Anbieter für den es direkt ein DNS-API Plugins gibt, oder unter der Verwendung von challenge oder Domain alias (Validierung beim API unterstützten Anbieter für eine Domain die bei einem anderen Anbieter liegt (DNS Verwaltung)).
@Fusion: Es ist die gleiche DS gewesen eben nur an unterschiedlichen Standorten:
Der andere Anschluss der nicht geht ist bei EifelNet. Ist kein Bundesweiter Anbieter. Der untere Teil bezog sich auch auf den Anbieter EifelNet.
Wie beschrieben: Telekom Anschluss Ports 80 und 443 frei gegeben für die DS und es kam nach ein paar Sekunden ein gültiges Zertifikat.
Anschluss EifelNet: Ebenfalls die Ports freigegeben... Zertifikatserstellung läuft in einen Fehler.
Ich weiß natürlich auch nicht ob das am Provider EifelNet liegt.
Mehr als die Ports freigeben kann ich doch nicht machen...
Der andere Anschluss der nicht geht ist bei EifelNet. Ist kein Bundesweiter Anbieter. Der untere Teil bezog sich auch auf den Anbieter EifelNet.
Wie beschrieben: Telekom Anschluss Ports 80 und 443 frei gegeben für die DS und es kam nach ein paar Sekunden ein gültiges Zertifikat.
Anschluss EifelNet: Ebenfalls die Ports freigegeben... Zertifikatserstellung läuft in einen Fehler.
Ich weiß natürlich auch nicht ob das am Provider EifelNet liegt.
Mehr als die Ports freigeben kann ich doch nicht machen...
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
OK, finde ich jetzt auf die schnelle nicht wie eifelnet ihre Anschlüsse betreibt. Also vielleicht mal anrufen und nachfragen, ob ipv4, dual Stack oder dual Stack light zum Einsatz kommt oder gar komplettes carrier grade NAT.
Oder selbst herausfinden, wenn man mal die Infos aus der Fritzbox aus der Übersicht, Internet Online Monitor und Ergebnisse von wieistmeineip vom diesem Anschluss aus zusammenwirft und analysiert.
Oder selbst herausfinden, wenn man mal die Infos aus der Fritzbox aus der Übersicht, Internet Online Monitor und Ergebnisse von wieistmeineip vom diesem Anschluss aus zusammenwirft und analysiert.
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
ok, die gehört zu EifelNet. Wenn die auch angezeigt wird, wenn man aus diesem Netz heraus wieistmeineip.de aufruft, dann ist sie auch öffentlich.
Dann kann es eigentlich nur noch an Portweiterleitung und Firewall in Fritzbox und DS liegen
Dann kann es eigentlich nur noch an Portweiterleitung und Firewall in Fritzbox und DS liegen
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
