Let's encrypt hinter reverse Proxy

daschmidt94

Benutzer
Mitglied seit
17. Mai 2020
Beiträge
266
Punkte für Reaktionen
19
Punkte
24
Guten Abend,

ich versuche vergebens in einem Nextcloud-Docker ein Let's encrypt Zertifikat zu erstellen.
Leider gelingt mir das nicht. Hab die http://meine.ddns.net:32768 auf meine.ip:80 und https://meine.ddns.net:32769 auf meine.ip:443 weitergeleitet.
Warum kann ich dann kein Zertifikat erstellen? Es ist ja http und https weitergleitet


- The following errors were reported by the server:

Domain: xxx.ddns.net
Type: unauthorized
Detail: Invalid response from
http://xxx.ddns.net/.well-known/acme-challenge/T8g_2laOHGwy-K_WZHAZJbE_AgmgQ8C2_W94tABOYFk
[194.xxx.xxx.xxx]: "<!DOCTYPE html>\n<html>\n<head>\n<meta
charset=\"utf-8\">\n<style>body{font-family:Arial,Helvetica,sans-serif;font-size:12px;text-alig"

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Ich werde aus der Beschreibung auch nicht ganz schlau.

Normal erstellt man das Zertifikat auf der DS für den Reverse proxy. 80/443 auf die DS weitergeleitet.
Der reverse proxy terminiert die SSL Verbindung und leitet den Verkehr dann über eine zweite Verbindung (typischerweise auf localhost oder die lan-ip der DS) weiter in den Docker Container.
Im Docker Container selber macht man dabei überhaupt nichts mit let's encrypt.
 
  • Like
Reaktionen: daschmidt94

daschmidt94

Benutzer
Mitglied seit
17. Mai 2020
Beiträge
266
Punkte für Reaktionen
19
Punkte
24
Danke für die Antwort.

Das heißt ich erstelle in der DS GUI das zertifikat und muss das selber alle 90 Tage erneuern?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Wieso sollte das nicht automatisch gehen?
 

daschmidt94

Benutzer
Mitglied seit
17. Mai 2020
Beiträge
266
Punkte für Reaktionen
19
Punkte
24
Das weiß ich eben nicht ob sich das Zertifikat automatisch verlängert deswegen wollte ich dies mit einem Certbot machen.

Wenn die DS das automatisch macht, wäre das überflüssig
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Dreimal darfst du raten wieso die DS die /acme-challenge abgreift und sie nicht bis in den Docker Container durchgeht. :)
Syno kocht auch nur mit fremden Wassern. Was die genaue Basis ist, certbot, acme.sh etc, weiß ich nicht. Aber das wurde auch nur in die GUI verpackt und sollte sich zwischen 60-90 Tagen erneuern, wenn die Ports weiterhin offen sind und die Domain korrekt auflöst.
Steht denke auch in der online Hilfe, ohne es geprüft zu haben.
 
  • Like
Reaktionen: daschmidt94

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Wieso sollte das nicht automatisch gehen?
Aber das wurde auch nur in die GUI verpackt und sollte sich zwischen 60-90 Tagen erneuern, wenn die Ports weiterhin offen sind und die Domain korrekt auflöst. Steht denke auch in der online Hilfe, ohne es geprüft zu haben.
Also ich habe auch hier im Forum des Öfteren gelesen, dass sich die Zertifikate automatisch erneuern in dem von dir genannten Zeitraum.
Aus diesem Grund hatte ich auch die Ports 80/443 geöffnet gelassen nach der letzten manuellen Aktualisierung der Zertifikate. Leidr geschah selbst nach 90 Tagen nichts und das Zertifikat ist mit seiner Gültigkeit ausgelaufen.

