Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Bert-Jan55 op 26 juni 2024, 20:05:14
-
Het Let's Encrypt SSL certificaat op mijn NAS staat op 't punt van verlopen. Niet de eerste keer; ik gebruik al een aantal jaren een Let's Encrypt certificaat op m'n domeinnaam. Verversen van 't certificaat gaat niet automatisch want ik heb standaard geen verwijzing naar poort 80 op de NAS in mijn router/firewall staan.
Normaal gesproken heel simpel:
- Ik verwijs in de router/firewall (Arista) tijdelijk poort 80 naar het interne IP van de NAS.
- Ik ga in DSM naar Control Panel - Security - Certificate, klik het certificaat aan en klik op Action - Renew certificate
Dat werkte de vorige keren prima. Maar nu krijg ik, na een minuutje wachten, een foutmelding: 'No response from the destination server. Please try again later'.
Ik kan de webui van de NAS nog prima benaderen, ik kan mijn externe IP pingen, een ping naar het domein levert het correcte externe IP adres op, ik heb de firewall uit staan...
Volgens mij zou het moeten werken, maar ik ben helaas geen expert, alleen een enthousiaste amateur. Nu even iets minder enthousiast ::)
Het enige verschil tussen de vorige keren en deze keer is dat ik van internetprovider ben gewisseld. Ik had Tweak, maar die is overgenomen door Odido. Maar ik kan me niet voorstellen dat dat er iets mee te maken heeft.
Doe ik iets stoms? Zie ik iets over het hoofd? Alle tips erg welkom!
DS1522+
DSM 7.2.1 -69057 Update 5
-
Heb je domeinnaam maar verwijderd, omdat ik bij de login van BJ-NAS kwam.
Niet handig om dit te tonen dus. ;)
Maar, je werkwijze is wel goed, probeer het anders morgen nog eens.
-
Lees ook dit artikel even door Ik kan het Let's Encrypt -certificaat niet registreren of verlengen. Wat kan ik doen? (https://kb.synology.com/nl-nl/DSM/tutorial/What_should_I_do_if_cannot_add_renew_lets_encrypt)
-
Een heel enkele keer loopt het even niet soepel bij hun servers. Gewoon een paar uur later nog eens proberen.
Bij de automatische renewal gebeurd het ook een enkele keer. Als die faalt, probeert de nas het een week later nog eens en dan kan het gebeuren dat je van Let's Encrypt een waarschuwing krijgt over binnenkort verlopen. Meestal kun je die dan negeren.
-
@Birdy Dank voor het verwijderen van de link. Dat was wel héél amateuristisch van me ::)
Ik had het artikel al gelezen, maar dat leverde niets op; mijn setup is simpel; een verlenging van één certificaat voor één domeinnaam, waarbij de IP adressen kloppen en alles wat bereikbaar moet zijn ook bereikbaar is.
Ik hoopte eigenlijk ook dat het gewoon een tijdelijke kwestie zou zijn, maar inmiddels probeer ik 't al 6 dagen zonder succes. Ik krijg nog steeds dezelfde foutmelding. Ik heb de indruk dat 't issue aan de instellingen van de NAS moet liggen omdat ik (net vóór ik voor 't eerst die foutmelding kreeg) voor een andere server; een Ubuntu 22.04 VM waar Nextcloud op draait, óók een Let's Encrypt certificaat moest verversen en dat liep prima.
Kan het zijn dat ik een instelling in de NAS over het hoofd heb gezien?
Dank voor alle hulp!
-
Heb je een regio blokkade ingesteld? Bv dat je NAS enkel toegankelijk is vanaf België of Nederland?
2 weken geleden had ik hetzelfde probleem. Heb een extra regel in m'n firewall staan dat ik ook alle verkeer vanuit de VS toegang geef tot mijn NAS die ik enkel alleen maar actief zet als ik mijn Certificaat ga updaten. Maar plots kreeg ik ook continu de melding "No response from destination server". Heb toen even m'n regio blok volledig uitgeschakeld en toen deed hij de update wel.
-
Bedankt voor je reactie, maar dat is helaas niet de oorzaak. Ik heb geen regioblokkades ingesteld en daarnaast zet ik de firewall ook uit als ik een update van het certificaat uitvoer. Inderdaad juist om dit soort dingen te voorkomen.
-
Ik kan de webui van de NAS nog prima benaderen, ik kan mijn externe IP pingen, een ping naar het domein levert het correcte externe IP adres op, ik heb de firewall uit staan...
Heb je ook fysiek geprobeerd of je van extern nog bij je nas kunt komen? Het zou kunnen zijn dan de nieuwe provider DS-lite gebruikt. Hierbij wordt je IPv4 adres met een aantal anderen gedeeld. Je domeinnaam kan dan netjes naar je IP adres wijzen, maar obido weet dan niet naar welke van de gebruikers hij de poort moet forwarden.
Maar bij nader inzien: in reactie #1 heeft Birdy die test al gedaan en dat lijkt te lukken. Moet toch iets anders zijn.
-
@Briolet; da's toch een goed punt. Ik kom niet op de NAS terecht als ik gewoon naar de http of https versie van de site wil gaan, dus op poort 80 of 443. Niet eerder gemerkt; ik kom op de http versie op 't interne ip wél keurig op de site terecht. Mijn domeinnaam loopt bij Hosting2Go, maar omdat ik met een externe server aan het spelen was lopen mijn A records allemaal via Cloudflare.
@Birdy: Jij kwam wel op de site terecht? Lukt je dat nog (als je nog eens zou willen testen)? Vooropgesteld dat je de URL nog hebt? If not dan stuur ik die wel in een privébericht; ik heb 2FA ingesteld op de inlog, dus 't risico is niet heel groot ;-)
-
Ik kwam er idd wel op, daarom wist ik de naam van je NAS.
De url heb ik niet meer, ook niet in m'n history.
-
@Birdy ; Ik heb je een PM gestuurd. Voel je uiteraard tot niets verplicht, maar 't zou fijn zijn als je nog even wil checken.
-
Doe het graag hoor ;)
Beide werken, en http, dus zonder s, wordt netjes omgeleid naar https.
-
Dank voor de hulp maar weer!
Omdat ik de sites niet kan openen vraag ik me af of er iets in mijn netwerk het verkeer naar de NAS op 80 en 443 blokkeert. Morgen maar eens proberen een zo simpel mogelijke lijn vanaf de aansluiting naar de NAS te maken en dan kijken of er zonder firewall en router wél iets gebeurt.
-
Klinkt stom misschien, maar ik zou eens alles opnieuw opstarten.
Nas, eventuele switch, en router.
ik had zoiets ook een keer, en daarna werkte alles weer prima.
-
Klinkt helemaal niet stom; herstarten heeft me al vaker uit de brand geholpen :)
Maar helaas niet in dit geval; ik heb alle betrokken apparaten al een paar keer herstart, maar dat had geen effect.
Als een soort last-ditch effort heb ik de situatie zo makkelijk mogelijk ingericht
- van de Odido converter direct naar de Odido router (Zyxel T-56).
- al mijn eigen apparatuur (Arista firewall op een mini PC'tje en een Netgear router in bridge mode) er dus tussenuit gehaald.
- firewall in de Zyxel uitgezet.
- nieuwe Ubuntu VM op mijn Proxmox server geinstalleerd, Apache en certbot geinstalleerd, SSL certificaat aangevraagd. Werkt!
- Synology aangesloten, firewall in de NAS is uit, NAS is bereikbaar op poort 80 van buitenshuis. SSL certificaat aaangevraagd...
Zelfde foutmelding :S
Mijn conclusie is dat 't aan de NAS ligt. De test met de VM is niet helemaal alleszeggend, maar ik heb geen tweede Synology NAS om mee te testen.
Óf ik zie echt iets stoms over het hoofd in de instellingen van de NAS (goed mogelijk!), of er is iets anders in de NAS dat de zaak blokkeert.
Is dit iets waarvoor ik een support ticket bij Synology kan indien of heeft dat geen zin?
-
Ik heb zojuist mijn Let's Encrypt certificaat vernieuwd zonder port 80 forwarding, ging gewoon goed:
[attachimg=1]
-
Maar "xxx.synology.me" is ook de enige domeinnaam waar geen poort 80 voor nodig is. Onder water zijn er meerdere renewal procedures. Bij hun eigen domein gebruikt synology de methode waarbij een speciaal token in de domeinnaam gezet wordt ter identificatie.
-
Ahhhh.....dat wist ik niet, sorry voor deze storing. ;)
-
Ter info. Zojuist mijn port forwarding voor poort 80 even aangezet en mijn Lets Encrypt certificaat vernieuwd en dat ging gewoon goed.
Dus het lijkt geen "algemeen" probleem te zijn.
-
@Birdy: Jij kwam wel op de site terecht? Lukt je dat nog (als je nog eens zou willen testen)?
Ik heb nu nog eens getest, nu is jouw NAS wel "onveilig" (is wel te omzeilen).
[attach=1]
-
Ik vermoede al dat 't probleem alleen bij mijn NAS speelt. Daarom blijf ik 't gevoel houden dat ik zélf iets over het hoofd zie. Aaargh..
- Ik verwijs in de router tijdelijk poort 80 naar het interne IP van de NAS.
- Ik ga in DSM naar Control Panel - Security - Certificate, klik het certificaat aan en klik op Action - Renew certificate
Is dit echt alles? Is er érgens in de NAS nog een andere instelling die hier voor problemen kan zorgen? Kan ik ergens iets hebben aangezet of uitgezet waardoor dit issue ontstaat? Als we d'r vanuit gaan dat ik een n00b ben, hoe zou een n00b hier dan voor problemen kunnen zorgen?
@Birdy: Ja klopt, ik was aan het testen. Ik zet poort 80 zo weer dicht.
-
Ja, dat is echt alles.
In het kader van "Niet geschoten is altijd mis". doe eens een reset Modus 1 (https://kb.synology.com/nl-nl/DSM/tutorial/How_to_reset_my_Synology_NAS_7#t1), het netwerk van je NAS wordt o.a. dan reset.
Wel even doorlezen wat het doet.
-
Oef, die 'reset Modus 1' ziet er redelijk heftig uit. Ik ga wat gegevens backuppen, moed verzamelen en morgen een poging wagen.
-
Dan heb je simpelweg niet goed gelezen met wat het werkelijk inhoud.
-
@Birdy : Geweldig advies! De reset heeft gewerkt. Toen ik na de reset een 'renew certificate' probeerde leek het aanvankelijk niet te werken; ik kreeg geen foutmelding meer, maar het certificaat bleef op 'verlopen' staan.
Ik heb, een beetje op goed geluk, de NAS een herstart gegeven en daarna bleek het certificaat wel degelijk een update te hebben gehad.
Een beetje jammer dat ik nu niet weet waarom 't mis ging. En een beetje vreemd dat er een herstart nodig was voordat de status van het certificaat correct werd weergegeven, maar dat mag de pret niet drukken. Ik heb weer een geldig certificaat.
Allemaal ontzettend bedankt voor de hulp!
-
8)
-
Een oorzaak die ik nog kan bedenken is dat het vernieuwen werd tegengehouden door de firewall in de NAS zelf.
-
Die was ook al een keer uitgezet.
-
Ik had de firewall tijdens het testen idd uit staan. Geen probleem. Een beetje jammer dat ik niet weet wat de oorzaak is, maar ook niet iets om wakker over te liggen ;-)
Ik ben vooral blij dat alles weer werkt.