Сертификат let's encrypt

[astramax]

Эксперты, приветствую. 

Кто-нибудь сталкивался с проблемой получения сертификата let's encrypt через DSM? 

У меня DSM выдает "Проверьте правильность настройки IP-адреса, правил обратного прокси и параметров брандмауэра и повторите попытку".

На роутере 80 и 443 порты открыл, веб морда как по внешнему IP. так и по домену из вне открывается. 

Прошу помощи справиться с ситуацией. 

[Olegin]

9 минут назад, astramax сказал:

На роутере 80 и 443 порты открыл, веб морда как по внешнему IP. так и по домену из вне открывается. 

Должны быть спроксированы или прокинуты до IP вашей DSM оба порта и 80 и 443.

[astramax]

2 часа назад, Olegin сказал:

Должны быть спроксированы или прокинуты до IP вашей DSM оба порта и 80 и 443.

Так и сделано. Из вне спокойно авторизовываюсь переходя по IP или доменному имени с использованием 80 и 443 пота

Edited February 21 by astramax
Добавил

[Olegin]

5 часов назад, astramax сказал:

Так и сделано. Из вне спокойно авторизовываюсь переходя по IP или доменному имени с использованием 80 и 443 пота

Ну... Чудес не бывает, проверьте куда 80 прокинут

[astramax]

49 минут назад, Olegin сказал:

Ну... Чудес не бывает, проверьте куда 80 прокинут

Моя последовательность такая. 

 

В настройках роутера я выбираю переадресация порта, далее заполняю:

 

Протокол - TCP

 

Начальный и конечный ip адрес WAN хоста - пусто

 

Начальный и конечный WAN-порт - 80( отдельным правилом 443)

 

LAN ip-адрес - адрес DSM(192.168.0.n)

 

Начальный и конечный LAN порт - 5000 (отдельным правилом 5001 для 443 порта).

 

 

 

Что может быть

не правильно?

 

 

 

[Olegin]

12 часов назад, astramax сказал:

Что может быть

не правильно?

Скиньте пжта скрин с настройками проброса

[grivlad]

У меня аналогичная ситуация, и есть ВАЖНОЕ дополнение.

Проблема только с получением сертификата второго уровня. Сертификат для имени третьего уровня получает и обновляет успешно.

Домен полностью мой, все А-записи на DNS серверах валидные. Порты  проброшены, даже вижу что соответствующий счётчик пакетов на маршрутизаторе увеличивается при попытке получить сертификат. Попробовал получить сертификат на имя третьего уровня - все успешно. Для имени второго уровня - та же ошибка: "Проверьте правильность настройки IP-адреса, правил обратного прокси и параметров брандмауэра и повторите попытку".

mysite.online - ошибка получения

dev.mysite.online - успешно получает серт, и обновляет существующий.

Edited April 17 by grivlad

[XPEH]

5 hours ago, grivlad said:

dev.mysite.online - успешно получает серт, и обновляет существующий.

А *.mysite.online?

[grivlad]

13 часов назад, XPEH сказал:

А *.mysite.online?

Не понял вопроса.

Возможные ответы:

- Мастер создания сертификатов не даёт использовать символ "*".

- У меня есть несколько действующих доменных имён третьего уровня, все с сертификатами, и все сайты/сервисы крутятся на этой DSM.

- NS серверы регистратора содержат запись "*.mysite.online", указывающую что все не объявленные явно поддомены ведут на мой адрес.

- Попытался получить сертификат на поддомен который ранее не использовал (test.mysite.online) и успешно получил.

Edited April 18 by grivlad
исправил ошибки

[XPEH]

При создании запроса на новый серт., возможно указать альтернативные имена, включая *. для всех субдоменов или хостов.

[grivlad]

3 часа назад, XPEH сказал:

При создании запроса на новый серт., возможно указать альтернативные имена, включая *. для всех субдоменов или хостов.

 

Если это и возможно обойти - вопрос не в этом.

Почему сертификат на имя третьего уровня выдается успешно, а на имя второго уровня - не удается.

[XPEH]

6 hours ago, grivlad said:

Почему сертификат на имя третьего уровня выдается успешно, а на имя второго уровня - не удается.

То, что вы называете доменом третьего уровня - имя хоста. В DNS сервере пропишите прямые записи (A) на домен mysite.online и *.mysite.online. Некоторые DNS провайдеры понимают формат @.mysite.online вместо *.mysite.online.

[grivlad]

11 часов назад, XPEH сказал:

То, что вы называете доменом третьего уровня - имя хоста. В DNS сервере пропишите прямые записи (A) на домен mysite.online и *.mysite.online. Некоторые DNS провайдеры понимают формат @.mysite.online вместо *.mysite.online.

Выше писал уже, что все необходимые А-записи уже существуют, я их туда самостоятельно добавил задолго до описанной проблемы. И перепроверил.

Ранее сертификаты получал нормально, но на DSM 6. При переезде на на DSM 7, существующие сертификаты переехали и работали. 11 апреля закончился сертификат на доменное имя. Речь про xpenology.

Для проверки попробовал еще один домен. Домен в зоне ru. Зарегистрирован примерно 10 месяцев назад. А-записи актуальны. Сертифиакат на основной домен получать не удается. На поддомен - получает успешно.

Добавлю:

Только что проверил еще одно доменное имя в зоне ru, на Synology (RS422+ DSM 7.2) - сертификат успешно получает.

Буду дальше копать.

 

Edited April 19 by grivlad
добавил

[grivlad]

Решил проблему.

Регистратор заботливо добавил АААА-запись с IPv6 адресом. А я ее не заметил.

Спасибо всем кто читалписал.