Toggle sidebar

LetsEncrypt will nicht…

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

B

Brolo

Benutzer
Registriert
10. Jan. 2024
Beiträge
28
Reaktionspunkte
2
Punkte
3
Hallo liebes Forum!

Vor geraumer Zeit habe ich meine NAS aufgesetzt samt Zertifikat und habe vor ca. 2 Wochen die Ports geändert zwecks Sicherung.

Nun will das Zertifikat sich nicht mehr erneuern…

Nach einer kurzen Recherche fand ich raus, dass Port 80 und 443 wohl dafür offen sein MÜSSEN!
Gesagt, getan. Klappt aber trotzdem nicht…

Was mache ich falsch?
 
Wenn es sich um ein Synology Zertifikat handelt, müssen auch keine Ports geöffnet sein.
Für welche DynDNS ist das Zertifikat?
Aktuelle Gültigkeit?
In welchem Zusammenhang hast Du die Ports geändert? bzw. Welche?
 
  • Like
Reaktionen: wegomyway
Meine Adresse ist von AVM. Also die feste kryptische Adresse welche man bei myFritz beantragen kann.
Also abcdefg[…].myfritz.net.

Ports
Ich habe den Standardport für HTTPS (5001) geändert und den Standardport für den Drive Server (6690(glaube ich…)). Alle anderen sind zu - außer neuerdings eben 80 und 443.
 
Ein Zertifikat für eine myfritz Adresse bekommst du m.W. auf der Synology nicht mit Bordmitteln. Einfacher ist es hier, auf den Synology DDNS zu setzen
 
Doch das geht. Bzw. ging. Ich hatte ja das Zertifikat schon. Die letzten Monate hat das alles super funktioniert!
Erst seit der Port-Umstellung läuft es nicht mehr und ich weiß nicht, warum?
 
  • Like
Reaktionen: geimist
Okay ich versuche es mal etwas ausführlicher, weil ich immer noch nicht weiter gekommen bin.

Meine FritzBox hat eine feste Domaine – damit die IP nicht permanente wechselt. Wo die herkommt, ist herzlichst egal.

An meiner FritzBox hängt meine Synology. Diese habe ich über Portfreigabe ins Internet gehängt. Ich kann also über „MeineKomischeDomain.net:xxxx“ an meine Synology drankommen.

Das Ganze hat so lange gut funktioniert, wie ich die Standardports von Synology, also 5000 und 5001 genutzt habe. Aus Sicherheitsgründen habe ich nun aber individualisiert und mein Zertifikat lässt sich nicht mehr erneuern. Ich habe auch keine Ahnung, ob es etwas mit der Portfreigabe zu tun hat, aber das ist das einzige, was ich in letzter Zeit geändert habe.

Zur Verdeutlichung hier mal ein paar Screenshots:

-Fehlermeldung Synology (wird nachgereicht - maximale Zertifikatsanforderungen für heute bereits erreicht)

-Portfreigabe FritzBox

Wie man sehen kann habe ich nur drei Ports freigegeben. Den ersten individualisierten für den HTTPS-Server und den zweiten für den Drive-Server. Let'sEncrypt will noch den Port 80 haben, wie man nachlesen kann, also habe ich den auch freigegeben. Dennoch läuft nix und ich verzweifle so langsam daran...
 

Anhänge

  • FritzBox-Portfreigabe.jpg
    FritzBox-Portfreigabe.jpg
    22,3 KB · Aufrufe: 7
Wo landest du, wenn du http://abcdefg[…].myfritz.net bzw. https://abcdefg[…].myfritz.net im Browser eingibst und was steht dann oben in der URL?
Edit: Lies auch mal hier.
 
Brolo schrieb:
Aus Sicherheitsgründen habe ich nun aber individualisiert
Zum Vergrößern anklicken....
Auf welchem Weg hast Du den die Ports individualisiert?
Was das Zertifikat betrifft, solltest Du erst mal nicht versuchen dieses weiter zu erneuern. Sonst geht da gar nichts mehr. Erst mal wieder auf den richtigen Weg kommen.
 
Uhhh ich glaube mir ist gerade mein Gedankenfehler aufgefallen!

Um die Frage zu beantworten: ohne den Port lande ich auf meiner FritzBox. Welche ich in sich bei Let'sEncrypt habe zertifizieren lassen...

... und demnach liegt für die Domain schon ein Zertifikat vor, nämlich das auf meiner FritzBox, weshalb die Synology selbst kein Zertifikat mehr erstellen kann! Das Teste ich mal... morgen... wenn ich wieder Zertifikate anfragen darf... :D
 
Nope... daran hat's nicht gelegen...

Hat noch jemand eine Idee?

Edit: Anbei die Fehlermeldung aus dem DSM welche ich mittlerweile auswendig kenne...
 

Anhänge

  • Bildschirmfoto 2024-04-18 um 10.49.09.png
    Bildschirmfoto 2024-04-18 um 10.49.09.png
    74,5 KB · Aufrufe: 6
Zuletzt bearbeitet:
Bitte mal die hier gestellten Fragen #10 und #11 beantworten.
 
Benie schrieb:
Bitte mal die hier gestellten Fragen #10 und #11 beantworten.
Zum Vergrößern anklicken....
Frage #10 habe ich in #12 erklärt.

Zu Frage #11: Den HTTPS-Port habe ich im DSM unter Systemsteuerung -> Anmeldeportal individualisiert und den Port für den Driveserver habe ich mangels onboard mittel in der Fritz!Box umgestellt, so dass man von außen den individuellen Port ansprechen muss und die Fritz!Box diesen dann auf den Standard 6690 Port an der Synology weiterleitet.

plang.pl schrieb:
Ein Zertifikat kann zeitgleich problemlos auf mehreren Hosts vorliegen.
Zum Vergrößern anklicken....
Das ist sehr gut zu wissen! Dann stelle ich es in der Fritz!Box wieder ein - löst aber leider nicht mein eigentliches Problem.
 
Was spricht denn gegen den DDNS von Synology? Da bekommst du einfach ein Wildcard-Zertifikat und das ohne Portweiterleitungen oder andere Verrenkungen
 
  • Like
Reaktionen: Benie
Brolo schrieb:
Um die Frage zu beantworten: ohne den Port lande ich auf meiner FritzBox.
Zum Vergrößern anklicken....
Das darf nicht sein. LetsEncrypt ruft die Domain "normal" auf, also x.myfritz.net, wenn du damit auf der Fritzbox landest, kann und wird es nicht funktionieren.
Wenn sich das nicht ändern lässt, wirst du auch kein Zertifikat über die DS dafür bekommen.

Die DS generiert einen Request auf dem Webserver z.B: x.myfritz.net/.well-known/acme-challenge/GFHG3grgu3hUFGPFUef....., diesen Ruft LE auf.

Wenn den Request die FB beantwortet, kann folglich nicht der Token übergeben und geprüft werden, sondern vermutlich ein 404- Not Found error. ergo: Fail.
 
Brolo schrieb:
Um die Frage zu beantworten: ohne den Port lande ich auf meiner FritzBox.
Zum Vergrößern anklicken....
Welcher Port ist denn in der FritzBox für den Zugriff aus dem Internet festgelegt (eigentlich ein random 5stelliger)? Es sollte für dein Vorhaben nicht 443 sein (weil der ja auf die DS durchgereicht werden soll).
 
Zuletzt bearbeitet:
Ich frag mich gerade, wieso er auf der Fritzbox-Oberfläche landet, wenn eine Portfreigabe für 80 und 443 zur DS existiert.

Meines Wissens ist das nur so, wenn man sich innerhalb des LANs mit dem MyFritz-Namen verbindet und die Weiterleitung nicht existiert oder nicht funktioniert. Ich hatte das mal bei AVM nachgefragt, wieso das so ist. Die sagten, das wäre absichtlich so gemacht, aber eben nur innerhalb des LAN, nicht wenn man wirklich von außen kommt.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten