Let´s Encrypt Verlängerung scheitert, bin ratlos wegen Reverse Proxy usw.

[dtv1899]

Hallo zusammen,

habe eine Domain gekauft example.net und zwei Subdomains mit CNAME-Einträgen zu meiner myfritz-Adresse angelegt.

bw.example.net geht von https 443 via Reverse-Proxy an http 5555
ds.example.net geht von https 443 via Reverse-Proxy an http 5000

In der Fritzbox ist 443 entsprechend an die DS geforwarded.
Die DS ist intern über die Standardports 5000 und 5001 erreichbar.

Beide Dienste laufen 1a und ich konnte initial auch ohne Probleme Lets Encrypt Zertifikate für beide Subdomains im DSM anlegen.

Nun steht die erste Verlängerung an und ich habe es in den letzten Tagen immer mal wieder versucht, weil ich schon gelesen habe, dass es ab und an nicht funktionert, aber so langsam läuft mir die Zeit davon.

Für den Erneuerungsversuch forwarde ich Port 80 auf die DS und schalte im DSM die Firewall aus. Das sollte doch eigentlich alles sein, was notwendig ist oder?

Muss ich vielleicht auch temporär am Reverse Proxy etwas umkonfigurieren?

 

[blurrrr]

Vielleicht haste ja schon zuviel "probiert"... einfach morgen oder so nochmal versuchen (und vorher Port 80 zur Syno aufmachen)

 

[mamema]

abgesehen davon, dass der Port 80 offen sein muss und @blurrrr schon ein Thema erwähnt hat, musste ich im nginx in der passenden conf Datei dieses anpassen:

location ^~ /.well-known/acme-challenge/ {
auth_basic off;
root /var/lib/letsencrypt;
default_type "text/plain";

Sorry, über das bedienen des nginx über die DSM GUI fehlt mir die Erfahrung.

 

[Fusion]

Über die GUI angelegte reverse proxies, vHost etc. enthalten die passenden acme-challenge Pfade automatisch.
Nur wer eigene conf Dateien unabhängig von der GUI einpflegt muss auf sowas achten.

Am aufschlussreichsten wäre der Aufruf auf der Konsole oder via Aufgabenplaner

Aufgabenplaner:
benutzerdefinierte Aufgabe mit folgendem Inhalt und per Rechtsklick ausführen, Fehler und Ausführungsmeldungen ebenfalls die email Option aktivieren (geht glaube nur wenn unter Systemsteuerung > Benachrichtigung schon ein funktionierendes Postfach hinterlegt ist, oder passende Push Einstellungen aktiv sind)

syno-letsencrypt renew-all -vv >> /volume1/GemeinsamerOrdner/le-log.txt

Platzhalter Namen ersetzen! Ebenso ein bei dir existierenden gemeinsamen Ordner eintragen. Die >> leitet hoffentlich die Scriptausgabe in die angegebene Datei um die du dann per Netzwerkfreigabe oder File Station im Zugriff hast.

Ein Stolperstein ist z.b. Die DSM Version
Mit DSM 6.2.2-24922 Update 3 wurde auf acme v2 gewechselt. Die LE Server lehnen Verbindungen mit v1 ab.
Wenn die DSM Version aktuell genug ist kann es immer noch der Zeitpunkt der Ersterstellung des Zertifikats sein nach der die Syno mit alten configs versucht zu erneuern. Da kann es helfen das Zertifikat zu löschen und komplett neu ausstellen zu lassen.

 

[stulpinger]

Musste gestern ein paar Zertifikate erneuern
Bis auf zwei verlief die Erneuerung einwandfrei
Ein Blick in das Protokoll des nginx-Containers verschaffte mir Klarheit:
Die zwei Erneuerungen wurde nicht durchgeführt, da die Zertifikate noch nicht älter als 60 Tage sind ...

 

[dtv1899]

Danke für die Antworten!

An den zu vielen Versuchen liegt es nicht, da kommt ein anderer Fehler.

Muss Port extern 80 an den DSM Port 5000 geforwarded werden oder einfach extern 80 an 80 intern an der DS?

Ich habe meinen Reverse Proxy nur dahingehend verändert als dass ich im Nginx eine kleine Konfigdatei liegen habe, die eine https Umleitung erzwingt, sodass man in jedem Browser, Bitwarden-Client usw. einfach nur bw.example.net eintippen muss und dennoch immer auf der richtigen (verschlüsselten) Page landet.

Jetzt beim Tippen dieser Zeilen fällt mir ein, dass hier vielleicht das Problem liegen könnte Ich teste es heute Abend mal und falls das nicht klappt, lass ich mal die Erneuerung über den Aufgabenplaner laufen damit ich eine Logdatei sehe.

 

[THDev]

80 an 80.

 

[Benares]

Aber auf 80 muss auch wer lauschen. Ist die WebStation installiert? Ohne die werden m.W. Zugriffe auf Port 80 intern auf den DSM umgeleitet.

 

[mamema]

https Umleitung muss aus sein

 

[dtv1899]

Ist die WebStation installiert?

Nein

Also es will einfach nicht klappen.

Firewall ist aus
HTTPS-Umleitung ist deaktiviert (alle Zeilen im Skript auskommentiert und Nginx neu gestartet). Ist definitiv aus, da sie nicht mehr funktioniert
Port 80 an 5000 getestet -> geht nicht
Port 80 an 80 getestet -> geht ebenfalls nicht

An den DSM Versionen kann es nicht liegen, die Zertifikate wurden initial unter der selben aktuellen Firmware erstellt als auf der sie jetzt verlängert werden sollen.

Muss am Reverse Proxy noch irgendwas für Port 80 konfiguriert werden?

 

[Benares]

Probier's doch mal, wie von @Fusion in #4 vorgeschlagen, über die Konsole. Vielleicht liefert ja das Log Aufschlüsse..

 

[stulpinger]

80 an 80
443 an 443 ?

Geo-Blocking in der Firewall aktiviert ?

 

[Ulfhednir]

Ansonsten wäre noch die Frage, ob nicht irgendwelche Docker-Container die Ports 80 + 443 für sich beanspruchen und die Weiterleitung am falschen Ort landet.

 

[blurrrr]

Ist eh albern hier rumzuraten, wenn keine anständige Fehlermeldung gepostet wird ?

 

[dtv1899]

EDIT:
per SSH klappts zwar auch nicht, aber jetzt hab ich immerhin mal nen Fehler:

Code:
syno-letsencrypt renew-all -vv >> /volume1/GemeinsamerOrdner/le-log.txt

Die Logdatei ist leider leer.

 

[Fusion]

Kein Leerzeichen zwischen >> falls da eins ist.
Läuft die Aufgabe als root?

Auf der Konsole ebenfalls. Zuerst per "sudo -i" und admin Passwort zu root wechseln und dann den Befehl aufrufen.

Und ja, @blurrrr, hat es zuerst gesehen. Die Aufrufe werden abgefangen oder die hosts haben keinen korrekten Verweis zu den LE Verzeichnissen.

 

[blurrrr]

Fehlerhafte URL mal im Browser aufgerufen?

 

[dtv1899]

EDIT: Okay, jetzt hat es geklappt
Auf der Fritzbox war noch von meinen vorherigen Versuchen 80 an 5000 geforwarded, was ich jetzt auf 80 zu 80 abgeändert habe (hatte ich aber zuvor auch schon etliche Male probiert). Über SSH kam jetzt kein Fehler mehr und siehe da, meine Zertifikate laufen wieder bis 20.7.2021.
Bin gespannt, ob es nächstes Quartal einfacher wird, wenn ich es gleich über SSH versuche

Danke an alle!





Aufgerufen von nem Rechner außerhalb meines WANS
Wenn ich nur die eigentliche Domain aufrufe, lande ich jeweils auf der Anmeldeseite der DS weil die CNAME Einträge beim Domainanbieter ja für beide Subdomains identisch sind.

 

[Ulfhednir]

"Sie können ds.supergeheimedomainzurDS720.net im Moment nicht besuchen, weil die Website HSTS verwendet".
Klingt sehr verdächtig. Mal bitte das Häkchen beim Reverse Proxy entfernen.

 

[dtv1899]

Jetzt habe ich zwar verlängerte Zertifikate, aber plötzlich funktioniert meine http zu https Weiterleitung in der nginx-conf nicht mehr



nginx -t ist erfolgreich
nginx wurde mehrfach neu gestartet, auch die DS selbst habe ich neu gestartet.
Habe das Script jetzt sogar unter einem neuen Dateinamen komplett frisch angelegt, es funktioniert aber noch immer nicht.

Mit vorangestelltem https:// sind beide Dienste von extern erreichbar....