LetsEncrypt will nicht…

Brolo

Benutzer
Mitglied seit
10. Jan 2024
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Hallo liebes Forum!

Vor geraumer Zeit habe ich meine NAS aufgesetzt samt Zertifikat und habe vor ca. 2 Wochen die Ports geändert zwecks Sicherung.

Nun will das Zertifikat sich nicht mehr erneuern…

Nach einer kurzen Recherche fand ich raus, dass Port 80 und 443 wohl dafür offen sein MÜSSEN!
Gesagt, getan. Klappt aber trotzdem nicht…

Was mache ich falsch?
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.521
Punkte für Reaktionen
3.525
Punkte
344
Wenn es sich um ein Synology Zertifikat handelt, müssen auch keine Ports geöffnet sein.
Für welche DynDNS ist das Zertifikat?
Aktuelle Gültigkeit?
In welchem Zusammenhang hast Du die Ports geändert? bzw. Welche?
 
  • Like
Reaktionen: wegomyway

Brolo

Benutzer
Mitglied seit
10. Jan 2024
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Meine Adresse ist von AVM. Also die feste kryptische Adresse welche man bei myFritz beantragen kann.
Also abcdefg[…].myfritz.net.

Ports
Ich habe den Standardport für HTTPS (5001) geändert und den Standardport für den Drive Server (6690(glaube ich…)). Alle anderen sind zu - außer neuerdings eben 80 und 443.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.521
Punkte für Reaktionen
3.525
Punkte
344

Brolo

Benutzer
Mitglied seit
10. Jan 2024
Beiträge
28
Punkte für Reaktionen
2
Punkte
3

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ein Zertifikat für eine myfritz Adresse bekommst du m.W. auf der Synology nicht mit Bordmitteln. Einfacher ist es hier, auf den Synology DDNS zu setzen
 

Brolo

Benutzer
Mitglied seit
10. Jan 2024
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Doch das geht. Bzw. ging. Ich hatte ja das Zertifikat schon. Die letzten Monate hat das alles super funktioniert!
Erst seit der Port-Umstellung läuft es nicht mehr und ich weiß nicht, warum?
 
  • Like
Reaktionen: geimist

Brolo

Benutzer
Mitglied seit
10. Jan 2024
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Okay ich versuche es mal etwas ausführlicher, weil ich immer noch nicht weiter gekommen bin.

Meine FritzBox hat eine feste Domaine – damit die IP nicht permanente wechselt. Wo die herkommt, ist herzlichst egal.

An meiner FritzBox hängt meine Synology. Diese habe ich über Portfreigabe ins Internet gehängt. Ich kann also über „MeineKomischeDomain.net:xxxx“ an meine Synology drankommen.

Das Ganze hat so lange gut funktioniert, wie ich die Standardports von Synology, also 5000 und 5001 genutzt habe. Aus Sicherheitsgründen habe ich nun aber individualisiert und mein Zertifikat lässt sich nicht mehr erneuern. Ich habe auch keine Ahnung, ob es etwas mit der Portfreigabe zu tun hat, aber das ist das einzige, was ich in letzter Zeit geändert habe.

Zur Verdeutlichung hier mal ein paar Screenshots:

-Fehlermeldung Synology (wird nachgereicht - maximale Zertifikatsanforderungen für heute bereits erreicht)

-Portfreigabe FritzBox

Wie man sehen kann habe ich nur drei Ports freigegeben. Den ersten individualisierten für den HTTPS-Server und den zweiten für den Drive-Server. Let'sEncrypt will noch den Port 80 haben, wie man nachlesen kann, also habe ich den auch freigegeben. Dennoch läuft nix und ich verzweifle so langsam daran...
 

Anhänge

  • FritzBox-Portfreigabe.jpg
    FritzBox-Portfreigabe.jpg
    22,3 KB · Aufrufe: 7

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Wo landest du, wenn du http://abcdefg[…].myfritz.net bzw. https://abcdefg[…].myfritz.net im Browser eingibst und was steht dann oben in der URL?
Edit: Lies auch mal hier.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.521
Punkte für Reaktionen
3.525
Punkte
344
Aus Sicherheitsgründen habe ich nun aber individualisiert
Auf welchem Weg hast Du den die Ports individualisiert?
Was das Zertifikat betrifft, solltest Du erst mal nicht versuchen dieses weiter zu erneuern. Sonst geht da gar nichts mehr. Erst mal wieder auf den richtigen Weg kommen.
 

Brolo

Benutzer
Mitglied seit
10. Jan 2024
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Uhhh ich glaube mir ist gerade mein Gedankenfehler aufgefallen!

Um die Frage zu beantworten: ohne den Port lande ich auf meiner FritzBox. Welche ich in sich bei Let'sEncrypt habe zertifizieren lassen...

... und demnach liegt für die Domain schon ein Zertifikat vor, nämlich das auf meiner FritzBox, weshalb die Synology selbst kein Zertifikat mehr erstellen kann! Das Teste ich mal... morgen... wenn ich wieder Zertifikate anfragen darf... :D
 

Brolo

Benutzer
Mitglied seit
10. Jan 2024
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Nope... daran hat's nicht gelegen...

Hat noch jemand eine Idee?

Edit: Anbei die Fehlermeldung aus dem DSM welche ich mittlerweile auswendig kenne...
 

Anhänge

  • Bildschirmfoto 2024-04-18 um 10.49.09.png
    Bildschirmfoto 2024-04-18 um 10.49.09.png
    74,5 KB · Aufrufe: 6
Zuletzt bearbeitet:

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.521
Punkte für Reaktionen
3.525
Punkte
344
Bitte mal die hier gestellten Fragen #10 und #11 beantworten.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

Brolo

Benutzer
Mitglied seit
10. Jan 2024
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Bitte mal die hier gestellten Fragen #10 und #11 beantworten.
Frage #10 habe ich in #12 erklärt.

Zu Frage #11: Den HTTPS-Port habe ich im DSM unter Systemsteuerung -> Anmeldeportal individualisiert und den Port für den Driveserver habe ich mangels onboard mittel in der Fritz!Box umgestellt, so dass man von außen den individuellen Port ansprechen muss und die Fritz!Box diesen dann auf den Standard 6690 Port an der Synology weiterleitet.

Ein Zertifikat kann zeitgleich problemlos auf mehreren Hosts vorliegen.
Das ist sehr gut zu wissen! Dann stelle ich es in der Fritz!Box wieder ein - löst aber leider nicht mein eigentliches Problem.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Was spricht denn gegen den DDNS von Synology? Da bekommst du einfach ein Wildcard-Zertifikat und das ohne Portweiterleitungen oder andere Verrenkungen
 
  • Like
Reaktionen: Benie

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
779
Punkte für Reaktionen
303
Punkte
83
Um die Frage zu beantworten: ohne den Port lande ich auf meiner FritzBox.
Das darf nicht sein. LetsEncrypt ruft die Domain "normal" auf, also x.myfritz.net, wenn du damit auf der Fritzbox landest, kann und wird es nicht funktionieren.
Wenn sich das nicht ändern lässt, wirst du auch kein Zertifikat über die DS dafür bekommen.

Die DS generiert einen Request auf dem Webserver z.B: x.myfritz.net/.well-known/acme-challenge/GFHG3grgu3hUFGPFUef....., diesen Ruft LE auf.

Wenn den Request die FB beantwortet, kann folglich nicht der Token übergeben und geprüft werden, sondern vermutlich ein 404- Not Found error. ergo: Fail.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.546
Punkte für Reaktionen
1.379
Punkte
234
Um die Frage zu beantworten: ohne den Port lande ich auf meiner FritzBox.
Welcher Port ist denn in der FritzBox für den Zugriff aus dem Internet festgelegt (eigentlich ein random 5stelliger)? Es sollte für dein Vorhaben nicht 443 sein (weil der ja auf die DS durchgereicht werden soll).
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Ich frag mich gerade, wieso er auf der Fritzbox-Oberfläche landet, wenn eine Portfreigabe für 80 und 443 zur DS existiert.

Meines Wissens ist das nur so, wenn man sich innerhalb des LANs mit dem MyFritz-Namen verbindet und die Weiterleitung nicht existiert oder nicht funktioniert. Ich hatte das mal bei AVM nachgefragt, wieso das so ist. Die sagten, das wäre absichtlich so gemacht, aber eben nur innerhalb des LAN, nicht wenn man wirklich von außen kommt.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat