Let´s Encrypt Verlängerung scheitert, bin ratlos wegen Reverse Proxy usw.

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
Hallo zusammen,

habe eine Domain gekauft example.net und zwei Subdomains mit CNAME-Einträgen zu meiner myfritz-Adresse angelegt.

bw.example.net geht von https 443 via Reverse-Proxy an http 5555
ds.example.net geht von https 443 via Reverse-Proxy an http 5000

In der Fritzbox ist 443 entsprechend an die DS geforwarded.
Die DS ist intern über die Standardports 5000 und 5001 erreichbar.

Beide Dienste laufen 1a und ich konnte initial auch ohne Probleme Lets Encrypt Zertifikate für beide Subdomains im DSM anlegen.

Nun steht die erste Verlängerung an und ich habe es in den letzten Tagen immer mal wieder versucht, weil ich schon gelesen habe, dass es ab und an nicht funktionert, aber so langsam läuft mir die Zeit davon.

Für den Erneuerungsversuch forwarde ich Port 80 auf die DS und schalte im DSM die Firewall aus. Das sollte doch eigentlich alles sein, was notwendig ist oder?

Muss ich vielleicht auch temporär am Reverse Proxy etwas umkonfigurieren?

1618954586202.png
1618954664119.png
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Vielleicht haste ja schon zuviel "probiert"... einfach morgen oder so nochmal versuchen (und vorher Port 80 zur Syno aufmachen) :)
 

mamema

Benutzer
Mitglied seit
23. Okt 2009
Beiträge
667
Punkte für Reaktionen
132
Punkte
63
abgesehen davon, dass der Port 80 offen sein muss und @blurrrr schon ein Thema erwähnt hat, musste ich im nginx in der passenden conf Datei dieses anpassen:

location ^~ /.well-known/acme-challenge/ {
auth_basic off;
root /var/lib/letsencrypt;
default_type "text/plain";

Sorry, über das bedienen des nginx über die DSM GUI fehlt mir die Erfahrung.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Über die GUI angelegte reverse proxies, vHost etc. enthalten die passenden acme-challenge Pfade automatisch.
Nur wer eigene conf Dateien unabhängig von der GUI einpflegt muss auf sowas achten.

Am aufschlussreichsten wäre der Aufruf auf der Konsole oder via Aufgabenplaner

Aufgabenplaner:
benutzerdefinierte Aufgabe mit folgendem Inhalt und per Rechtsklick ausführen, Fehler und Ausführungsmeldungen ebenfalls die email Option aktivieren (geht glaube nur wenn unter Systemsteuerung > Benachrichtigung schon ein funktionierendes Postfach hinterlegt ist, oder passende Push Einstellungen aktiv sind)
Code:
syno-letsencrypt renew-all -vv >> /volume1/GemeinsamerOrdner/le-log.txt

Platzhalter Namen ersetzen! Ebenso ein bei dir existierenden gemeinsamen Ordner eintragen. Die >> leitet hoffentlich die Scriptausgabe in die angegebene Datei um die du dann per Netzwerkfreigabe oder File Station im Zugriff hast.

Ein Stolperstein ist z.b. Die DSM Version
Mit DSM 6.2.2-24922 Update 3 wurde auf acme v2 gewechselt. Die LE Server lehnen Verbindungen mit v1 ab.
Wenn die DSM Version aktuell genug ist kann es immer noch der Zeitpunkt der Ersterstellung des Zertifikats sein nach der die Syno mit alten configs versucht zu erneuern. Da kann es helfen das Zertifikat zu löschen und komplett neu ausstellen zu lassen.
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Musste gestern ein paar Zertifikate erneuern
Bis auf zwei verlief die Erneuerung einwandfrei
Ein Blick in das Protokoll des nginx-Containers verschaffte mir Klarheit:
Die zwei Erneuerungen wurde nicht durchgeführt, da die Zertifikate noch nicht älter als 60 Tage sind ...
 

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
Danke für die Antworten!

An den zu vielen Versuchen liegt es nicht, da kommt ein anderer Fehler.

Muss Port extern 80 an den DSM Port 5000 geforwarded werden oder einfach extern 80 an 80 intern an der DS?

Ich habe meinen Reverse Proxy nur dahingehend verändert als dass ich im Nginx eine kleine Konfigdatei liegen habe, die eine https Umleitung erzwingt, sodass man in jedem Browser, Bitwarden-Client usw. einfach nur bw.example.net eintippen muss und dennoch immer auf der richtigen (verschlüsselten) Page landet.

Jetzt beim Tippen dieser Zeilen fällt mir ein, dass hier vielleicht das Problem liegen könnte :D Ich teste es heute Abend mal und falls das nicht klappt, lass ich mal die Erneuerung über den Aufgabenplaner laufen damit ich eine Logdatei sehe.
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Aber auf 80 muss auch wer lauschen. Ist die WebStation installiert? Ohne die werden m.W. Zugriffe auf Port 80 intern auf den DSM umgeleitet.
 

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
Ist die WebStation installiert?
Nein

Also es will einfach nicht klappen.

Firewall ist aus
HTTPS-Umleitung ist deaktiviert (alle Zeilen im Skript auskommentiert und Nginx neu gestartet). Ist definitiv aus, da sie nicht mehr funktioniert :)
Port 80 an 5000 getestet -> geht nicht
Port 80 an 80 getestet -> geht ebenfalls nicht

An den DSM Versionen kann es nicht liegen, die Zertifikate wurden initial unter der selben aktuellen Firmware erstellt als auf der sie jetzt verlängert werden sollen.

Muss am Reverse Proxy noch irgendwas für Port 80 konfiguriert werden?

:cry:
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Probier's doch mal, wie von @Fusion in #4 vorgeschlagen, über die Konsole. Vielleicht liefert ja das Log Aufschlüsse..
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
80 an 80
443 an 443 ?

Geo-Blocking in der Firewall aktiviert ?
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Ansonsten wäre noch die Frage, ob nicht irgendwelche Docker-Container die Ports 80 + 443 für sich beanspruchen und die Weiterleitung am falschen Ort landet.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ist eh albern hier rumzuraten, wenn keine anständige Fehlermeldung gepostet wird ?
 
  • Like
Reaktionen: stulpinger

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Kein Leerzeichen zwischen >> falls da eins ist.
Läuft die Aufgabe als root?

Auf der Konsole ebenfalls. Zuerst per "sudo -i" und admin Passwort zu root wechseln und dann den Befehl aufrufen.

Und ja, @blurrrr, hat es zuerst gesehen. Die Aufrufe werden abgefangen oder die hosts haben keinen korrekten Verweis zu den LE Verzeichnissen.
 

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
EDIT: Okay, jetzt hat es geklappt
Auf der Fritzbox war noch von meinen vorherigen Versuchen 80 an 5000 geforwarded, was ich jetzt auf 80 zu 80 abgeändert habe (hatte ich aber zuvor auch schon etliche Male probiert). Über SSH kam jetzt kein Fehler mehr und siehe da, meine Zertifikate laufen wieder bis 20.7.2021.
Bin gespannt, ob es nächstes Quartal einfacher wird, wenn ich es gleich über SSH versuche :)

Danke an alle!





Aufgerufen von nem Rechner außerhalb meines WANS
Wenn ich nur die eigentliche Domain aufrufe, lande ich jeweils auf der Anmeldeseite der DS weil die CNAME Einträge beim Domainanbieter ja für beide Subdomains identisch sind.

1619032649330.png
 
Zuletzt bearbeitet:

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
"Sie können ds.supergeheimedomainzurDS720.net im Moment nicht besuchen, weil die Website HSTS verwendet".
Klingt sehr verdächtig. Mal bitte das Häkchen beim Reverse Proxy entfernen.
 

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
Jetzt habe ich zwar verlängerte Zertifikate, aber plötzlich funktioniert meine http zu https Weiterleitung in der nginx-conf nicht mehr

1619035608992.png

nginx -t ist erfolgreich
nginx wurde mehrfach neu gestartet, auch die DS selbst habe ich neu gestartet.
Habe das Script jetzt sogar unter einem neuen Dateinamen komplett frisch angelegt, es funktioniert aber noch immer nicht.

Mit vorangestelltem https:// sind beide Dienste von extern erreichbar....
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat