Lets Encrypt Zertifikat wird nicht mehr erneuert (& schlägt fehl)

[Whoisfoxmulder]

Hallo Zusammen

Habe ein Problem. Habe eine DS218+ (DSM7) im Einsatz mit Docker, DynDNS, Lets Encrypt Zertifikaten und pro Docker Dienst eine Subdomain. Zudem habe ich für die Hauptdomain ebenfalls ein Zertifikat als Standard hinterlegt. Nun sind meine Dienste (wieder einmal?) nicht von aussen über die Subdomain erreichbar. Allenfalls liegts am Zertifikat - denn es aktualisiert mir das Zertifikat der Domains nicht mehr (weder automatisch mit Watchtower noch manuell).

Wenn ich manuell aktualisieren will, erhalte ich neuerdings eine Meldung. Der Vorgang schlägt fehl.
Weder am Router noch an der DS habe ich eine Konfigurationsänderung vorgenommen.
Wenn ich am Router die Portweiterleitung des Ports 80 einrichte passiert ebenfalls nichts.

DS Firewall ist deaktiviert.
DynDNS Aktualisierung funktioniert einwandfrei.

Habt ihr eine Idee?

Vielen Dank im Voraus und liebe Grüsse

Meldung vor der Aktualisierung


Fehlermeldung nach Versuch zu aktualisieren







Portweiterleitung auf Router

 

[Whoisfoxmulder]

Ich bin mir nicht sicher, aber meine Dienste sind wieder erreichbar, das Zertifikat wurde nicht erneuert. Wahrscheinlich hat A) nichts mit B) zu tun gehabt...lass mal die Ports auf dem Router so offen 80:49201 und 443:49201 und versuche in 1h nochmals das Zertifikat zu erneuern...habe die maximale Anzahl nämlich bereits überschritten

 

[Adama]

Vielleicht hat das hier mit zu tun:
https://www.heise.de/news/Let-s-Encrypt-Zertifikate-Ruckler-am-30-September-moeglich-6201155.html

 

[jus7incase]

Ja das abgelaufene zertifikat muss was damit zu tun haben.
Ich habe dasselbe Problem: wenn ich ein bald ablaufendes Zertifikat erneuern will erhalte ich:
No response from the destination server. Please try again later.

Im Wireshark kann ich sehen dass der Lets Encryp server die Verbindung beendet, die die DSM aufgebaut hat.
Ports 80 und 443 sind von aussen erreichbar, daran liegt es nicht.

Hat jemand schon einen Workaround gefunden?

 

[Whoisfoxmulder]

Ja das abgelaufene zertifikat muss was damit zu tun haben.
Ich habe dasselbe Problem: wenn ich ein bald ablaufendes Zertifikat erneuern will erhalte ich:
No response from the destination server. Please try again later.

Im Wireshark kann ich sehen dass der Lets Encryp server die Verbindung beendet, die die DSM aufgebaut hat.
Ports 80 und 443 sind von aussen erreichbar, daran liegt es nicht.

Hat jemand schon einen Workaround gefunden?

Uff nun geht es wieder nicht mehr. Also muss definitv irgendwas faul sein. Erhalte beim Aufrufen einer Subdomain einen Fehler.

Bei den Subdomains scheinen die Zertifikate in Ordnung zu sein, aber die URLs funktionieren trotzdem nicht mehr.

 

[jus7incase]

Die Maschine hat bei mir DSM 6.2.3 - kann natürlich sein, dass die nur das alte LE R3 Zertifikat kennt.
Weiß jemand ab welcher DSM Version/Update das neue jetzt nur noch gültige R3 Zertifikat vorliegt?

 

[Adama]

Da mein Zertifikat auf der Syno noch nicht dran ist, hab' ich mal geschaut, wie der CertBot sich auf meinem Nginx Reverse Proxy verhält.

Der Dry-Run hat da problemlos funktioniert, also könnte Deine Vermutung durchaus richtig sein.

Wenn Du z.b. einen Raspi hast, könntest du mit acme.sh ein neues Zertifikat manuell ziehen. Aber aufpassen, die Standardeinstellung für das Skript ist nicht mehr Let's Encrypt sondern ZeroSSL.com. Also vorher auf Let's Encrypt ändern. Das Zertifikat kannst du dann importieren, da wäre dann auch ein Intermediate mit dabei.

 

[Whoisfoxmulder]

Danke für den Tipp. Hab leider kein Raspi ?

 

[Adama]

Es gäbe noch die Möglichkeit, das im Docker zu machen:
https://registry.hub.docker.com/r/neilpang/acme.sh/

 

[Whoisfoxmulder]

Danke für den Input - ich frage mich allerdings, weshalb das Zertifikat nicht erneuert werden kann. Konnte es zwischenzeitlich löschen aber auch hier wird bei dem Versuch ein neues zu erstellen eine Fehlermeldung bezüglich Port 80 abgeworfen.

• Firewall auf DS ist deaktiviert.
• Port am Router wurde versuchsweise geöffnet (bis anhin funktionierte es auch ohne diese Öffnung).

Trotzdem will es nicht klappen

 

[jus7incase]

Es liegt an 6.2.3, das kennt das neue LE R3 Zertifikat noch nicht und kann daher keine Verbindung zu dem Server aufbauen.
Ich habe mit einer anderen Syno auf 6.2.4 ein neues Zertifikat machen können und das alte ersetzt. Renew geht nicht, weil eben ein intermediate cert abgelaufen ist.

 

[jus7incase]

Danke für den Input - ich frage mich allerdings, weshalb das Zertifikat nicht erneuert werden kann. Konnte es zwischenzeitlich löschen aber auch hier wird bei dem Versuch ein neues zu erstellen eine Fehlermeldung bezüglich Port 80 abgeworfen.

• Firewall auf DS ist deaktiviert.
• Port am Router wurde versuchsweise geöffnet (bis anhin funktionierte es auch ohne diese Öffnung).

Trotzdem will es nicht klappen

Anhang anzeigen 65463

Port 443 muss auch erreichbar sein auf der DS

Falls Du Web Station laufen hast musst Du das stoppen bevor Du das Zertifikat erzeugen lässt und kannst es danach wieder starten,
bzw die ports 80 und 443 dürfen eben nicht gebunden sein durch irgendwas, damit das LE Zeug durchlaufen kann.

 

[Whoisfoxmulder]

Port 443 muss auch erreichbar sein auf der DS

Falls Du Web Station laufen hast musst Du das stoppen bevor Du das Zertifikat erzeugen lässt und kannst es danach wieder starten,
bzw die ports 80 und 443 dürfen eben nicht gebunden sein durch irgendwas, damit das LE Zeug durchlaufen kann.

Danke Dir. Also Port 80 und 443 sind offen auf dem Router.
Auf dem NAS ist die FW deaktiviert. Muss ich die öffnen und dann die Ports freigeben? Weil grundsätzlich wäre ja keine FW = keine Einschränkung (für mein Verständnis).

Web Station habe ich nicht installiert.

 

[jus7incase]

wen denn FW aus ist brauchst du keine ports öffnen.

dein Router muss aber port 80 weiterleiten zur DS port 80. Ebenso für 443.

 

[Whoisfoxmulder]

wen denn FW aus ist brauchst du keine ports öffnen.

dein Router muss aber port 80 weiterleiten zur DS port 80. Ebenso für 443.

Also ist meine Router Portweiterleitung falsch? Müsste demnach dort 80 zu 80 und nicht 80 zu 49200 sein?


Habe auf der DS hier die Ports so eingetragen:


und hier:

 

[stulpinger]

Ist schon korrekt

80-80 auf 49200-49200
443-443 auf 49201-49201

Das "-" ist etwas irritierend, weil Du auch Portbereiche angeben kannst

Die Firewall "sollte" eigentlich nicht eingreifen, wenn nicht aktiviert

 

[jus7incase]

nein DSM meint hier das UI der DS. Da brauchst du nix ändern.

port 80 und 443 dürfen auf der DS nicht belegt sein durch irgendeinen Dienst und dein ROUTER muss 80 und 443 zur DS 80 und 443 weiterleiten.

Mir scheint Du hast noch nicht so sehr viel wissen über Netzwerke - ich kann Dir leider keine rundum Beratung zu den Basics bieten.
Was bisher gesagt wurde sollte aber ausreichen um das hinzubekommen, wenn man de Basics kennt - und wenn die unklar sind, sind das keine Fragen zum eigentlichen Thema des Threads. Ggf magst Du dann allgemeinere Threads suchen, oder es im IRC, Matrix, ggf. Discord versuchen. Es gibt auch manchmal hilfreiche Hifeseiten im DSM.

Was Du tun könntest ist: mit tcpdump auf der DS nachsehen, ob Pakete von aussen ankommen. Für sowas gibt es externe Dienste wie IPvoid. Das wäre mein nächster Schritt, ich fürchte aber Worte wie tcpdump werfen neue Fragen auf.

Sorry, nicht böse gemeint.

 

[Whoisfoxmulder]

Hmm aber wenn ich ja alles so gemacht habe wie ihr nun ausführt, sollte es klappen mit der Zertifikatserneuerung und das tut es nicht.

Zum Thema gehört es für mich schon, weil ich ja das Zertifikat nicht erneuern kann

Nehme das nicht übel und ja, ich bin zwar ausgebildeter Informatiker im Systembereich aber arbeite nicht aktiv auf diesem Beruf - daher bin ich nicht kompletter Laie aber auch nicht Profi

 

[jus7incase]

Ist alles gesagt. Du solltest eben nachsehen ob man von aussen auf port 80 und 43 deiner DS zugreifen kann.
Vielleicht mag dir ja jemand anderes damit helfen.

Meiner Meinung nach wirst Du für das eben gesagte genügend Informationen hier im Forum finden, es ist auch eine Frage der Erwartungshaltung des Fragestellers: Frage stellen, amdere antworten, auch wenn das schon mehrfach beantwortet wurde - oder - mal sich die Arbeit machen und nach der Antwort im Forum suchen. Ich denke dass Du das Problem hast und daher mehr Motivation da Zeit reinzustecken und hier zu suchen, als andere Dir alles klein-klein zu erzählen. Kann mich aber auch täuschen.

 

[Whoisfoxmulder]

Habe ein Portcheck gemacht mit einem benutzerfreundlichen Tool. Beide Ports sind offen, auf DS keine weitere Portbelegung von 443 und 80 gefunden - Problem nach wie vor da :/ da hilft mir auch Deine Aussage leider nicht weiter: "Ist alles gesagt."