Von mir aus kann ich berichten dass dies nicht der Fall ist. Der einzige Unterschied den ich hier sehe ist, dass ich keine synology domain verwende sondern eigene Domains. Ob es wirklich daran liegt kann ich nicht sagen. Fakt ist aber, dass z.B. auch Wildcard Zertifikate bei eigenen Domains nicht funktionieren.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Ich benutze auch eigene Domains. Und die Aktualisierung funktioniert bei mir seit Anfang an.
Und wenn das absolut nicht will lässt mal halt via Aufgabenplaner die Erneuerung laufen.
Wildcard Zertifikate werden aktuell nur für synology.me Domains unterstützt, hat Synology aber auch nie anders behauptet (bis sie es vielleicht irgendwann schaffen die DNS APIs für die anderen Anbieter mit in die GUI zu packen. Bis dahin geht es halt nur auf der Konsole im Eigenbau).
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
ich habe auch keine syno domain, normale ddns von einem ddns Anbieter.
80 muss da allerdings frei zu dem Gerät kommen welcher auch die Zert verwaltet und zur Verfügung stellt.
Und zwar 80 und nicht von aussen verschleiert. Dann geht es automatisch.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
via Aufgabenplaner die Erneuerung
Bei mir lief es noch nie von selbst, deshalb habe ich es auch per Aufgabenplaner gelöst. Das läuft auch zuverlässig.

hat Synology aber auch nie anders behauptet
Ich auch nicht ;) Hatte es nur erwähnt dass es hier auch unterschiede gibt.

Und zwar 80 und nicht von aussen verschleiert
Und bei mir klappt es dennoch nicht! Mit Port 80 und 443 permanent offen. Auch nichts verschleiert sondern direkt 80 -> 80 und 443 -> 443.
Funktioniert bei mir trotzdem nicht.
 

Tengo

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
181
Punkte für Reaktionen
3
Punkte
24
Also ich nutze inzwischen den Nginx-Proxy-Manager von jlesage über Docker und manage dort alle Zugriffsverteilungen und Zertifikate. das klappt komplett problemlos.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Ja, irgendwelche schlauen Leute gibt es immer, welche sich nicht mit dem Problem an sich beschäftigen, sondern einfach von was "ganz" anderem reden ("Habe ein Problem mit 'A nach B'" -> "Nimm doch einfach C!")... ?

Zugegebenermaßen ist der NPM schon eine nette Geschichte, allerdings auch "nur" als Docker-Container vorhanden. Gibt nebst dem auch noch etliche andere Lösungen (mit/ohne Docker/VMM). Ist halt immer die Frage, wieviel Aufwand und Ressourcenverschwendung es wert sein darf und wie "tief" es in die Materie gehen darf. Der NPM ist sowieso nur eine GUI für Nginx (also für die Klickibunti-Fraktion... "YEAH! Geil... bunte Knöpfe!"). Derlei gibt es auch massig auf dem Markt (allerdings ist die LE-Integration schon ganz nett). Allerdings kommt die Syno ja auch schon mit einer entsprechenden Funktionalität daher, von daher ist es also recht witzlos. Ein Glück, dass das nun nicht alle so machen, denn ansonsten wäre die Liste der vorgeschlagenen Lösungen vermutlich sehr sehr lang ?

Zudem sind hier wohl eher das Wildcard-Zertifikat bzw. die entsprechenden Challenge-Typen das - aktuell besprochene - Problem und nicht die ReverseProxy-Funktionalität an sich... ?

Und mal so als Schlusswort: Sind halt immer die geizigen Lümmels mit Ihren Problemchen hier... Ich "kaufe" mir mein Wildcard-Zertifikat wenigstens noch immer brav (wenn auch mittlerweile jährlich) ?
 

Tengo

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
181
Punkte für Reaktionen
3
Punkte
24
Hallo blurrrr,

ja, da hast Du recht. Ein alternativer Lösungsvorschlag bringt nicht viel für das eigentliche Problem. Sorry, das war von mir am Ziel vorbei.

Ich kann aber nochmal bestätigen, dass auf meinen beiden DSen an unterschiedlichen Standorten die Syno-interne LE-Lösung völlig problemlos klappt. Beide DSen liegen hinter Fritzboxen, die über MyFritz-Konten ihre DynDNS regeln (Telekom-Anschlüsse mit 100 bzw. 50 MBit). Port 80 wird auf der einen direkt an die DS durchgegeben, auf der anderen über Port 8080 an den nginx-proxy-manager in den Dockercontainer weitergereicht und von dort als Port 80 weiter. Und auf beiden klappt die Erneuerung von LE problemlos. Mehr kann ich dazu nicht sagen. :rolleyes:
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat