Let‘s Encrypt weist Domain als ungültig ab

s3b-DS

Benutzer
Mitglied seit
10. Jul 2014
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

die Let‘s Encrypt Thematik bezüglich den benötigten Ports 80 und 443 ist ja hinlänglich dokumentiert und wurde erst am Montag in einem Parallelthread behandelt. Trotzdem finde ich keine richtige Lösung für mein Problem - meins scheint definitiv ein anderes zu sein.

Folgendes Setup:
  • Domain beim Registrar per Nameserver auf Domainfactory umgebucht.
  • Bei Domainfactory eine Subdomain per CNAME auf meine MyFritz-Adresse geroutet. Dies nur per Nameserver-Einstellungen, nicht im Menü Subdomain.
  • In der FritzBox 7490 Portforwarding auf die beiden o. g. Ports.
  • In der Syno Firewall aus; keine Webserver o. ä. auf Port 80 (zumindest nicht, dass ich wüsste). Derzeit nutze ich dort ein selbsterstelltes Zertifikat.
Ich versuche nun, das LE Zertifikat zu erstellen. Domain = o. g. Subdomain, Alt. Domains = MyFritz-Adresse;lokale Namensauflösung;lokale IP

Die Erstellung des Let‘s Encrypt Zertifikates endet mit der Fehlermeldung „Verbindung zu Let‘s Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist“.

Hier sei vermerkt, dass es sich um eine .io TLD handelt.

Wo liegt mein Denkfehler?

Muss ich der Syno noch irgendwo sagen, dass sie auf dem Port horchen soll? Meine Links z. B. aus der Photostation und Filestation (mit eigenem Port) funktionieren einwandfrei.

Interessanterweise meldet sich die FritzBox beim Aufruf der o. g. Subdomain im Webbrowser (Port 80) im WLAN und weist mich auf den LoopBack-Filter hin. Füge ich die Subdomain dort hinzu, erscheint bei Aufruf der Adminlogin der FritzBox und nichts vom NAS.

Bei Zugriff über das Handy wird offensichtlich zwei, dreimal umgeleitet und dann auf meinen individuell vergebenen DSM HTTP Port verwiesen. Die Seite bleibt aber weiß. Ich weiß, nicht welche Konfiguration dafür sorgen könnte.

Interessant auch, dass ich‘s vor Jahren - direkt auf die MyFritz-Adresse - schonmal hinbekommen hatte. Das funktioniert nun aber auch nicht mehr?!
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Interessantes raetsel .. deine frotzbix ist doch subdomain.myfritz.tld.
was ausser „i bims“ soll sie denn sagen, wenn einer ihren namen ruft?

in der ds kann man ja angeben, welchen namen sie haben soll, also auch
einen, der subdomain.domain.io lautet ..

Ich nutze als ddns den der nas .. die frotz bixn kommt also nicht in die
Verlegenheit sich angesprochen zu fuehlen.
 

s3b-DS

Benutzer
Mitglied seit
10. Jul 2014
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
In der Tat hast du natürlich Recht. Du meinst den Host-Eintrag unter Systemsteuerung>Externer Zugriff>Erweitert, oder? Ich glaube beim zweiten Durchlesen allerdings, dass ich da ein Thema gestriffen habe, dass mir beim Generieren des LE Zertifikats gar nicht helfen würde, oder?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Schmeiss mal den my froitz kram raus .. temporaer.
dann einen ddns von der ds erstellen und als cname eintragen.
Dann port 80 von aussen auf 5000 und 443 au 5001.

nun sollte le erstellt werden und die kiste auch erreicht werden.
Wenn das soweit klappt, kann man finetuning machen und sich ansehen warum die fb bei my frotz nicht weiterleitet.
ein forward von 80 und 443 nach innen gibts doch oder?
 

Pretre

Benutzer
Mitglied seit
12. Apr 2012
Beiträge
76
Punkte für Reaktionen
8
Punkte
14
Guten Morgen zusammen,
kurze Frage, hab grad auch ein Problem mit Let´s Encrypt und Strato DynDNS...

DynDNS ist eingerichtet incl. Subdomains und CNAME-Eintrag:

dsm.domain.tld
share.domain.tld
vpn.domain.tld
www.domain.tld

2020-10-14 08_29_00-STRATO Kunden-Login - Domainverwaltung.png

Jetzt war mein Gedanke, bei der Zertfikatserstellung schon weiter zu denken und weitere Subdomains mit anzugeben (bspw. nas1.domain.tld, nas2.domain.tld, nas3.domain.tld, mail.domain.tld, webmail.domain.tld). Ist das möglich oder müssen die zwingend schon bei Strato angelegt sein?

Und zur Portfreigabe in der Fritzbox:
Port 80 auf 80
Port 443 auf 443
Port 5001 auf 5001


oder wie @Wollfuchs schreibt. Port 80 auf 5000 und Port 443 auf 5001?

Danke für Eure Hilfe, hab im Forum leider nichts gefunden.

Pretre
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ist ganz einfach... das eine ist ein CNAME, das andere ist nur eine "Umleitung", versuch es testweise einfach mal ohne die Umleitungen :)
 

Pretre

Benutzer
Mitglied seit
12. Apr 2012
Beiträge
76
Punkte für Reaktionen
8
Punkte
14
kurzes update, vielen Dank an @blurrrr

nachdem ich in der Suchfunktion auch die passenden Schlagwörter verwendete, hab ich auch passende Lösungen gefunden.

- Ports 80 auf 80, 443 auf 443, 5001 auf 5001 weitergeleitet
- die entsprechenden Subdomains bei Strato eingerichtet (jeweils CNAME auf domain.tld.)
- anschließend über Synology das LE Zertifikat erstellt (es dürfen nur die Sub-Domains eingetragen werden, welche auch bei Strato hinterlegt sind)

MfG
Pretre
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: blurrrr

s3b-DS

Benutzer
Mitglied seit
10. Jul 2014
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
ein forward von 80 und 443 nach innen gibts doch oder?
Sorry für die lange Verzögerung hierauf.

Ich habe meinen "Fehler" gefunden, wenn auch nicht konkret verstanden: Ich habe als Alternative Domains immer auch die interne Auflösung diskstation.fritz.box mit eingetragen. Ohne dies hat der Zertifikatsprozess nun ohne Probleme funktioniert.

Ich nutze den externen Zugriff ausschließlich auf Ports der Filestation, Drive und Photostation. DSM will ich nicht von außen erreichbar haben. Ich habe außerdem hier sowieso die Standardports geändert.

Im Ergebnis muss ich beim Zugriff auf DSM via die interne Domain nun eine Zertifikatsausnahme hinzufügen.

--> Aber warum ist das so? Warum kann ich als alternative Domain nicht diskstation.fritz.box angeben? Oder sollte ich hierzu ein separates Zertifikat erstellen?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
--> Aber warum ist das so? Warum kann ich als alternative Domain nicht diskstation.fritz.box angeben? Oder sollte ich hierzu ein separates Zertifikat erstellen?

weil *fritz.box weder eine "echte Domain" ist, noch Du berechtigt bist fuer diese Domain (wenn es eine waere) Aenderungen anzufordern.

wenn Deine bei Firma xy gekaufte Domain sagen wir mal .. s3b.de heisst und ich fange an bei mir Zertifikate auszustellen fuer
fon.s3b.de und fax.s3b.de und pr0n.s3b.de .. routet dann irgendjemand dahin? Eben.

Damit geroutet wird, muss ich auch authorisiert sein, die Zone zu administrieren, dass ist das, was Du mit "trage cname fuer nas.s3b.de ein und zeige auf s3b.synology.me. Durch dieses umlenken per CNAME wird bei der Pruefung der Gueltigkeit der Anforderung geprueft ob der anfordernde
Server in der Lage ist und berechtigt ist, dieses Zertifikat zu nutzen.

Fuer das interne Geroedel kannst Du ein eigenes lokales basteln (aber eben so sinnvoll wie ein selbstgemalter Ausweis) oder damit leben,
dass Intern (LAN) und extern (WAN) eben 2 Welten sind.
 

s3b-DS

Benutzer
Mitglied seit
10. Jul 2014
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
Danke dir! Ich probiere es mal mit einem eigenen Zertifikat von innen heraus.
 

Semenchkare

Benutzer
Mitglied seit
15. Dez 2015
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich verzweifle bald. Ich habe schon seit 2020 ein Zertifikat, dass ich immer wieder verlängere. Bis jetzt.
Vor wenigen Tagen bekam ich von Let's encrypt wieder die Meldung, dass das Zertifikat abläuft.
Wie gewohnt wollte ich dann eine manuelle Zertifikatsverlängerung starten.
Nach einiger Zeit kommt dann die Meldung (Auf der DS 220+) - Domain ungültig. Stellen Sie sicher, dass die Domain in eine öffentliche IP-Adresse aufgelöst werden kann.

Kurze Daten:
DS220, Firewall aus, Feste IP-Adresse IPV4 intern
Router 7590AX Port 443 und 80 durchgeschaltet auf DS220+ (sowohl IPV4 als auch IPV6). Auch freigeschaltet: Port 500x ebenfalls IPV4+IPV6
DNS von twodns.de

Ping auf domain xxx.dd-dns.de gibt die aktuelle öffentliche IP, also OK.

NSLookup:

------------------------------------------
C:\Users\xxx>nslookup xxx.dd-dns.de
Server: fritz.box
Address: fd00::xxxx:xxxx:fe48:d1c7

Nicht autorisierende Antwort:
Name: xxx.dd-dns.de
Address: 79.xxx.xxx.5
-----------------------------------------

Änderungen habe ich an der Konfig weder beim Fritz Router noch bei der DS 220+ vorgenommen. Lediglich das Update der DSM aufgespielt.

7.1.1-42962 Update 2

Hat noch jemand einen Rat?

Viele Grüße

Seme

Nachtrag: Ich konnte mit synology Quickconnect mit der Adresse xxx.direct.quickconnect.to ein weiteres Zertifikat anlegen. Also kann es doch eigentlich nicht an den Routereinstellungen liegen, sondern eher am DNS-Anbieter twodns?

 
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Für die Freigabe benötigst du nur Port 80 und 443.
Hast du schon einmal probiert IPv6 im Router zu deaktivieren?
Zertifikat zurückgesetzt (synology.com) und LE neu erstellt?
 
Zuletzt bearbeitet:

Semenchkare

Benutzer
Mitglied seit
15. Dez 2015
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
Frage:
Du meinst, die Portfreigaben nach IPv4 deaktiviert? das hätte ich.
Aber ganz IPv4 hatte ich noch nicht, stelle ich im Netzwerk auch etwas kompliziert vor...
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Sorry mein Fehler - meinte natürlich einmal IPv6 in den Routerinstellungen/internet deaktivieren und nur die Freibage 80/433 für IPv4 lassen.
 

Semenchkare

Benutzer
Mitglied seit
15. Dez 2015
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
heute habe ich IPv6 deaktiviert und den Router neu gestartet. Es hat nicht geholfen.

Nachtrag: Ich konnte mit synology Quickconnect mit der Adresse xxx.direct.quickconnect.to ein weiteres Zertifikat anlegen. Also kann es doch eigentlich nicht an den Routereinstellungen liegen, sondern eher am DNS-Anbieter twodns?

Es sieht so aus, twodns hat ein problem, siehe hier: Link

 
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Hast du einfach einen anderen kostenlosen DxnDNS Anbieter ausprobiert nicht das ein Fehler vorliegt.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat