Synology-Forum.nl

Firmware => Synology DSM algemeen => Topic gestart door: Nelissuh op 01 juli 2024, 11:35:34

Titel: Let's Encrypt: Certificaat verlopen, lukt niet om te vernieuwen.
Bericht door: Nelissuh op 01 juli 2024, 11:35:34

Hallo,

Ik draai de website van mijn vrouw m.b.v. WordPress op onze NAS.

Gasvezel via KPN. Via mijn IP 81.204.163.172 kom ik bij de site uit.

Poort 80 staat op mijn KPN router gefoward naar de NAS.

https://www.bekkerke.nl/

Maar als ik probeer te vernieuwen krijg ik: Controleer uw IP adres, reverse proxy-regels en firewall instellingen.

Ik ben al een week aan het puzzelen, maar ik kom er niet uit. It zal wel ergens iets heel stoms doen...

Titel: Re: Let's Encrypt: Certificaat verlopen, lukt niet om te vernieuwen.
Bericht door: Briolet op 01 juli 2024, 11:56:32

Ik heb geen idee welk protocol Let's Encrypt gebruikt, maar ik zie dat je zowel een IPv4 als een IPv6 adres hebt en ook beide publiceert in de domeinnaam. Komen beide op de nas uit.  Oftewel: laat je router ook je IPv6 adres door richting nas?

Volgens hun documentatie uit 2020 beginnen ze de test via het IPv6 adres, maar proberen ze het alsnog via IPv4 als dat faalt.

Citaat

Bron (https://letsencrypt.org/docs/ipv6-support/)
Domain Validation

When making outbound domain validation requests for a domain that has both IPv4 and IPv6 addresses (e.g. both A and AAAA records) Let’s Encrypt will always prefer the IPv6 addresses for the initial connection. If the IPv6 connection fails at the network level (e.g. there is a timeout) and there are IPv4 addresses available then we will retry the request with one of the IPv4 addresses.

IPv6 to IPv4 Retry Details

The IPv6 to IPv4 retry only occurs on connection timeouts, not on other types of error.

Titel: Re: Let's Encrypt: Certificaat verlopen, lukt niet om te vernieuwen.
Bericht door: Nelissuh op 04 juli 2024, 23:58:53

1 Cijfer verschil gevonden in het IPv6 adres in de nameserver  :o

Een :1: in de string moest een :0: zijn

Geen idee of het altijd fout heeft gestaan, of dat KPN mijn IPv6 adres heeft gewijzigd. Ik verwacht de 1e van de 2   8)

@Briolet : Bedankt voor de hulp. Je tip heeft me geholpen. Ik was aan het zoeken in webserver en IPv4 parameters in de NAS en de router.

Titel: Re: Let's Encrypt: Certificaat verlopen, lukt niet om te vernieuwen.
Bericht door: Briolet op 05 juli 2024, 09:21:11

Het IPv6 adres niet goed naar de nas leiden, maar in de router blokkeren was ook niet waarschijnlijk. Dat is wel de meest voorkomende fout met de IPv6 implementatie, maar dan had je een timeout gekregen en was alsnog IPv4 gebruikt. 

Nu wees het foute IPv6 adres blijkbaar naar een locatie waar ook een webserver aktief was of iets anders dat geen timeout veroorzaakte. Wel een groot toeval. Mooi dat dit nu opgelost is. Het is altijd goed te horen uit welke hoek de problemen kwamen.