‎Digitalisierungsbox, Synology, LetsEncrypt Port 80 / 443

Telekom Business Community

Telekom hilft Community

Business customers

Telekom Shops

Contact

Digitalisierungsbox, Synology, LetsEncrypt Port 80 / 443

5 years ago

Guten Morgen,

wir betreiben schon lange eine Digitalisierungsbox Premium und dahinter
ein Synology NAS. Auf der Synology ist ein LetsEncrypt Zertifikat installiert.

Bis dato klappte die Erneuerung dieses Zertifikats ohne Probleme, leider schlägt
genau das jetzt fehl. Das LetsEncrypt Zertifikat erneuert sich idR alle 3 Monate.

In der Digitalisierungsbox habe ich die Portfreigaben für diese Erneuerung eingefügt und
mehrfach überprüft, doch scheinbar bekommt die Synology keine Rückmeldung von den, doch eigentlich
freigegebenen IPs auf 80 / 443.

Wie gesagt, bisher hat die Erneuerung funktioniert!

Ich stelle ein paar Screenshots ein und hoffe, dass jemand mich erleuchten kann.

Firmare ist 11.01.03.101 vom 2020/03/02

Vielen Dank im Voraus

01 NAT.jpg FW - Adresse.jpg" style="width: 999px;"> 02 <span data-glossary-matched= FW - Adresse.jpg" alt="02 FW - Adresse.jpg" />FW - Richtlinien.jpg" style="width: 999px;"> 03 <span data-glossary-matched= FW - Richtlinien.jpg" alt="03 FW - Richtlinien.jpg" />

871

5 years ago
Nutzt du eine Firewall, welche den Zugriff auf bestimmte Adressbereiche beschränkt? (Eingehend)

LE prüft seit Mitte / Ende Februar die Erreichbarkeit von mehreren Endpunkten.
Gibt es eine Fehlermeldung, wenn du in DSM das Zertifikat selbst erneuern willst?

https://community.letsencrypt.org/t/acme-v1-v2-validating-challenges-from-multiple-network-vantage-points/112253
1
Answer
from
5 years ago
Die Synology eigene FW , hier sind die LE IPs freigegeben
Testweise habe ich es mehrfach auch mit deaktivierter Syno FW probiert, bekomme allerdings die gleiche Fehlermeldung.

Dazu als Hinweis: auf 4 anderen Synos (mit Fritzboxen und andere Standorte) läuft die Aktualisierung der Zertifikate nach wie vor ohne Probleme.
Daher gehe ich stark davon aus, dass es an der Digibox liegt.

Unlogged in user
Answer
from
5 years ago
Hallo @RS20 ,

deine Portweiterleitungen (http/https) sind von Quelladressen abhängig.

Was würde wohl passieren, wenn letsencrypt diese ändert?

Desweiteren verstehe ich nicht, warum man überhaupt Portweiterleitungen benötigt.

Die Synology sollte doch der Client sein und eine Verbindung zu einem Server aufnehmen.

8
Answer
from
5 years ago

@RS20 schrieb:

ah, jetzt ist der Groschen gefallen @patrickn ,

du meinst, quasi für den Zeitraum der erneuerung kurzfristig in der Digibox die Ports 80 / 443 komplett freigeben auf any /any ?

Entweder das, oder dauerhaft. Egal ob schon bei der Portfreigabe gefiltert wird oder in der Synology Firewall.

LE rät jedenfalls ausdrücklich davon ab, Filter zu nutzen.

Ich hab keine Portfreigaben offen und mach das manuell - LE informiert einen aber auch hier, wenn das Zertifikat abläuft.
Answer
from
5 years ago
@wari1957 @patrickn

Danke euch beiden vielmals. Jetzt hat es endlich funktioniert.

Ich habe nun lediglich unter NAT-Konfig. die Quell-IPs ausgenullt.

Danke!
Answer
from
5 years ago
Hallo @RS20,

herzlich willkommen in unserer Community und vielen Dank für Ihren Beitrag.

Wie ich sehe, gab es hier einen regen Austausch und wie es scheint, gab es auch eine Lösung für Sie.

Sollten Sie noch Unterstützung benötigen, dann melden Sie sich gerne wieder.

Viele Grüße Martina Ha.
Unlogged in user
Answer
from