DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

Alle DSM Version von DSM 6.x und älter

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Wenn du magst, schick mir mal deine externe IP (bekommt man über Google raus) und deinen DDNS-Namen. Dann kann ich das von außen abgleichen.

MfG Matthieu
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
517
Punkte für Reaktionen
6
Punkte
38
Ich habe Kopano am laufen. Da werden die eMails über Port 443 abgeholt.
Kann es daran liegen?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
kenne kopano jetzt nciht .. aber wenn du was abholst, ist der port egal, du fraegst ja nach aussen ab.
wenn kopano allerdings ein mailserver mit mxer ist .. dann bekommst du die mails geliefert.. das nehme
ich aber erst mal nicht an ..

also butter bei die fische .. hau mal deine dyndns oder syno ddns adresse per PN rueber, dann kann man
anfangen zu schauen was nun auf ist und was nicht. so ist das doch weiter stochern im nebel.
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
517
Punkte für Reaktionen
6
Punkte
38
Vielen Dank. Ich bin nur grad nich daheim. Wird leider Anfang der Woche werden. Da bin ich wieder zu Hause und kann das dann per PN schicken.

Kopano --->> ist ein Exchange Ersatz der auch hier im Forum sehr stark diskutiert wird.
 
Zuletzt bearbeitet:

Handfest

Benutzer
Mitglied seit
14. Apr 2010
Beiträge
42
Punkte für Reaktionen
3
Punkte
8
Firewall deaktivieren bzw Regeln anpassen. Dann sollte der Abruf klappen.
Tut er bei mir, wenn ich "Hand anlege".

Gibt es ein Regelwerk um LetsEncrypt-Server exklusiv durch die Firewall zu lassen (feste IPs, ...)?
Ich habe den Zugriff aus USA und anderen Ländern in der Firewall gesperrt.
Oder eine automatische Vorgehensweise wenn ich die Firewall nicht von Hand kurz für die Zertifikatserneuerung stoppen möchte?

Oder muss ich damit leben dass man das nicht mit Bordmitteln von DSM automatisch im Hintergrund ablaufen lassen kann?

Danke für deine Zeit
Gruß Handfest
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Nein, gibt es nicht. Siehe z.b. Hier https://community.letsencrypt.org/t/whitelisting-le-ip-addresses-ranges-in-firewall/45190/2

Alternative ist mit DynDNS von synology.me zu arbeiten, oder die selbst einen le Client (Bsp acme.sh) auf die DS zu holen. Mit denen wird / kannst du dns-01 als Validierungsmethode verwenden (im letzteren Fall muss das dein dynDNS Anbieter, oder ein Alias Hoster unterstützten, dass du dort via API die DNS TXT Einträge ändern kannst).
Dass braucht dann keine offenen Ports mehr, da die Validierung über das DNS läuft und nicht über den Webserver selbst.
 
  • Like
Reaktionen: Handfest

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.503
Punkte für Reaktionen
1.660
Punkte
274
Kenne keinen Automatismus, ausser Port 443 auflassen und zur DS durchreichen und in der Firewall zulassen. So läuft das bei mir seit Jahren ohne Probleme und voll automatisch.
 
  • Like
Reaktionen: Handfest

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
517
Punkte für Reaktionen
6
Punkte
38
Hallo, ich möchte das Thema noch einmal aufgreifen:
Ich habe heute nochmal einen Angriff gestartet.
An einem Telekom Anschluss kann ich ein Zertifikat erfolgreich erstellen.
Gleiches an meinem Anschluss geht weiterhin.
Kurze Frage: Wie kann ich denn prüfen ob es an meinem Anschluss liegt?
Hat mein Provider die Ports 80 und/oder 443 gesperrt oder eingeschränkt?
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
517
Punkte für Reaktionen
6
Punkte
38
Update: Es muss natürlich heißen: Gleiches an meinem Anschluss geht weiterhin NICHT.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Landet der Aufruf von meine.example.com für die du das Zertifikat haben willst im Browser von extern aufgerufen auf deiner DS?
Wenn nicht, wie ist der Fehler?

Worin besteht der Unterschied zwischen Telekom und "deinem" Anschluß?
Dual Stack vs Dual Stack Lite?
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
517
Punkte für Reaktionen
6
Punkte
38
Wenn ich beispiel.dyndns.com eingebe dann kommt:

Hmmm...diese Seite ist leider nicht erreichbar​

Die Antwort von beispiel.dyndns.com hat zu lange gedauert

  • Bing nach beispiel.dyndns.com durchsuchen
ERR_CONNECTION_TIMED_OUT
_________________________________________________________________________________________________________________________

An dem Telekom Anschluss erscheint dann:

400 Bad Request​

The plain HTTP request was sent to HTTPS port

nginx/1.14.2
___________________________________________________________________________________________________________________________
Das mit dem Dual Stack und Dual Stack lite bin grad am googlen weil ich dennUnterschied nicht kenne.
Wenn ich in der FritzBox die IP6 Unterstützung aktiviere bekomme ich keine IP6 IP-Adresse.
Erst wenn ich
IPv6-Anbindung mit Tunnelprotokoll verwenden
aktiviere bekomme ich eine IP6- IP-Adresse.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
AM Telekom Anschluß fehlt nur ein https vorne an der Adresse. Dann kommt vermutlich die Dummy Seite der Web Station.
Beim anderen ein Timeout, also gar nicht erreichbar, hängt also irgendwo in einer Firewall/Portweiterleitung/Anschluß zwischen Client und DS.

Auf welchen Anschluß beziehen sich die ganzen Aussagen im unteren Teil?

Wenn du keine IPv6 bekommst ist es wohl noch ein IPv4 Only Anschluß (öffentlich), also weder Dual Stack (ipv4/ipv6 öffentlich) noch Dual Stack Lite (ipv4 privat / ipv6 öffentlich). Für die ungefragte externe Erreichbarkeit braucht es eine öffentlich ansprechbare IP.

Sind das zwei verschieden DS? An zwei verschiedenen Standorten?
Oder diesselbe DS und du hast zwei Internetanschlüsse bei dir?
Und WO bei welchem Anbieter ist nun DER Anschluß der nicht bei der Telekom ist?
 

adahmen

Benutzer
Mitglied seit
12. Okt 2009
Beiträge
561
Punkte für Reaktionen
11
Punkte
38
Hi, es reicht Port 443 , 80 wird nicht benötigt

Wie genau geht das?
Ich habe bei meiner Synology nur Port 443 offen. Eine Aktualisierung (sowohl über DSM als auch über Kommando-Zeile) schlägt aber fehl.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Es kommt auf die Validierungsmethode an. Bei den meisten also ob sie synology.me oder eigene Domains verwenden und ob das Zertifikat komplett neu ausgestellt oder erneuert wird.
Die Methoden sind http-01 oder dns-01. Es kommt immer die Methode zum Einsatz die bei der Erstausstellung vom System gewählt. Deshalb hilft / ändert es teilweise etwas wenn man die Zertifikate löscht und neu beantragt.

Für synology.me kommt aktuell dns-01 zum Einsatz. Validierung also über das DNS System bei Synology. Dafür muss überhaupt kein Port offen sein. Hier werden auch Wildcard Zertifikate unterstützt.

Bei eigenen Domains oder anderen dynDNS kommt normal http-01 zum Einsatz und Port 80 muss mindestens für die Initiale Erstellung offen sein. Wieso es bei manchen dann mit der Erneuerung nur über 443 klappt und bei manchen nicht hab ich noch nicht durchschaut.
Hier könnte die Konsolenausgabe -vv helfen, wenn man die mal vergleicht bekommt.

Für andere dynDNS und eigene Domains mit wildcard muss man aktuell ebenfalls immer auf die Konsole und dns-01 benutzen. Bsp acme.sh Client mit einem Anbieter für den es direkt ein DNS-API Plugins gibt, oder unter der Verwendung von challenge oder Domain alias (Validierung beim API unterstützten Anbieter für eine Domain die bei einem anderen Anbieter liegt (DNS Verwaltung)).
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
517
Punkte für Reaktionen
6
Punkte
38
@Fusion: Es ist die gleiche DS gewesen eben nur an unterschiedlichen Standorten:
Der andere Anschluss der nicht geht ist bei EifelNet. Ist kein Bundesweiter Anbieter. Der untere Teil bezog sich auch auf den Anbieter EifelNet.
Wie beschrieben: Telekom Anschluss Ports 80 und 443 frei gegeben für die DS und es kam nach ein paar Sekunden ein gültiges Zertifikat.
Anschluss EifelNet: Ebenfalls die Ports freigegeben... Zertifikatserstellung läuft in einen Fehler.
Ich weiß natürlich auch nicht ob das am Provider EifelNet liegt.
Mehr als die Ports freigeben kann ich doch nicht machen...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
OK, finde ich jetzt auf die schnelle nicht wie eifelnet ihre Anschlüsse betreibt. Also vielleicht mal anrufen und nachfragen, ob ipv4, dual Stack oder dual Stack light zum Einsatz kommt oder gar komplettes carrier grade NAT.

Oder selbst herausfinden, wenn man mal die Infos aus der Fritzbox aus der Übersicht, Internet Online Monitor und Ergebnisse von wieistmeineip vom diesem Anschluss aus zusammenwirft und analysiert.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.503
Punkte für Reaktionen
1.660
Punkte
274
100.64.0.0-100.127.255.255 ist CGN
Wenn das als öffentliche IP in der FB steht ist der Zugriff von außerhalb mit ipv4 nur über Relay Dienste möglich.
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
517
Punkte für Reaktionen
6
Punkte
38
5.10.x.x ist die IP-Adresse die mir in der FritzBox angezeigt wird.
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
ok, die gehört zu EifelNet. Wenn die auch angezeigt wird, wenn man aus diesem Netz heraus wieistmeineip.de aufruft, dann ist sie auch öffentlich.
Dann kann es eigentlich nur noch an Portweiterleitung und Firewall in Fritzbox und DS liegen
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat