Lets Encrypt Zertifikat wird nicht mehr erneuert (& schlägt fehl)

Whoisfoxmulder

Benutzer
Mitglied seit
01. Jan 2021
Beiträge
52
Punkte für Reaktionen
2
Punkte
8
Spannend ist, dass die Zertifikatsverlängerung bei bestehenden Subdomains "yyy.xxx.ch" einwandfrei funktioniert. Nur ein komplett neues für die Hauptdomain zu lösen "xxx.ch" funktioniert nicht...dort kommt nach wie vor die Fehlermeldung.
 

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
OK und wo kommen diese Testpakete an? Bei der DS? deswegen dabei tcpdump auf der DS laufen lassen:
tcpdump -i eth0 tcp port 80 or tcp port 443

wenn da nix kommt, dann fehlt das forwarding auf dem router.
 

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
ausserdem: DSM 6.2.3 hat nicht das neue R3 Zertifikat. Läuft die DS unter 6.2.4?
 

Whoisfoxmulder

Benutzer
Mitglied seit
01. Jan 2021
Beiträge
52
Punkte für Reaktionen
2
Punkte
8
OK und wo kommen diese Testpakete an? Bei der DS? deswegen dabei tcpdump auf der DS laufen lassen:
tcpdump -i eth0 tcp port 80 or tcp port 443
wenn da nix kommt, dann fehlt das forwarding auf dem router.
Prüfe ich heute Abend mal; grundsätzlich scheint es aber ja zu funktionieren - sonst würde die Verlängerung der anderen Subdomains ja ebenfalls fehlschlagen oder? Sind allesamt Lets Encrypt Zertifikate.
Via SSH kann ich den Befehl leider nicht ausführen (der Account ist admin-berechtigt)
1633084114000.png

wie lautet die Fehlermeldung?
1633083688421.png

ausserdem: DSM 6.2.3 hat nicht das neue R3 Zertifikat. Läuft die DS unter 6.2.4?
Die DS hat DSM 7.0-41890
 

Anhänge

  • 1633084089769.png
    1633084089769.png
    18,9 KB · Aufrufe: 4
Zuletzt bearbeitet:

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
ich seh auf anhieb nur port 443, nicht 80. mach mal einen test wo auch auf jeden fall port 80 angesprochen wird. du hattest oben so einen scanner benutzt, der sollte es tun. und dann schau on da auch http, nicht nur https steht.

wenn du tcpdump mit -n benutzt sollten die namen weg sein und du kannst nach 80 grep'en.
 

Whoisfoxmulder

Benutzer
Mitglied seit
01. Jan 2021
Beiträge
52
Punkte für Reaktionen
2
Punkte
8
ich seh auf anhieb nur port 443, nicht 80. mach mal einen test wo auch auf jeden fall port 80 angesprochen wird. du hattest oben so einen scanner benutzt, der sollte es tun. und dann schau on da auch http, nicht nur https steht.

wenn du tcpdump mit -n benutzt sollten die namen weg sein und du kannst nach 80 grep'en.
alles klar - habe ich gemacht. Da geht nicht viel, aber wenn ich mit dem Tool die Abfrage starte wird im tcpdump auch was getrackt. Aber ich glaube das ist Zufall und nicht die Anfrage des Tools...
root@xfiles:~# tcpdump -n -i eth0 port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:45:28.781238 IP 98.44.67.79.80 > 192.168.0.21.49200: Flags [SE], seq 0, win 65453, length 0
13:45:28.781323 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:29.780698 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:31.780701 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:35.780700 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:43.780699 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:59.780698 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
 

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
Sehr gut. Also ist Deine DS auf Port 80 und 443 aus dem Internet erreichbar.
Leider habe ich jetzt auch keine Idee mehr warum du diese Fehlermeldung erhältst.
(Dass es bei subdomains funktioniert könnte daran liegen, dass ggf. keine Prüdung durchgeführt wird, ob die die Second Level Domain kontrollierst. Dann würde der test auf Port 80 wegfallen. Weiss ich nicht ob das so ist)

Sorry.
 
  • Like
Reaktionen: Whoisfoxmulder

Whoisfoxmulder

Benutzer
Mitglied seit
01. Jan 2021
Beiträge
52
Punkte für Reaktionen
2
Punkte
8
Habe kurz mit dem Syno-Support gechattet:

Es gibt heute Änderungen bei Let´s Encrypt welche zu Probleme führen kann. Ich würde ihnen empfehlen es später noch einmal zu versuchen. Wenn das Probleme aber weiterhin auftritt würde ich Ihnen hier empfehlen unseren technischen Fachbereich zu kontaktieren, damit selbiger dieses Verhalten einmal genauer für Sie prüfen kann. Den technischen Fachbereich erreichen Sie über ein sogenanntes Support-Ticket. Selbiges erstellen Sie in Ihrem eingeloggten DSM im Hauptmenü unter dem Punkt ---> SupportCenter ---> Support kontaktieren. Alternativ können Sie dieses Support-Ticket auch über http://account.synology.com erstellen. Ein Techniker wird sich dann zeitnah mit Ihnen in Verbindung setzen. Die Techniker haben eventuell die Möglichkeit anhand von LogFiles (Systemprotokolle) die Ursache für dieses Verhalten festzustellen. Ebenfalls können unsere Techniker sich bei Notwendigkeit oder Bedarf per Remote-Zugriff auf Ihre NAS aufschalten.
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
584
Punkte für Reaktionen
11
Punkte
38
Hi, lange nicht mehr hier gewesen, syno läuft halt super... bis jetzt.

Habe gerade eine mail von let's encrypt bekommen, Zertifikat könne nicht erneuert werden... ups, Alarm.

Na ja, per Hand erneuern gestartet, da kommt domain wäre nicht erreichbar...
  • Namensauflösung per nslookup funktioniert, incl. der sub-domains
  • IP der Fritz geändert, die IP wird auch geändert und bei dynDNS Anbieter towDNS übernommen und aufgelöst
  • habe mal einen duckdns Account getestet, da geht das austellen eines Zertifikates.
Also denke ich mal, die Syno und der Zugriff auf funktionieren ja, denn das neue Zertifikat geht, dann habe ich ein neues Zertifikat mit meinem alten Namen ohne sub-domains anlegen wollen, aber auch da schläg der fehl.
Scheint ja irgend was mit meiner dyndns domain bei towdns zu tun haben, aber was nur?
Hat da einer auch das Problem? Lösungsansätze?
 

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
Hast Du eine aktuelle Version von DSM auf Deiner Syno? Falls sie sehr veraltet ist kann der Syno nicht mehr mit der LE CA sprechen da sich damals als ich das Problem hatte dort die Zertifikate geändert haben. Dann musst Du Deine DSM Version aktualisieren.
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
584
Punkte für Reaktionen
11
Punkte
38
Ich habe die letzte Version vom DSM 6 drauf, geht ja, wenn du gelesen hättest prinzipiell.
Habe den Fehler gefunden, twodns scheint ein Problem zu haben, mit Heise DNS Tester schlägt fehl, dann kann natürlich kein Zertifikat erstellt werden.
Hoffe ich mal das es bald behoben wird... aber beim letzten Fehler bei twodns (die haben syno-ds.de Domains) hat es aber lange gedauert bis das Problem gefixt wurde... muss ich wohl oder übel doch mal auf einen anderen Anbieter umschwenken.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Du musst schon ein bisschen mehr Infos geben welche DS, Software etc.
Meine Glaskugel ist gerade zur Reparatur.
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
584
Punkte für Reaktionen
11
Punkte
38
Ja, habe auch eine Rückmeldung von towdns bekommen, die arbeiten dran... scheint wohl genau so ein großes Problem zu sein wie NS1 zu reparieren.

Also ich bin weg von towdns... auch wenn es kostenlos ist und war, da nutzt es aber nix.
Habe mal auf duckdns umgestellt und gleich noch alles über eine meiner Domains als CNAME umgeleitet... damit bin ich das Thema dyndns Anbieter los, wenn der jetzt zicken macht, austauschen in der Domain und gut ist es. Name bleibt und damit auch das Zertifikat.
Kann ich auch jedem towdns Nutzer empfehlen.
 

BerndO67

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Ja, habe auch eine Rückmeldung von towdns bekommen, die arbeiten dran... scheint wohl genau so ein großes Problem zu sein wie NS1 zu reparieren.
Danke für die Rückmeldung - hab auch mal eine Mail an twoDNS geschrieben - mal schauen ob und was sie mir antworten

Dürfte ja wohl höchstwahrscheinlich kein DSM-Problem sein...
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
584
Punkte für Reaktionen
11
Punkte
38
...

Dürfte ja wohl höchstwahrscheinlich kein DSM-Problem sein...

Nein, ist kein DSM Problem...
Sucht euch einen anderen dynDNS Anbieter mit dem es weniger Probleme gibt, ich setze z.Z. auf duckdns, weil der in vielen Projekten benutzt wird, in der Hoffnung auf ein langes problemloses DND-Leben.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat