Lets Encrypt Zertifikat erstellen

[Ben2013]

Hallo,

bisher sind auf dem NAS 4 Lets Encrypt Zertifikate erfolgreich erstellt worden. Die nächste Aktualisierung steht erst im Juli an.

Nun sollte noch ein neues Lets Encrypt Zertifikat dazu kommen. Nach der Eingabe deder Angaben wird die Überprüfung der Daten durchgeführt... Nach eine Ewigkeit wird folgende Fehlermeldung angezeigt:

"LetsEncrypt kann diesen Domainnamen nicht überprüfen. Stellen Sie sicher, dass auf Ihrem Synology NAS und Router Port 80 für die Internet-Domainüberprüfung durch Lets Encrypt geöffnet ist. Jegliche sonstige Kommunikation mit Lets Encrypt läuft zum Schutz Ihres Synology NAS über HTTPS."

Im Router sind Port 80 und 443 auf die NAS weitergeleitet.

Gibt es irgendwo im NAS eine LOG-Datei mit weiteren Details zum Hergang des Fehlers?

Habe die Befürchtug, dass auch die nächste automatische Aktualisierung der Lets Encrypt Zertifikate fehl schlagen wird.

Hat jemand einen Tip?

Nachtrag:

In der Datei /var/log/messages wird eine Fehlermeldung protokolliert:

2023-05-21T08:51:12+02:00 Diskstation1621 syno-letsencrypt[12340]: client_v2-base.cpp:603 Failed to do new authorization, may retry with another type. [{"error":101,"file":"client_v2-base.cpp","msg":"217.195.149.46: Fetching http://test.domain.de/.well-known/acme-challenge/7OzUMQVqq0MjEjZ0bEzItroXEpwlfbqVdD1vXv2GcWo: Timeout during connect (likely firewall problem)"}

Die Anfrage läuft auf ein Timeout. Muss dafür erst ein WebServer installiert werden, der auf die neue Test-Domain reagiert?

 

[plang.pl]

Punkt 1: DS-Firewall aktiv?
Punkt 2: Der Domainname muss auf deinen Router (IPv4) oder dein NAS (IPv6) zeigen.
Falls das Zertifikat für eine *.synology.me Domain gebraucht wird, brauchst du gar keine Portweiterleitungen machen

 

[Ben2013]

Hallo,

die DS-Firewall ist nicht aktiv.

Der Domainname zeigt schon auf das NAS. Via Reverse Proxy wird auf den eigentlichen Webserver im LAN verwiesen.

Es handelt sich nicht um eine *.synology.me Domain.

 

[plang.pl]

Mach mal testweise den Reverse Proxy Eintrag aus

 

[Ben2013]

Wenn Du mir mitteilen kannst, wie man den ReverseProxy deaktivieren kann, würde ich es gerne machen. Oder muss man dafür alle Einträge entfernen?

 

[plang.pl]

Grundsätzlich musst du die Einträge löschen. Wenn du aber mit Subdomains arbeitest, dürfte es eigentlich kein Problem geben

 

[Ben2013]

Auch nach dem Entfernen aller Reverse Proxy Einträge tritt der gleiche Fehler auf:
Der Domainname konnte nicht überprüft werden ...
client_v2-base.cpp:603 Failed to do new authorization, may retry with another type. [{"error":101,"file":"client_v2-base.cpp","msg":"000.000.000.000: Fetching http://test.domain.de/.well-known/acme-challenge/ucyWL93KTUUkg-Fee6l65qoYFn4JHqJFM_ljEgXuYlo: Timeout during connect (likely firewall problem)"}

Allerdings ist im Messages-Protokoll eine weiterer Eintrag:
syno-letsencrypt[4787]: client_v2-disk.cpp:117 Failed to open port

Welcher Port kann gemeint worden sein?

 

[plang.pl]

Du versuchst das Zertifikat aber schon über die Systemsteuerung zu erstellen, oder?
Der DDNS löst auch tatsächlich korrekt auf? DS-Lite ist nicht im Spiel?

 

[Ben2013]

Ja, das Zertifikat wird über den Assistent in der Systemsteuerung erstellt:


Die Domain wird beim Zugriff über http://test.domain.de korrekt aufgelöst. Es wird auch die richtige Webseite angezeigt.

 

[plang.pl]

Hm. Das habe ich so noch nicht gehört. Wie gesagt, bei mir klappt das ganze auch ohne Portweiterleitungen. Das klingt nach einem Ticket bei Synology

Failed to open port

Wenn er es über http versucht, ist wohl Port 80 gemeint.

 

[Ben2013]

Ticket bei Synology

Habe ich schon lange nicht mehr gemacht und wieder vergessen, wie ein Ticket bei Synology erstellt werden kann.

 

[plang.pl]

Im DSM über das Support Center

 

[Ben2013]

Habe nun ein Support Ticket eröffnet. Die Fachleute sind schon bei der Arbeit. Mal sehen, ob die was finden.

 

[Bartl]

Habe nun ein Support Ticket eröffnet. Die Fachleute sind schon bei der Arbeit. Mal sehen, ob die was finden.

Hallo!

Gibt es auf das Ticket bereits eine Antwort? Ich habe heute festgestellt, dass ich genau das gleiche Problem habe. Zertifikate lassen sich nicht mehr erstellen. Der Zugriff via Reverse Proxy funktioniert und die (Sub) Domain löst korrekt auf…

 

[Ben2013]

Gibt es auf das Ticket bereits eine Antwort?

Bisher noch nicht. Das Ticket ist noch in Bearbeitung. Es schaut wohl so aus, als wenn mehrere Systeme von dem Problem betroffen sind.

Sobald eine Antwort auf das Problem eingegangen ist, werde ich es hier kommunizieren.

 

[Ben2013]

Das Problem wurde gefunden und konnte beseitigt werden.

Ursache:
Im Router war eine Gebietsbeschränkung aktiv, mit der Datenpakete aus einigen Ländern abgeblockt werden. Erst nach der Deaktivierung dieser Einstellung konnten auch neue LetsEncrypt Zertifikate wieder erstellt werden. Eine Aktualisierung vorhandener Zertifikate hat hingegen auch mit aktiver Gebietsbeschränkung fehlerfrei funktioniert.

Die Fehlermeldung "Failed to open port" in der Log-Datei bezieht sich auf den Zugriff aus dem Internet. Der LetsEncrypt Server muss demnach aus einem Gebiet kommen, der in der Firewall geblockt wurde.

Zusätzlich wurden auch die ICMP Datenpakete freigegeben.

Es lag also nicht an Synology, wie ich irrtümlich angenommen habe.

 

[Bartl]

Das Problem wurde gefunden und konnte beseitigt werden.

Ursache:
Im Router war eine Gebietsbeschränkung aktiv, mit der Datenpakete aus einigen Ländern abgeblockt werden. Erst nach der Deaktivierung dieser Einstellung konnten auch neue LetsEncrypt Zertifikate wieder erstellt werden. Eine Aktualisierung vorhandener Zertifikate hat hingegen auch mit aktiver Gebietsbeschränkung fehlerfrei funktioniert.

Danke für die Rückmeldung. Leider kann das mir nicht die Ursache sein, denn selbst mit ausgeschalteter Firewall geht‘s nicht.

 

[Swp2000]

Das Problem wurde gefunden und konnte beseitigt werden.

Ursache:
Im Router war eine Gebietsbeschränkung aktiv, mit der Datenpakete aus einigen Ländern abgeblockt werden. Erst nach der Deaktivierung dieser Einstellung konnten auch neue LetsEncrypt Zertifikate wieder erstellt werden. Eine Aktualisierung vorhandener Zertifikate hat hingegen auch mit aktiver Gebietsbeschränkung fehlerfrei funktioniert.

Die Fehlermeldung "Failed to open port" in der Log-Datei bezieht sich auf den Zugriff aus dem Internet. Der LetsEncrypt Server muss demnach aus einem Gebiet kommen, der in der Firewall geblockt wurde.

Zusätzlich wurden auch die ICMP Datenpakete freigegeben.

Es lag also nicht an Synology, wie ich irrtümlich angenommen habe.

Der Lets Encrypt Server steht in den USA. Hier könntest du den Rest wieder blockieren.

 

[Ben2013]

Vielen Dank für den Hinweis. Die Gebietsbeschränkung hat eh nicht so richtig funktioniert. Damit sollten an erster Stelle BruteForce-Angriffe, die überwiegend aus asiatischen Ländern gekommen sind, abgeblockt werden.

 

[Ben2013]

Danke für die Rückmeldung. Leider kann das mir nicht die Ursache sein, denn selbst mit ausgeschalteter Firewall geht‘s nicht.

Dann hilft in der Tat nur ein Ticket beim Synology Support weiter.

Alternativ kann man versuchen, einen simplen WebServer mit Port 80 zu verbinden und sehen, ob da die Anfragen überhaupt ankommen.

Der Webserver kann auch auf einem völlig anderem System testweise laufen; wenn es auch da nicht läuft, liegt die Ursache möglicherweise ausserhalb des eigenen Netzes.

Mir hat es geholfen, einen Online-Portscanner (z.B. https://dnschecker.org/port-scanner.php ) einzusetzen.