Lets Encrypt Zertifikat erneuern schlägt fehl

[pingopilot]

Ich bekomme die Fehlermeldung, obwohl laut Online-Portscanner Port 80 für die aktuelle IP-Nummer offen ist.
Irgendwie wird der offene Port nicht an die Synology 920+ "weitergegeben"

In der Fritzbox habe ich folgende Einstellungen:





Die Domain über die Synology erreicht:



Wo liegt der Fehler?

Danke

 

[Hagen2000]

Synology unterstützt m.W. das Ausstellen von Zertifikaten nur in Zusammenhang mit dem Synology-DDNS-Dienst. Wie bist Du denn ursprünglich an dein Let‘s Encrypt-Zertifikat gekommen?

 

[Dreamdancer77]

Nein, man kann auch eigene Domains mit Let's Encrypt Zertifikaten ausstatten.

Ist evtl. die Firewall auf der DS aktiv mit Geo-Blocking?

 

[pingopilot]

Nein. Firewall der 920+ ist aus

 

[plang.pl]

Wo ist die Domain gehostet? Eventuell kannst du ein Wildcard-Cert mit acme.sh abrufen: https://github.com/acmesh-official/acme.sh/wiki/dnsapi & https://github.com/acmesh-official/acme.sh/wiki/dnsapi2
EDIT: Selbstständige Portfreigabe ausmachen!

 

[pingopilot]

Selbständige Portfreigabe habe ich abgeschaltet. Danke

Bei Do.de gehostet

Könnte ich vielleicht versuchen die Zertifikate zu löschen und neu zu beantragen?

 

[plang.pl]

Das könntest du mit acme.sh machen. Der Anbieter wird unterstützt: https://github.com/acmesh-official/acme.sh/wiki/dnsapi#dns_doapi
Da brauchst du keine Ports öffnen und bekommst außerdem ein Wildcard-Zertifikat

EDIT: Mal hier im Forum danach suchen. Gibt diverse Beiträge dazu

 

[patrickn]

Prüfe mal deine DNS Einträge.

x.de verweist auf 217.x, Telekom
www .x .de auf 178.x, Vodafone

Ist das überhaupt ein vollwertiger Anschluss mit ipv4?
Außerdem ist bei IP 178.x Port 80 und 443 zu.

 

[Hagen2000]

Ah, ich hatte es immer ohne „www“ probiert und da wird ein abgelaufenes Zertifikat von ZeroSSL ausgeliefert, nicht von Let‘s Encrypt.

 

[patrickn]

Außerdem würde ich mir überlegen, ob man sowas im eigenen privaten Netz hosten muss.

Sowas wäre bei einem Webhoster besser aufgehoben. Selbst virtuelle Server gibt es inzwischen schon für ein Euro im Monat - bei Strato bspw. neuerdings sogar ohne Einrichtungsgebühr bzw. Mindestlaufzeit von 12 Monaten. Monatlich kündbar, für 1€.

 

[pingopilot]

Prüfe mal deine DNS Einträge.

x.de verweist auf 217.x, Telekom
www .x .de auf 178.x, Vodafone

Ist das überhaupt ein vollwertiger Anschluss mit ipv4?
Außerdem ist bei IP 178.x Port 80 und 443 zu.

Wir hatten früher einen Vodafone DSL-Anschluss. Nun haben wir Telekom Glasfaser mit ipv4 und ipv6.
Die DNS-Einträge prüfe ich bei Do.de?

Wie öffne ich bei IP 178.x Port 80 und 443 bitte?

PS: Danke für den Tipp das nicht auf der Synology zu hosten. Der kommt nicht zum ersten Mal, aber wieder alles umstellen schreckt mich momentan ab. Unter Luithlenfamilie.de sind ja wenige Webseiten UND eine TNG-Ahnendatenbank auf der Synology.

 

[patrickn]

@pingopilot

Eigentlich sollte die Diskstation das mit dem DDNS selbst machen, aber anscheinend ist da nur die Domain ohne www. hinterlegt und wird aktualisiert, und die IP für mit www. wird nicht aktualisiert, daher ist das auch noch irgendeine alte IP von deinem ehemaligen Vodafone-Anschluss und daher schlägt auch die Aktualisierung fehl.

Ich kann dir aber wirklich nur ausdrücklich empfehlen, das nicht auf einer DS im Privaten Netz zu hosten.
Allein dass du fragen musst, ohne dir zu nahe treten zu wollen, wo du die DNS Einträge aktualisieren musst, bekräftigt die Aussage noch mehr.

Wie schauts aus mit Daten auf der Diskstation? Backups vorhanden? (obligatorische Frage)
Wenigstens alles auf dem aktuellen Stand und alles aktuell? TNG scheint es mit Version 15.0 schon mal nicht, aktuell scheint 15.0.3. Wäre wichtig, noch wichtiger wenn man das im eigenen Netz hostet.

Ich kanns dir wirklich nur empfehlen, investiere den Euro im Monat und lass dir ggf. helfen, und im Falle eines Falles geht "nur" auf der virtuellen Kiste alles den Bach runter, aber nicht in deinem privaten Netz.

 

[Hagen2000]

Wie öffne ich bei IP 178.x Port 80 und 443 bitte?

Gar nicht, das ist eine alte IP-Adresse, die Dir nicht mehr gehört.

Ein nslookup auf www.luithlenfamilie.de liefert einen CNAME-Eintrag für ryj0fsvdghclvuak.myfritz.net, dieser wiederum dann die alte IPv4-Adresse 178.4.251.173.
Du scheinst da also irgendetwas in Zusammenhang mit MyFRITZ! gemacht zu haben. Außerdem fehlt hier eine IPv6-Adresse.

Normalerweise sollte das "www" optional sein, d.h. eine Adressabfrage deiner Domäne sollte für beide Varianten (mit oder ohne "www") die gleichen IP-Adressen liefern. Und ein typisches Zertifikat deckt dann auch beide Varianten ab.

Ansonsten würde ich Dir auch eher empfehlen, alles auf einen Server bei einem Webhoster auszulagern.

 

[pingopilot]

Ok ok. Ihr habt mich überzeugt. Ich werde die Website extern hosten lassen. Ich hoffe, dass ich das hinbekomme.
Danke für die Hinweise.

Ja, ich habe nicht die Fachkenntnis das 100% korrekt und sicher umzusetzen.

PS: TNG muss tatsächlich aktualisiert werden. Da ich aber bis vor Kurzem diesen Bereich gar nicht online hatte (nach der Umstellung auf Glasfaser mit neuer fritzbox), war das erst mal zurückgestellt.
PSS: Ja, ich habe Backups von der Diskstation

 

[patrickn]

@pingopilot Jetzt haste aber kurzen Prozess gemacht wie ich das sehe, ist ja alles schon "erledigt", und TNG ist auch schon aktuell?

Letztlich die richtige Entscheidung, und vermutlich weniger Gefummel, als das mit einer Diskstation zu machen. Und die Geschwindigkeit ist ungefähr 100x schneller.

 

[pingopilot]

Ja. TNG ist nun wieder aktuell. Das Zertifikat ist aktuell.
Das Ganze hat mich als Laien schon ein paar Stunden gekostet, aber ich habe es hinbekommen.
Anspruchsvoll war der Umzug der SQL-Datenbank und kleine Beschränkungen auf dem Do.de-Server, aber mit Export/Import habe ich eine gute Lösung gefunden.