DSM 6.x und darunter Let's encrypt - update plötzlich nicht mehr möglich

[ando79]

Hallo allerseits,

seit April habe ich Probleme damit mein Let's Encrypt Zertifikat für meine DNS Adresse zu erneuern.
Das Zertifikat ist inzwischen abgelaufen und wenn ich im DSM auf erneuern gehe, dann bekomme ich wahlweise die Meldungen: "Die maximale Anzahl von Zertifikatsanforderungen wurden für diesen Domainnamen erreicht." oder auch "Ungültige Domain. Stellen sie sicher, dass diese Domain in eine öffentliche IP-Adresse aufgelöst werden kann."
Das Port forwarding in meiner Fritz!Box ist folgendermaßen gegeben:
Port 80 auf 80
Port 443 auf 443

Die DNS Adresse ist über FritzBox auch aktualisiert und hat die aktuelle IP erhalten. Mein DNS Anbieter ist SPDYN.de.
Ich habe auch schon versucht das Zertifikat durch ein neues zu ersetzen, aber auch da erhalte ich die gleiche Meldung.

Weiß irgendwer wo hier das Problem liegen kann?
Ich habe nun seit gut 3 Jahren keinerlei Probleme damit gehabt und bin jetzt echt am verzweifeln. Internetrecherche hat mich bisher nicht weitergebracht.

Viele Grüße
AnDo79

 

[tproko]

Off-Topic:
Lösch bitte den Port raus, mit welchen du auf DSM zugreifst. Das hat hier nichts verloren. (PS. mach dir auch Gedanken, wie du das vernünftig absicherst, wäre VPN hier keine bessere Lösung?).

Ad Topic:
Abgelaufene Certs können mMn nicht mehr erneuert werden.
Du musst das Cert löschen und neu anfordern.

Mit Portweiterleitung 80 und 443 Richtung Synology sollte es eigentlich klappen, bei mir reicht zB. nur 80.
Wenn es wieder zum Erneuern wird, kann man via ssh auf der Konsole den Renew Befehl ausführen, das hilft aber jetzt nichts mehr, da dein Cert bereits abgelaufen ist. Da sieht man dann oftmals eine "sprechende Fehlermeldung".
Ich würde es mal via GUI löschen und neu anfordern, und dann falls es nicht klappt, in /var/log/messages schauen (via ssh Console), warum es nicht angefordert werden kann.

Evt. blockiert dich auch die Firewall der Synlogy? Ggf. diese kurzfristig deaktivieren oder die entsprechenden Regeln vorab einrichten. Ist aber schwer zu erraten, was da reinkommt. Aber kurz abdrehen, und schauen ob der Request durchgeht, wäre ja evt. eine Option.

 

[ando79]

Hallo tproko,

danke für die schnelle Antwort. Beitrag von mir ist nun editiert.

Nochmal eine blöde Nachfrage: wie lösche ich das Zertifikat denn? Bei mir ist der Punkt "Löschen" einfach ausgegraut.
Zum anderen habe ich jetzt noch nicht hingekriegt die Datei messages in /var/log zu öffnen. Ich erhalte im Terminal immer permission denied

Das deaktivieren der Synology Firewall hat bisher nichts verändert

 

[ando79]

Ok ich habe es nun hingekriegt die Datei Messages anzusehen. Dort steht im Endeffekt aber auch nur "No valid IP Adresse found for XXX.spdns.de"

 

[tproko]

Wahrscheinlich vorher noch ein sudo -i machen, dass du root bist.

 

[tproko]

Zwecks löschen nehme ich an, musst du wohl vorher bei der Verwendung der Zertifikate einstellen, dass ein anderes Zertifikat hinterlegt ist.
Aber evt. kannst du ja bereits ein neues anfordern, bevor du das alte löscht.

 

[ando79]

Hallo tproko,

ich glaube ich bin einen kleinen schritt weiter. Ich habe bei meinem DNS Anbieter meinen DNS Namen auf IPv6 und IPv4 umgestellt. Mein Internetanbieter hat vor kurzem nämlich auch auf IPv6 umgestellt. So wie mir es in der Fritz!Box angezeigt wird habe ich nun vom Internetanbieter sowohl eine öffentliche IPv6 als auch eine öffentliche IPv4 Adresse erhalten. Das DNS Update mache ich mit der FritzBox über IPv6.
Wenn ich nun wieder in der Synology NAS das Zertifikat abzurufen, dann erhalte ich zumindest jetzt eine andere Fehlermeldung. Diese lautet:

"Verbindung zu Let's Encrypt fehlgeschlagen. Bitte stellen sie sicher, dass auf ihrer Diskstation und auf ihrem Router Port 80 für die Internet-Domainüberprüfung durch Let's Encrypt geöffnet ist."

Es scheint mir also, dass es irgendwas mit dem IPv6 zu tun haben könnte. Muss ich nun auf der Fritz!Box die Portweiterleitungen anders einstellen? Oder muss ich in der Diskstation vielleicht etwas anders einstellen deswegen?

 

[Fusion]

Die Umstellung hat nur etwas damit zu tun, wenn die dynDNS jetzt ipv4 und ipv6 Records A/AAAA hat.
'nslookup sub.example.com' wirft welche Ergebnisse aus?

Wenn beides vorhanden, dann wird ipv6 leicht bevorzugt und es könnte zur Sackgasse kommen.

1)dyndns IPs sind die ipv4 vom Router und ipv6 vom NAS > dann fehlt nur die Portfreigabe
2) ipv4 und ipv6 vom Router > der dynDNS Client läuft nicht auf dem NAS. Bei ipv6 ist es essentiell, dass entweder der Client die IP aktualisiert, da er sich nicht mehr hinter dem NAT des Routers versteckt, oder der Router und dynDNS Anbieter müssen die Prefix Aktualisierung stellvertretend für clients im LAN beherrschen

 

[ando79]

Hallo Fusion,

nslookup mein.domain.name gibt mir meine öffentliche IPv4 Adresse zurück.
nslookup -type=AAAA mein.domain.name gibt mir meine öffentliche IPv6 Adresse zurück.

kannst du das was du unter 1) und 2) geschrieben hast nochmal genauer beschreiben? Sollte der DNS Updater auf dem NAS laufen?

 

[synfor]

nslookup -type=AAAA mein.domain.name gibt mir meine öffentliche IPv6 Adresse zurück.

Welche von den mindestens 2^64 (abhängig vom Präfix)? Ist das die des Routers oder die des NAS?

 

[Fusion]

Wenn es die öffentliche ipv6 des Router ist, dann ist denke die einfachste Variante den dynDNS Client auf die DS zu verlegen und im Router die Portweiterleitung von ipv4 auf ipv4+ipv6 zu erweitern.
Eventuell überhaupt noch ipv6 im NAS aktivieren, oder gar vorher noch im Router, wenn dies noch nicht geschehen ist.

Für ipv6 ist es eigentlich nur eine (Firewall) - Portfreigabe auf den Interface Identifier (Host ID, hintere Hälfte der IPv6).
Bei ipv4 ist es ebenfalls eine Freigabe und eine NAT Regel, weil hier neben der Öffnung des Ports noch die Adressübersetzung auf die privaten ipv4 erfolgt.

 

[ando79]

Welche von den mindestens 2^64 (abhängig vom Präfix)? Ist das die des Routers oder die des NAS?

Es ist wohl die IPv6 vom Router die ich zurück erhalte.