... nee, schon an der Fritz!Box abschalten. Geht unter Internet->Zugangsdaten->IPv6-> Haken bei "IPv6-Unterstützung aktiv" entfernen & "Ubernehmen".
DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern
- Ersteller TACiboy
- Erstellt am
Alle DSM Version von DSM 6.x und älter
Hallo TACiboy,
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt Zertifikat abgelaufen - wie erneuern
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt Zertifikat abgelaufen - wie erneuern
DSM kann schon mit IPv6 umgehen. Bitte schaut euch mal in der FRITZ!Box im Bereich Heimnetz die IPv6 Adresse eurer DiskStation an. Die ist anders als die IPv6 der FRITZ!Box selber. Wenn nun eine Domain (egal ob DynDNS oder mit fester IP) auf den Router (hier = FRITZ!Box) zeigt, und nicht auf die IPv6 Adresse der DiskStation / RackStation, dann kann das nicht gehen. Eine MyFRITZ!-Freigabe auf http/https kann eine Lösung sein, oder den DynDNS-Dienst von Synology nehmen und diesen z.B. als CNAME auf die gewünschte Domain zeigen lassen, für die ein Zertifikat ausgestellt werden soll.
Also bei Kabel ist der Bereich Zugangsdaten deaktiviert und ich bekomme IPV6 ob ich will oder nicht.
@iLion. Es hatte ja Ende April noch wunderbar funktioniert bei der letzten Erneuerung der Zertifikate.
Ich habe sogar geschaut ob ich IPV6 Portweiterleitung machen kann. Allerdings weigert sich die Fritzbox die Regel dafür anzunehmen mit dem Hinweis die IInterface ID gäbe es schon.
@iLion. Es hatte ja Ende April noch wunderbar funktioniert bei der letzten Erneuerung der Zertifikate.
Ich habe sogar geschaut ob ich IPV6 Portweiterleitung machen kann. Allerdings weigert sich die Fritzbox die Regel dafür anzunehmen mit dem Hinweis die IInterface ID gäbe es schon.
Ich hatte auch erst ab Mitte des Jahres Probleme, ohne an meiner Konfiguration etwas geändert zu haben. Dann viel mir ein Fehler in Bezug auf IPv6 Router ungleich DiskStation in meiner DynDNS Adresse auf. Ich vermute das Let's Encrypt jetzt eventuell IPv6 bevorzugt, falls es vorhanden ist. Das würde auch erklären, warum es direkt wieder geht, wenn man IPv6 am Router (z.B. an Dual Stack Anschlüssen) abschaltet.
Hallo Crashandy,
bist Du in dieser Sache vielleicht mittlerweile weitergekommen?
Danke!
charly166
Benutzer
- Mitglied seit
- 23. Mrz 2013
- Beiträge
- 8
- Punkte für Reaktionen
- 3
- Punkte
- 9
Hallo zusammen,
ich bin nun genau am gleich Szenario immer wieder gescheitert. Erst nach Abschalten von IPv6 hat die Zertifikats-Erneuerung/-Erstellung funktioniert. Vielen Dank für den Hinweis!!!
Viele Grüße
Charly
ich bin nun genau am gleich Szenario immer wieder gescheitert. Erst nach Abschalten von IPv6 hat die Zertifikats-Erneuerung/-Erstellung funktioniert. Vielen Dank für den Hinweis!!!
Viele Grüße
Charly
HATI
Benutzer
- Mitglied seit
- 15. Feb 2013
- Beiträge
- 161
- Punkte für Reaktionen
- 2
- Punkte
- 24
Also ich bin bald bescheuert geworden..... Nach langem warten mit offenem 80er Port, diversen versuchen per "/usr/syno/sbin/syno-letsencrypt renew-all" und der leisen Hoffnung dass sich das Zertifikat doch noch in den letzten 2-3 Tagen selbst erneuert durfte ich dann gestern ein rotes "Abgelaufen" bewundern.
Heute wollte ich dann ein neues anlegen. Es gab dann einen Fehler mit der Bitte mich neu an der DS anzumelden. Nach gefühlten 100 Versuchen mit immer wieder anderen Firewall-Einstellungen und Weiterleitungen am Router (Fritzbox 7490 mit IPv6 Off) immer der gleiche Fehler.... Ich wäre bald ausgerastet. Und das wo ich sonst ein echtes Sanftgemüht bin.
