DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

Alle DSM Version von DSM 6.x und älter

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
port 80 auf 80 und 443 auf 443 und dann nochmal aktualisieren.
danach kannst du ja wieder deine 5000 und 5001 umleitung machen.
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
516
Punkte für Reaktionen
5
Punkte
38
Das mit dem aktualisieren habe ich gemacht. Sogar Neustarts von Router und Diskstation zwischen den Änderungen. Das doofe ist halt das man nach nach ein paar Versuchen wiedergesperrt wird.
Kann es auch am Internetprovider liegen? Das der vielleicht die Ports sperrt oder ähnliches?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Es liegt an dir. Du sagst, du hast port 80 auf 5000 usw.. das ist wohl arsch.

so kommst du ohne eingabe vom port on aussen auf die nas aber le kommt
eben nicht auf port 80 an, wie er es erwartet nehme ich an.

Dein provider hat kein interesse an deinen ports.

Kommt mit 80 auf 80 denn der gleiche fehler?
Und .. die nas ist wirklich von aussen erreichbar?

im zweifel .. screenshots.
 

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.069
Punkte für Reaktionen
216
Punkte
83
Hi, es reicht Port 443 , 80 wird nicht benötigt
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
516
Punkte für Reaktionen
5
Punkte
38
Ok. Und wenn Port 443 freigegeben ist was muss dann für ein Bild erscheinen wenn ich meine.domain.de:443 aufrufe?
Es muss doch dann der der Anmeldebildscirm der Diskstation erscheinen oder nicht?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
nein, der ist auf port 5001. deshalb hast Du es Dir ja so schick eingerichet, dass https://domainname.ddns.tld auf die DMS leitet.

https hat ja immer erst mal port 443 gemappt. ein http waere port 80.
wenn du der seite keinen port mitgibst ;5001 sondern ohne alles auf die Reise schickst, dann mappt nun die Frotze alles was
ohne weitere Angabe kommt, gemaess des Protokolls (https) auf den Port der in der NAT Tabelle steht. Also 443 gebe weiter
an 5001, stelle keine Fragen.

Ohne 443 auf 5001 kommt da erstmal nix. das macht aber nix .. es geht ja nur drum, dass LE beim erneuern oder erster Ausstellung
beim Aufruf der Seite pruefen kann, ob sich hinter dem Namen auch der verbirgt, der die Ausstellung verlangt hat. Das macht
der Zertifikatsdienst. Und der quatscht auf port 80 raus und wartet auf den Auth Service von LE auf Port 443 damit der bestaetigt,
dass das Zertifikat da eingesetzt werden kann (Pruefung der Kette).

Das ist eine sehr simple Darstellung des Vorgangs ... also uebe Nachsicht...
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
516
Punkte für Reaktionen
5
Punkte
38
Ok.Dann werde ich also Port 80 auf 80 Mappen und 443 auf 443 Mappen. Anschließend starte ich es erneut. Wobei ich mir ein neues selbstsigniertes Zertifikat angelegt habe damit ich überhaupt eins habe.
Ich kann also nun in aller Ruhe suchen was da los ist.
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
das selbstsignierte ist ungefaehr so nuetzlich wie ein selbstgemaltes foto im perso.

andere analogien auf anfrage. ;)
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
516
Punkte für Reaktionen
5
Punkte
38
Ich habe nun 80 auf 80 und 443 auf 443 freigegeben.

Zertifikat über den Assistenten beantragt. Nach 10 sec. kommt ein Popup mit der Meldung:

--->>Die Verbindung zu Lets encrypt konnte nicht hergestellt werden.
Achten Sie darauf das der Domainname gültig ist.<<<---

Was kommt denn bei "Betreff alternativer Name" rein?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
da muss nichts rein .. kann aber.

angenommen du hast eine dyndns adresse chats.diskstation.me, dann ist das die domain fuer die du ein LE anforderst.
hast du daneben noch ein chats.chatsdomain.tld von einer "gekauften" domain .. und der CNAME zeigt auf deine Kiste,
dann koennte die da rein.

muessen .. vor allem wenn man nur eine hat, ist hier nicht ..
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.653
Punkte
274
Firewall deaktivieren bzw Regeln anpassen. Dann sollte der Abruf klappen.
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
516
Punkte für Reaktionen
5
Punkte
38
Also ich habe einen dyndns- Namen angelegt.
Meinetwegen chats@diskstation.me Den trage ich dann ein mit meiner eMail-Adresse. Betreff alternativer Name lasse ich leer.
So geht es leider nicht.
Kann es was mit dyndns.org zu tun haben?
Kann ein Provider das sperren? Ich habe nämlich den Provider gewechselt.
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Das ist eine mailadresse kein ddns name.
leg mal eine bei synology an, kost nix und klappt bisher immer.
chats.synology.me oder so .. wobei chats evtl ned frei ist.
Damit ein LE anfertigen lassen und kein alternativer name.
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
516
Punkte für Reaktionen
5
Punkte
38
Klar, mein Fehler. Hab aus versehen das @-Zeichen dazwischen gemacht.
Ist aber beim Anfordern richtig geschrieben.
Mir Synology-DDNS will ich gerne versuchen nur ich habe zum einen einen kostenpflichtigen DYNDNS.org Account und ich möchte auch gerne meinen DYNDNS-Aliasnamen behalten. Das heißt selbst wenn Synology-DDNS gehen würde hilft mir das nicht bzw. nur bedingt.
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Ok verstehe .. passt schon. So wuerde man halt sehen obs generell wo klemmt.
Diese dyndns adresse .. wenn du die von aussen aufrufst, kommst du aber auf die ds, ja?
Also jetzt, aktuell .. ggf port 5000 und 5001 aufmachen zur nas.

nicht das wir hier schon den ersten fehler haben.
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
516
Punkte für Reaktionen
5
Punkte
38
Also wenn ich chats.synology.me:80 aufrufe passiert nichts (Seite kann nicht angezeigt werden)
Bei chats.synology.me:443 kommt:

400 Bad Request​

The plain HTTP request was sent to HTTPS port

nginx

Mache ich zusätzlich noch Port 5000 und 5001 auf dann kommt der Anmeldebikdschirm von der Diskstation.
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Ist ja ok ... so soll es sein. Bei 443 fehlt halt vorne das s in https nehm ich an.

wenn also von aussen erreichbar, muss sich auch das zertifikat erstellen lassen.
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Das war doch eingangs meine frage .. du sagst mit deiner dyndns adresse erreichst du die kiste.
ist das wirklich so und loest die ip auch auf die aktuelle ip von der fritze auf?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Entweder Weiterleitung von 443 auf 5001 noch aktiv, oder es ist keine Web Station installiert, dann biegt die Synology selbst auf 5001 um.
Will man ohne Web Station auf 443 nimmt man entweder einen Reverse Proxy unter Systemsteuerung > Anwendungsportal und leitet diesen auf den DSM um.
Oder man definiert unter Systemsteuerung > Netzwerk > DSM Einstellungen eine benutzerdefinierte Domain, dann lauscht der DSM direkt auf dieser Adresse und 443.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat