[Solved] Let's Encrypt: No response from the destination server

[Bert-Jan55]

Het Let's Encrypt SSL certificaat op mijn NAS staat op 't punt van verlopen. Niet de eerste keer; ik gebruik al een aantal jaren een Let's Encrypt certificaat op m'n domeinnaam. Verversen van 't certificaat gaat niet automatisch want ik heb standaard geen verwijzing naar poort 80 op de NAS in mijn router/firewall staan.

Normaal gesproken heel simpel:
- Ik verwijs in de router/firewall (Arista) tijdelijk poort 80 naar het interne IP van de NAS.
- Ik ga in DSM naar Control Panel - Security - Certificate, klik het certificaat aan en klik op Action - Renew certificate

Dat werkte de vorige keren prima. Maar nu krijg ik, na een minuutje wachten, een foutmelding: 'No response from the destination server. Please try again later'.

Ik kan de webui van de NAS nog prima benaderen, ik kan mijn externe IP pingen, een ping naar het domein levert het correcte externe IP adres op, ik heb de firewall uit staan...
Volgens mij zou het moeten werken, maar ik ben helaas geen expert, alleen een enthousiaste amateur. Nu even iets minder enthousiast   

Het enige verschil tussen de vorige keren en deze keer is dat ik van internetprovider ben gewisseld. Ik had Tweak, maar die is overgenomen door Odido. Maar ik kan me niet voorstellen dat dat er iets mee te maken heeft.

Doe ik iets stoms? Zie ik iets over het hoofd? Alle tips erg welkom!

DS1522+
DSM 7.2.1 -69057 Update 5

[Birdy]

Heb je domeinnaam maar verwijderd, omdat ik bij de login van BJ-NAS kwam.
Niet handig om dit te tonen dus.

Maar, je werkwijze is wel goed, probeer het anders morgen nog eens.

[Birdy]

Lees ook dit artikel even door Ik kan het Let's Encrypt -certificaat niet registreren of verlengen. Wat kan ik doen?

[Briolet]

Een heel enkele keer loopt het even niet soepel bij hun servers. Gewoon een paar uur later nog eens proberen.

Bij de automatische renewal gebeurd het ook een enkele keer. Als die faalt, probeert de nas het een week later nog eens en dan kan het gebeuren dat je van Let's Encrypt een waarschuwing krijgt over binnenkort verlopen. Meestal kun je die dan negeren.

[Bert-Jan55]

@Birdy Dank voor het verwijderen van de link. Dat was wel héél amateuristisch van me

Ik had het artikel al gelezen, maar dat leverde niets op; mijn setup is simpel; een verlenging van één certificaat voor één domeinnaam, waarbij de IP adressen kloppen en alles wat bereikbaar moet zijn ook bereikbaar is.

Ik hoopte eigenlijk ook dat het gewoon een tijdelijke kwestie zou zijn, maar inmiddels probeer ik 't al 6 dagen zonder succes. Ik krijg nog steeds dezelfde foutmelding. Ik heb de indruk dat 't issue aan de instellingen van de NAS moet liggen omdat ik (net vóór ik voor 't eerst die foutmelding kreeg) voor een andere server; een Ubuntu 22.04 VM waar Nextcloud op draait, óók een Let's Encrypt certificaat moest verversen en dat liep prima.

Kan het zijn dat ik een instelling in de NAS over het hoofd heb gezien?

Dank voor alle hulp!

[viper-srt10]

Heb je een regio blokkade ingesteld? Bv dat je NAS enkel toegankelijk is vanaf België of Nederland?

2 weken geleden had ik hetzelfde probleem. Heb een extra regel in m'n firewall staan dat ik ook alle verkeer vanuit de VS toegang geef tot mijn NAS die ik enkel alleen maar actief zet als ik mijn Certificaat ga updaten. Maar plots kreeg ik ook continu de melding "No response from destination server". Heb toen even m'n regio blok volledig uitgeschakeld en toen deed hij de update wel.

[Bert-Jan55]

Bedankt voor je reactie, maar dat is helaas niet de oorzaak. Ik heb geen regioblokkades ingesteld en daarnaast zet ik de firewall ook uit als ik een update van het certificaat uitvoer. Inderdaad juist om dit soort dingen te voorkomen.

[Briolet]

Ik kan de webui van de NAS nog prima benaderen, ik kan mijn externe IP pingen, een ping naar het domein levert het correcte externe IP adres op, ik heb de firewall uit staan...

Heb je ook fysiek geprobeerd of je van extern nog bij je nas kunt komen?  Het zou kunnen zijn dan de nieuwe provider DS-lite gebruikt. Hierbij wordt je IPv4 adres met een aantal anderen gedeeld.  Je domeinnaam kan dan netjes naar je IP adres wijzen, maar obido weet dan niet naar welke van de gebruikers hij de poort moet forwarden.

Maar bij nader inzien:  in reactie #1 heeft Birdy die test al gedaan en dat lijkt te lukken. Moet toch iets anders zijn.

[Bert-Jan55]

@Briolet; da's toch een goed punt. Ik kom niet op de NAS terecht als ik gewoon naar de http of https versie van de site wil gaan, dus op poort 80 of 443. Niet eerder gemerkt; ik kom op de http versie op 't interne ip wél keurig op de site terecht. Mijn domeinnaam loopt bij Hosting2Go, maar omdat ik met een externe server aan het spelen was lopen mijn A records allemaal via Cloudflare.

@Birdy: Jij kwam wel op de site terecht? Lukt je dat nog (als je nog eens zou willen testen)? Vooropgesteld dat je de URL nog hebt? If not dan stuur ik die wel in een privébericht; ik heb 2FA ingesteld op de inlog, dus 't risico is niet heel groot ;-)

[Birdy]

Ik kwam er idd wel op, daarom wist ik de naam van je NAS.
De url heb ik niet meer, ook niet in m'n history.

[Bert-Jan55]

@Birdy ; Ik heb je een PM gestuurd. Voel je uiteraard tot niets verplicht, maar 't zou fijn zijn als je nog even wil checken.

[Birdy]

Doe het graag hoor 

Beide werken, en http, dus zonder s, wordt netjes omgeleid naar https.

[Bert-Jan55]

Dank voor de hulp maar weer!
Omdat ik de sites niet kan openen vraag ik me af of er iets in mijn netwerk het verkeer naar de NAS op 80 en 443 blokkeert. Morgen maar eens proberen een zo simpel mogelijke lijn vanaf de aansluiting naar de NAS te maken en dan kijken of er zonder firewall en router wél iets gebeurt.

[stapper]

Klinkt stom misschien, maar ik zou eens alles opnieuw opstarten.
Nas, eventuele switch, en router.

ik had zoiets ook een keer, en daarna werkte alles weer prima.

[Bert-Jan55]

Klinkt helemaal niet stom; herstarten heeft me al vaker uit de brand geholpen 
Maar helaas niet in dit geval; ik heb alle betrokken apparaten al een paar keer herstart, maar dat had geen effect.

Als een soort last-ditch effort heb ik de situatie zo makkelijk mogelijk ingericht

- van de Odido converter direct naar de Odido router (Zyxel T-56).
- al mijn eigen apparatuur  (Arista firewall op een mini PC'tje en een Netgear router in bridge mode) er dus tussenuit gehaald.
- firewall in de Zyxel uitgezet.
- nieuwe Ubuntu VM op mijn Proxmox server geinstalleerd, Apache en certbot geinstalleerd, SSL certificaat  aangevraagd. Werkt!

- Synology aangesloten, firewall in de NAS is uit, NAS is bereikbaar op poort 80 van buitenshuis. SSL certificaat aaangevraagd...
 Zelfde foutmelding   

Mijn conclusie is dat 't aan de NAS ligt. De test met de VM is niet helemaal alleszeggend, maar ik heb geen tweede Synology NAS om mee te testen.
Óf ik zie echt iets stoms over het hoofd in de instellingen van de NAS (goed mogelijk!), of er is iets anders in de NAS dat de zaak blokkeert.
Is dit iets waarvoor ik een support ticket bij Synology kan indien of heeft dat geen zin?