DSM 6.x und darunter Automatisierte Lets Encrypt Erneuerung (inkl. Portfreigabe + Fritz!Box Integration)

Alle DSM Version von DSM 6.x und älter

princemaxwell

Benutzer
Mitglied seit
13. Dez 2013
Beiträge
41
Punkte für Reaktionen
2
Punkte
8
Ich habe aber einen eigenen DynDNS Service.
Zumal geht es auch eher um das Zertifikat auf der Fritte, das wird DSM7 sicher nicht updaten oder?

nee, das wird tatsäächlich nichts,

Also mit meiner Lösung aus Beitrag #7 wird das auf der DSM erstellte Zertifikat automatisiert in die Fritz!Box eingespielt.

Meine Lösung von oben funktioniert nach wie vor, auch mit den aktuellsten Fritz!Box und DSM Versionen...
 
Mitglied seit
16. Aug 2016
Beiträge
57
Punkte für Reaktionen
1
Punkte
8
Das funktioniert bei mir ja auch. Aber das Zertifikat ist dennoch nicht für die Fritzbox gültig, weil es ja für den Domain Namen der Syno erstellt wurde. Daher die Frage, wie du das gemacht hast. :)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Z.b. in dem er https://meine.example.com:4444 die Fritzbox aufruft und https://meine.example.com die NAS.
Das Zertifikat gilt ja für den Domain Namen und wenn es vom jeweiligen Server ausgeliefert wird ist es auch beides Mal gültig.

Wenn du die Fritzbox über eine IP oder einen Namen der nicht im Zertifikat steht aufrufst gibt es halt Fehler.

Ebenso könnte er den Reverse Proxy der DS nutzen und via https://meine.example.com die Nas aufrufen und https://deine.example.com auf die Fritzbox leiten. Dann ist es egal welches Zertifikat die Fritzbox hat, weil der Client nur mit dem Proxy spricht.

Gibt so viele Möglichkeiten. Die Frage ist wie du es konkret bei dir machst um den Fehler bei dir abstellen zu können.
 
  • Like
Reaktionen: m0useP4d
Mitglied seit
16. Aug 2016
Beiträge
57
Punkte für Reaktionen
1
Punkte
8
Und das ist dann schon der Punkt. Ich kenne die Möglichkeiten einfach nicht. Aber der Reverse-Proxy hört sich interessant an.
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
DSM7 nutzen und via Quickconnect Freigabe automatisiert das LE erneuern lassen, ohne irgendwelche Routereinstellungen etc.
Diese Zertifikatsaussteller prüfen auf HTTP (Port 80) ob eine Datei vorhanden ist, um damit sicherzustellen dass DU überhaupt das Recht besitzt dir dafür ein Zertifikat ausstellen zu lassen.
Also kommt man um die Portfreigabe garnicht drumrum. (falls Port 80 nicht eh schon offen ist, für irgendwas Anderes)

Und zu den 90 Tagen:
Warum gibt es ein Problem, dass es nur Monatlich (29/30/31), Wöchentlich oder Täglich gibt?

Das Script kann doch problemlos täglich oder wöchentlich aufgerufen werden, prüft ob das Zertifikat noch gültig ist (bzw. schaut wann das letzte Mal aktualisiert wurde)
und wenn nicht nötig, dann bricht es einfach ab.
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Doch, kommt man. Bei synology.me findet eine DNS Validierung statt, kein offener Port benötigt.
Mit synology.me kannst dir auch Wildcard Zertifikate ausstellen lassen.
Kann natürlich sein, dass er bei expliziten Domainangaben noch http-01 benutzt und nur mit Wildcards auf dns-01 zurück greift.
Aber dass man nicht um eine Portfreigabe herumkommt stimmt so pauschal nicht.

Wenn man eigene LE Clients (bsp. Acme.sh) auf der Syno installiert kommt man auf jeden Fall drum herum (bsp. Challenge-alias oder Domain-alias)
 
  • Like
Reaktionen: NSFH

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.076
Punkte für Reaktionen
559
Punkte
194
Genau das ist das Angenehme an dieser Lösung, sie funktioniert ohne Portfreigaben parallel zu allen anderen Einstellungen und auch Blockierungen in der Firewall.
Dazu kann ein guter VPN Router selbstständig LE Zertifikate für den Eigenbedarf abholen. Die Draytek machen das jedenfalls.
 

princemaxwell

Benutzer
Mitglied seit
13. Dez 2013
Beiträge
41
Punkte für Reaktionen
2
Punkte
8
Z.b. in dem er https://meine.example.com:4444 die Fritzbox aufruft und https://meine.example.com die NAS.
Das Zertifikat gilt ja für den Domain Namen und wenn es vom jeweiligen Server ausgeliefert wird ist es auch beides Mal gültig.

Wenn du die Fritzbox über eine IP oder einen Namen der nicht im Zertifikat steht aufrufst gibt es halt Fehler.

Ebenso könnte er den Reverse Proxy der DS nutzen und via https://meine.example.com die Nas aufrufen und https://deine.example.com auf die Fritzbox leiten. Dann ist es egal welches Zertifikat die Fritzbox hat, weil der Client nur mit dem Proxy spricht.

Gibt so viele Möglichkeiten. Die Frage ist wie du es konkret bei dir machst um den Fehler bei dir abstellen zu können.

Genau so habe ich das gemacht. Ich habe ne eigene Domain, da habe ich das Ganze dann mit den entsprechenden Ports realisiert.
Die Fritz!Box hat nen eigenen, die DSM ebenfalls. So habe ich ein Zertifikat, was für beide Geräte gültig ist. Damit ich nicht immer die Ports eingeben muss (obwohl es Favoriten im Browser gibt :p) habe ich dann noch kurze Subdomains (fb.domain.de, dsm.domain.de), die ne simple Weiterleitung auf die Domain mit Port (domain.de:12345, domain.de:45678) machen.
 
  • Like
Reaktionen: EveryDayISeeMyDream

frogy

Benutzer
Mitglied seit
09. Sep 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen

ich hab das Skript mit dem aktuellen OS genutzt und es hat funktioniert.

Bin vor kurzem auf die neue Labor Version (zukünftiges Fritz OS 7.5) umgezogen und jetzt kommt folgender Fehler:

<?xml version="1.0"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<s:Fault>
<faultcode>s:Client</faultcode>
<faultstring>UPnPError</faultstring>
<detail>
<UPnPError xmlns="urn:dslforum-org:control-1-0">
<errorCode>600</errorCode>
<errorDescription>Argument Value Invalid</errorDescription>
</UPnPError>
</detail>
</s:Fault>
</s:Body>
</s:Envelope>Port sharing: ACTIVATED!

Zugriff für Anwendungen zulassen und Status Informationen per UPnP übertragen ist aktiviert

Hat jemand eine Idee woran es liegen könnte?

Gruß

Bastian
 

princemaxwell

Benutzer
Mitglied seit
13. Dez 2013
Beiträge
41
Punkte für Reaktionen
2
Punkte
8
@frogy

Ich habe soeben das offizielle FB Update 7.50 auf einer 7590 installiert.
Danach habe ich das Skript gestartet und einmal durchlaufen lassen.

Portfreigabe aktivieren, Zertifikatsimport und Portfreigabe deaktivieren haben fehlerlos funktioniert.

Evtl. liegt es an der BETA Version, ansonsten habe ich keine Erklärung.
 

princemaxwell

Benutzer
Mitglied seit
13. Dez 2013
Beiträge
41
Punkte für Reaktionen
2
Punkte
8
@EDvonSchleck

Ich denke, das spielt keine Rolle, weil jede DS die Skripte ausführen kann.
Funktioniert bei mir mit DSM 6 und 7, auf DS216+, DS218+ und DS920+
 

frogy

Benutzer
Mitglied seit
09. Sep 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Ich hab ne DS 218+ werde gleich mal das update auf die 7.50er machen.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Warum nutzt Ihr nicht acme.sh und spart euch das ganze mit der Fritz!Box und Script?
Portfreigaben sind dort ebenso nicht notwendig wie eine Aufgabe.
acme.sh erneuert automatisch alle 60 Tage das Zertifikat und kann es auch an andere Geräte verteilen. Entspannter geht es nicht mehr!

Einfache Installation via Docker in 5min oder nativ – wenn es unbedingt sein soll.
 

princemaxwell

Benutzer
Mitglied seit
13. Dez 2013
Beiträge
41
Punkte für Reaktionen
2
Punkte
8
@EDvonSchleck

Ich weiß nicht, ob der Verwendungszweck vergleichbar ist, weil ich mich mit acme.sh nicht intensiv beschäftigt habe.
Meine Ausgangslage war, dass ich mit der internen Funktion der DS dss LE-Zertifikat, was dort erstellt wurde, regelmäßig automatisiert erneuern will. Dafür ist jedoch die Freigabe von Port 80 nötig, was das erste Skript übernimmt. Danach werden die Aktionen auf der DS durchgeführt, das zweite Skript importiert dann das fertige Skript von der DS direkt in die FritzBox und schließt dort dann die Ports, wieder mit dem ersten Skript.

Ich bezweifle, dass acme.sh einen Importer für die FritzBox liefert, oder ist das so?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Doch ohne Problem und noch viel mehr!
Schau in der Anleitung und besonders in den Kommentaren!
Es muss lediglich eine Config angelegt werden und acme.sh gestartet. Der Rest funktioniert alles automatisch und ohne Portfreigaben.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.845
Punkte für Reaktionen
737
Punkte
134
sieht sehr vielversprechend aus. Leider habe in den unterstützten Anbietern kein Strato gefunden. Oder war ich blind? Mit welchem Anbieter nutzt du es?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.701
Punkte für Reaktionen
3.694
Punkte
468
Hab auch meine Domain bei Strato, hab da auch nachgefragt, da gibt's wohl keine Unterstützung für eine DNS-API für amce.sh.
Über kurz oder lang werde ich wohl doch den Anbieter wechseln müssen :(

Habt ihr euch schonmal das Projekt von "RaspBerry Pi Cloud" hier angeschaut? Klingt vielversprechend, und entwickelt sich ständig weiter.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Strato nicht, deshalb war ja gerade das Netcup Angebot zur Blackweek interessant. Dort kostete eine Domain 1,56 € pro Jahr zzgl. 20 einmalig für die Einrichtung.

Es gibt aber eine custom-api. Keine Ahnung, ob das mit Strato funktioniert. Ansonsten umziehen oder einen DynDNS-Anbieter nutzen, welcher das unterstützt. Insgesamt werden über 150 Anbieter unterstützt.

Zur Not bei Netcup für 6 € im Jahr eine Domain sichern/umziehen und bei dem nächsten Angebot auf den günstigen Tarif umschreiben lassen. Auch die „normalen“ 6 € pro Jahr tun keinen richtig weg, das kostet bei uns schon ein ganzes Brot. Der Vorteil bei der DS freue ich mich ein ganzes Jahr, das Brot will nach ein paar Tagen wieder raus! :poop:
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.701
Punkte für Reaktionen
3.694
Punkte
468
Nee, weh tut das nicht. Aber das Projekt finde ich gut, um endlich mal den "Großen" etwas entgegen zu setzen.
Der scheint mir relativ fit zu sein, der Junge. Klar will er über kurz oder lang auch mal Kohle damit verdienen ;)
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat