Probleem met LetsEncrypt

[PeterKaagman]

Hi Forum

Ik heb wat problemen met LetsEncrypt... wat is het geval:

Ik heb een DS112 DSM versie 6.2.3-25426, hostname leacher. Deze hangt achter een Sonicwall firewall/router. Poorten 80 en 443 worden geforward naar de DSM. Dit heb ik vervolgens getest door in webstation een virtual host "test" te maken. Deze is, via http en https, bereikbaar vanuit het 4G netwerk. De test site, behalve een security warning bij https uiteraard, is normaal bereikbaar. DNS voor mijn domein is geregeld via TransIP.

So far so good zou je denken.

Maar ik kan geen certificaat installeren met LetsEncrypt. Elke keer als ik dat probeer krijg ik de melding "Geen antwoord van de doelserver. Probeer het later opnieuw". In /var/log/messages staat de volgende melding:

Code: [Selecteer]

2020-09-26T10:22:23+02:00 Leacher synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[9322]: certificate.cpp:1399 Failed to create Let's Encrypt certificate. [100][Server is not reachable.]

Ik dacht toen dat LetsEncrypt niet bereikbaar is. Ben gaan googlen naar die fout, en vond inderdaad een issue met IPV6. DSM schijnt daar een voorkeur voor te hebben, en ik heb geen rules in mij firewall voor IPV6. Ik kon letsencrypt.org dan ook niet pingen, dat probeerde DSM via IPV6. Ik heb IPV6 daarna uitgezet op de interface. Daarna kon ik normaal pingen:

Code: [Selecteer]

--- letsencrypt.org ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4031ms
rtt min/avg/max/mdev = 15.624/16.283/17.036/0.478 ms

Maar de foutmelding bleef hetzelfde. Dit loste het dus niet op.

Bij de aanvraag gebruik ik de volgende gegevens:


- Domeinnaam is geblocked omdat het forum daarover klaagt (ik zou spammen)
- Plaat staat op de eerder genoemde test site

Een packet trace op mijn firewall laat verkeer zien tijdens een certificaat aanvraag. Er worden geen packages gedropped echter.

Ik weet ff niet meer hoe ik verder moet. Ik zal vast iets missen, iets over het hoofd zien. Maar ik wil dit wel graag aan de praat krijgen. Het is tegenwoordig immers not done om een self signed cert te hebben. Zou ook niet nodig moeten zijn.

Mijn vraag aan jullie dan ook:
- wat zie ik over het hoofd?
- wat kan ik nog doen?

Peter

[PeterKaagman]

Hmmm... omdat Birdy mijn topic verplaatst heeft (waarvoor dank _0_) zie ik nu ook het sticky topic over een wildcard cert. Ga dat eens doen vandaag. Ziet er goed uit!

[zandhaas]

Even voor de zekerheid:

Mogen we aannemen dat als je via 4G verbinding maakt je Synology je de zelfde domein naam gebruikt als die je bij het aanmaken van LetsEncrypt invult?

[Briolet]

Ik heb de link van het plaatje naar http veranderd omdat het bij de andere bezoekers niet getoond werd door het gebruik van een 'self-signed' certificaat.

[Briolet]

Volgens mij doe je ook niets fout. De procedure is vrij simpel en jij volgt die.

Poort 80 staat open en beide domeinnamen wijzen naar jouw nas. Dat zou voldoende moeten zijn.

Ik heb wel iets nieuws geleerd bij dit forum. Plaatjes die naar externe sites wijzen, worden getoont via een proxy. Jij hebt het plaatje later aangepast, maar de proxyserver van dit forum heeft het plaatje gecached en toont jouw veranderingen niet.

Overigens is het doorhalen van domeinnamen zinloos als je het plaatje op dat zelfde domein host. Die link staat dan ook gewoon in de browser.

[Briolet]

Heb je in de firewall wel poort 80 voor de hele wereld open staan en niet alleen binnen Europa?

[PeterKaagman]

Mogen we aannemen dat als je via 4G verbinding maakt je Synology je de zelfde domein naam gebruikt als die je bij het aanmaken van LetsEncrypt invult?

Ja... ik maak verbinding met hetzelfde domein als waar het plaatje op staat.

[PeterKaagman]

Overigens is het doorhalen van domeinnamen zinloos als je het plaatje op dat zelfde domein host. Die link staat dan ook gewoon in de browser.

Ja dat weet ik
Daarom deed ik het ook niet.... het forum klaagde dat ik contactgegeven had staan.
Als je mijn naam googled kom je sowieso op mijn domein.... dat wegpoetsen is dan ook redelijk zinloos.

Oeps
Dit doe ik niet handig met al die replies zonder quote
Ik kan geen berichten verwijderen... kan een mod dat wel?
Dan graag.... knap ik het ff op.

[PeterKaagman]

k heb de link van het plaatje naar http veranderd omdat het bij de andere bezoekers niet getoond werd door het gebruik van een 'self-signed' certificaat.

Dank je... ik zat hem wel omdat ik het certificaat al geaccepteerd had. Realiseerde ik mij niet.

[PeterKaagman]

Heb je in de firewall wel poort 80 voor de hele wereld open staan en niet alleen binnen Europa?

Moest het even nakijken... maar ik doe niet aan geo blocking.

[Briolet]

. het forum klaagde dat ik contactgegeven had staan.

Ik heb hier geen ervaring mee, maar op de achtergrond draaien allerlei filters die nieuwe gebruikers moeten weren die alleen een account aanmaken om later spam te kunnen plaatsen. Ook de goeden hebben hier soms last van.