Erst mit deaktivierter DS Firewall (obwohl alles notwendige freigegeben war) und mit voller Freigabe für den NAS (Exposed Host) in der Fritzbox (wo auch alles nötige freigegeben war) hat er sich entscheiden ein neues Zertifikat zu erstellen.
Ist es denn so schwer dafür zu sorgen das sich die Zertifikate selbst erneuern?
Also ich bin erst einmal bedient. Das "tolle" ist das es in 3 Monaten wieder genau das gleiche auf mich wartet. Ich schreibs mir mal lieber auf. Wobei es doch auch nicht sein kann hier so vorgehen zu müssen.
Da macht "Sicherheit" doch "Spaß"
Heute wollte ich dann ein neues anlegen. Es gab dann einen Fehler mit der Bitte mich neu an der DS anzumelden. Nach gefühlten 100 Versuchen mit immer wieder anderen Firewall-Einstellungen und Weiterleitungen am Router (Fritzbox 7490 mit IPv6 Off) immer der gleiche Fehler.... Ich wäre bald ausgerastet. Und das wo ich sonst ein echtes Sanftgemüht bin.
Erst mit deaktivierter DS Firewall (obwohl alles notwendige freigegeben war) und mit voller Freigabe für den NAS (Exposed Host) in der Fritzbox (wo auch alles nötige freigegeben war) hat er sich entscheiden ein neues Zertifikat zu erstellen.
Ist es denn so schwer dafür zu sorgen das sich die Zertifikate selbst erneuern?
Also ich bin erst einmal bedient. Das "tolle" ist das es in 3 Monaten wieder genau das gleiche auf mich wartet. Ich schreibs mir mal lieber auf. Wobei es doch auch nicht sein kann hier so vorgehen zu müssen.
Da macht "Sicherheit" doch "Spaß"
Also ich bin bald bescheuert geworden..... Nach langem warten mit offenem 80er Port, diversen versuchen per "/usr/syno/sbin/syno-letsencrypt renew-all" und der leisen Hoffnung dass sich das Zertifikat doch noch in den letzten 2-3 Tagen selbst erneuert durfte ich dann gestern ein rotes "Abgelaufen" bewundern.
Heute wollte ich dann ein neues anlegen. Es gab dann einen Fehler mit der Bitte mich neu an der DS anzumelden. Nach gefühlten 100 Versuchen mit immer wieder anderen Firewall-Einstellungen und Weiterleitungen am Router (Fritzbox 7490 mit IPv6 Off) immer der gleiche Fehler.... Ich wäre bald ausgerastet. Und das wo ich sonst ein echtes Sanftgemüht bin.
Erst mit deaktivierter DS Firewall (obwohl alles notwendige freigegeben war) und mit voller Freigabe für den NAS (Exposed Host) in der Fritzbox (wo auch alles nötige freigegeben war) hat er sich entscheiden ein neues Zertifikat zu erstellen.
Ist es denn so schwer dafür zu sorgen das sich die Zertifikate selbst erneuern?
Also ich bin erst einmal bedient. Das "tolle" ist das es in 3 Monaten wieder genau das gleiche auf mich wartet. Ich schreibs mir mal lieber auf. Wobei es doch auch nicht sein kann hier so vorgehen zu müssen.
Da macht "Sicherheit" doch "Spaß"
Bei mir geht es immer noch nicht. Ich habe in der FB IPv6 deaktiviert, meine NAS als Exposed Host gesetzt und die Firewall in der NAS deaktiviert. Immer noch die gleiche Meldung:
HATI
Benutzer
- Mitglied seit
- 15. Feb 2013
- Beiträge
- 161
- Punkte für Reaktionen
- 2
- Punkte
- 24
Diesen Fehler hatte ich nicht. Ich habe vor dem neuen Zertifikat (nach allen Tests die nicht gefunzt haben) ein eigenes Zertifikat angelegt (als Standard) und dann das alte (abgelaufene) von Lets Encrypt gelöscht. Danach habe ich dann das eigene Zertifikat in ein Lets Encrypt umgewandelt. Geht ja alles über den Wizard. Vielleicht hilf es dir ja!?
Zudem habe ich dann endlich meine Einladung zur C2 bekommen um zu sehen das ich die Schei** nicht mal auf meinen DSs nutzen kann. Nur für neuere Geräte. Laut Synology nur Geräte mit Intel CPU. Na dann....
Zudem habe ich dann endlich meine Einladung zur C2 bekommen um zu sehen das ich die Schei** nicht mal auf meinen DSs nutzen kann. Nur für neuere Geräte. Laut Synology nur Geräte mit Intel CPU. Na dann....
Diesen Fehler hatte ich nicht. Ich habe vor dem neuen Zertifikat (nach allen Tests die nicht gefunzt haben) ein eigenes Zertifikat angelegt (als Standard) und dann das alte (abgelaufene) von Lets Encrypt gelöscht. Danach habe ich dann das eigene Zertifikat in ein Lets Encrypt umgewandelt. Geht ja alles über den Wizard. Vielleicht hilf es dir ja!?
Zudem habe ich dann endlich meine Einladung zur C2 bekommen um zu sehen das ich die Schei** nicht mal auf meinen DSs nutzen kann. Nur für neuere Geräte. Laut Synology nur Geräte mit Intel CPU. Na dann....
Danke. Also hattest Du diese Fehlermeldung nie? Vielleicht ist es bei mir ja noch irgendetwas anderes...
Ich habe eine DS716+, eine FB 7580 und eine Domain über do.de (FlexDNS über die FB).
HATI
Benutzer
- Mitglied seit
- 15. Feb 2013
- Beiträge
- 161
- Punkte für Reaktionen
- 2
- Punkte
- 24
Ne die hatte ich nie. Ich hatte immer nur dass er mir die Keys zum Download angeboten hatte als ich verlängern wollte aber er eben nicht verlängert hat. Nach Ablauf hab ich einen Fehler bekommen a la "Der Vorgang konnte nicht ausgeführt werden. Melden sie sich neu an der DS an und versuchen sie es erneut." Sowas in die Richtung. Egal ob ich das alte nach Ablauf erneuern wollte oder ein neues anlegen wollte.
Hast du denn überhaupt schon mal eins von Lets Encrypt gehabt? Deine Fehlermeldung sagt ja wenigstens was aus. Domainname wirste ja sicherlich schon mehrfach gecheckt haben wa!?
Ich hab ne DynDNS über ne eigene Domain bei OVH und in der FB nix diesbezüglich konfiguriert. Eben nur in der DS.
Hast du denn überhaupt schon mal eins von Lets Encrypt gehabt? Deine Fehlermeldung sagt ja wenigstens was aus. Domainname wirste ja sicherlich schon mehrfach gecheckt haben wa!?
Ich hab ne DynDNS über ne eigene Domain bei OVH und in der FB nix diesbezüglich konfiguriert. Eben nur in der DS.
Ja, bis Anfang Juli lief es auch mit der automatischen Verlängerung seit Beginn von Synology mit der LE-Option problemlos. Aber seit dieser Zeit oder kurz davor haben ja diverse Leute Probleme mit dem LE Zertifikat...
HATI
Benutzer
- Mitglied seit
- 15. Feb 2013
- Beiträge
- 161
- Punkte für Reaktionen
- 2
- Punkte
- 24
Ah OK. Na dann bin ich ja direkt in die Schei** eingestiegen . Waren meine ersten 3 Monate mit LE. Und dann gleich zu meiner Freude so ein *****.
Ich dachte immer das läuft so sauber und easy wie bei meinem Plesk Server wo ich diverse Websites mir LE gesichert habe. Da werden alle Zertifikate ohne Probleme automatisch verlängert.
Da dachte ich mir na das kann Synology doch auch. Tja, wohl nicht.
. Waren meine ersten 3 Monate mit LE. Und dann gleich zu meiner Freude so ein *****. Ich dachte immer das läuft so sauber und easy wie bei meinem Plesk Server wo ich diverse Websites mir LE gesichert habe. Da werden alle Zertifikate ohne Probleme automatisch verlängert.
Da dachte ich mir na das kann Synology doch auch. Tja, wohl nicht.
Mal was für Zwischendurch:
Stand jetzt ebenfalls vor dem Problem mit der Erneuerung. Nur den Port 80 einfach so aufmachen schmeckte mir halt auch nicht.
Darum hab ich das Script zur automatischen Erneuerung mal ablaufen lassen und bei meiner Firewall nachgesehen von welcher IP die Anfrage an Port 80 überhaupt kommt und genau nur diese IP habe ich als Quelle dann für den 80er Port auf das Ziel meiner Synology IP zugelassen. Das schränkt somit die Sache doch um einiges ein und macht hier kein Scheunentor.
Hab anschließend das Script nochmal ablaufen lassen und es hat wunderbar funktioniert.
So, und jetzt spanne ich euch nicht mehr länger auf die Folterbank. Die Quell IP ist 66.133.109.36
...
Ein Paranoider wie ich fragt sich aber trotz alledem;
Wie sicher ist LE mit seinen Zertifikaten denn nun wirklich wenn der Server laut Whois in den USA steht?
Stand jetzt ebenfalls vor dem Problem mit der Erneuerung. Nur den Port 80 einfach so aufmachen schmeckte mir halt auch nicht.
Darum hab ich das Script zur automatischen Erneuerung mal ablaufen lassen und bei meiner Firewall nachgesehen von welcher IP die Anfrage an Port 80 überhaupt kommt und genau nur diese IP habe ich als Quelle dann für den 80er Port auf das Ziel meiner Synology IP zugelassen. Das schränkt somit die Sache doch um einiges ein und macht hier kein Scheunentor.
Hab anschließend das Script nochmal ablaufen lassen und es hat wunderbar funktioniert.
So, und jetzt spanne ich euch nicht mehr länger auf die Folterbank. Die Quell IP ist 66.133.109.36
...
Ein Paranoider wie ich fragt sich aber trotz alledem;
Wie sicher ist LE mit seinen Zertifikaten denn nun wirklich wenn der Server laut Whois in den USA steht?
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.069
- Punkte für Reaktionen
- 552
- Punkte
- 194
Vergiss es. Die Quell-IP ändert sich laut LE und es wird dringend empfohlen diese nicht in der Firewall frei zu schalten!
Ausserdem, wo ist das Problem für den kurzen Erneuerungsvorgang in der Firewall 80 freizuschalten und dann wieder zu schliessen?
Zuletzt bearbeitet:
Das wäre ja dann wohl zu einfach gewesen.
Das Problem ist, dass ich es eigentlich vermeiden wollte alle 3 Monate den LE Sklaven zu spielen.
..
Nebenbei gesagt die Textkraft Pro APP bei Web DAV den vollen Aufstand macht und keine Verbindung herstellt weil das LE- sowie auch das Synology Zertifikat als ungültig angesehen werden. Hab gedacht mit der Erneuerung löst sich dieses Problem, aber Pfeiffendeckel. Was solls. Andere Baustelle neue Überraschung.
Das Problem ist, dass ich es eigentlich vermeiden wollte alle 3 Monate den LE Sklaven zu spielen.
..
Nebenbei gesagt die Textkraft Pro APP bei Web DAV den vollen Aufstand macht und keine Verbindung herstellt weil das LE- sowie auch das Synology Zertifikat als ungültig angesehen werden. Hab gedacht mit der Erneuerung löst sich dieses Problem, aber Pfeiffendeckel. Was solls. Andere Baustelle neue Überraschung.
Leider nicht ein Stück.
Vermutung:
Es ist aktuell bei do.de einfach nicht möglich, FlexDNS auschließlich nur mit einer subdomain zu nutzen.
Daher wird eben die Hauptdomain für FlexDNS verwendet und es kann damit einfach kein Zertifikat erstellt werden.
Wenn man nun einen anderen Anbieter für DDNS wählt z.B. selfhost.eu und bei do.de diese Adresse als CNAME in der Hauptdomain hinterlegt, dann funktioniert auch wieder das Let's Encrypt-Zertifikat.
Die genauen Zusammenhänge kann ich allerdings nicht nachvollziehen.
Eventuell hat hier im Forum Jemand eine Erklärung dafür.
Ich hatte auch das Problem, dass Port 80 nicht geöffnet werden konnte. Ein paar Seiten vorher gab es einen Tipp, dass man die IPv6 Records beim DynDNS Service löschen soll. Genau das hat bei mir funktioniert. Es hat danach sofort wieder funktioniert.
Viel Glück.
Viel Glück.
Ein wirklich genialer Lösungsansatz, nur wo genau in diesem Thread hast Du diesen Tipp gefunden?
Ich habe mir diesen Thread noch einmal vollständig reingezogen und kann es nicht finden.
Nun habe ich bei do.de die IPv6 Records (AAAA) gelöscht und habe sofort ein neues Zertifikat bekommen.
Recht vielen Dank für den sehr hilfreichen Hinweis!
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
