astramax Posted February 21, 2024 #1 Posted February 21, 2024 Эксперты, приветствую. Кто-нибудь сталкивался с проблемой получения сертификата let's encrypt через DSM? У меня DSM выдает "Проверьте правильность настройки IP-адреса, правил обратного прокси и параметров брандмауэра и повторите попытку". На роутере 80 и 443 порты открыл, веб морда как по внешнему IP. так и по домену из вне открывается. Прошу помощи справиться с ситуацией. Quote
0 Olegin Posted February 21, 2024 #2 Posted February 21, 2024 9 минут назад, astramax сказал: На роутере 80 и 443 порты открыл, веб морда как по внешнему IP. так и по домену из вне открывается. Должны быть спроксированы или прокинуты до IP вашей DSM оба порта и 80 и 443. Quote
0 astramax Posted February 21, 2024 Author #3 Posted February 21, 2024 (edited) 2 часа назад, Olegin сказал: Должны быть спроксированы или прокинуты до IP вашей DSM оба порта и 80 и 443. Так и сделано. Из вне спокойно авторизовываюсь переходя по IP или доменному имени с использованием 80 и 443 пота Edited February 21, 2024 by astramax Добавил Quote
0 Olegin Posted February 21, 2024 #4 Posted February 21, 2024 5 часов назад, astramax сказал: Так и сделано. Из вне спокойно авторизовываюсь переходя по IP или доменному имени с использованием 80 и 443 пота Ну... Чудес не бывает, проверьте куда 80 прокинут Quote
0 astramax Posted February 21, 2024 Author #5 Posted February 21, 2024 49 минут назад, Olegin сказал: Ну... Чудес не бывает, проверьте куда 80 прокинут Моя последовательность такая. В настройках роутера я выбираю переадресация порта, далее заполняю: Протокол - TCP Начальный и конечный ip адрес WAN хоста - пусто Начальный и конечный WAN-порт - 80( отдельным правилом 443) LAN ip-адрес - адрес DSM(192.168.0.n) Начальный и конечный LAN порт - 5000 (отдельным правилом 5001 для 443 порта). Что может быть не правильно? Quote
0 Olegin Posted February 22, 2024 #6 Posted February 22, 2024 12 часов назад, astramax сказал: Что может быть не правильно? Скиньте пжта скрин с настройками проброса Quote
0 grivlad Posted April 17, 2024 #7 Posted April 17, 2024 (edited) У меня аналогичная ситуация, и есть ВАЖНОЕ дополнение. Проблема только с получением сертификата второго уровня. Сертификат для имени третьего уровня получает и обновляет успешно. Домен полностью мой, все А-записи на DNS серверах валидные. Порты проброшены, даже вижу что соответствующий счётчик пакетов на маршрутизаторе увеличивается при попытке получить сертификат. Попробовал получить сертификат на имя третьего уровня - все успешно. Для имени второго уровня - та же ошибка: "Проверьте правильность настройки IP-адреса, правил обратного прокси и параметров брандмауэра и повторите попытку". mysite.online - ошибка получения dev.mysite.online - успешно получает серт, и обновляет существующий. Edited April 17, 2024 by grivlad Quote
0 XPEH Posted April 17, 2024 #8 Posted April 17, 2024 5 hours ago, grivlad said: dev.mysite.online - успешно получает серт, и обновляет существующий. А *.mysite.online? Quote
0 grivlad Posted April 18, 2024 #9 Posted April 18, 2024 (edited) 13 часов назад, XPEH сказал: А *.mysite.online? Не понял вопроса. Возможные ответы: - Мастер создания сертификатов не даёт использовать символ "*". - У меня есть несколько действующих доменных имён третьего уровня, все с сертификатами, и все сайты/сервисы крутятся на этой DSM. - NS серверы регистратора содержат запись "*.mysite.online", указывающую что все не объявленные явно поддомены ведут на мой адрес. - Попытался получить сертификат на поддомен который ранее не использовал (test.mysite.online) и успешно получил. Edited April 18, 2024 by grivlad исправил ошибки Quote
0 XPEH Posted April 18, 2024 #10 Posted April 18, 2024 При создании запроса на новый серт., возможно указать альтернативные имена, включая *. для всех субдоменов или хостов. Quote
0 grivlad Posted April 18, 2024 #11 Posted April 18, 2024 3 часа назад, XPEH сказал: При создании запроса на новый серт., возможно указать альтернативные имена, включая *. для всех субдоменов или хостов. Если это и возможно обойти - вопрос не в этом. Почему сертификат на имя третьего уровня выдается успешно, а на имя второго уровня - не удается. Quote
0 XPEH Posted April 18, 2024 #12 Posted April 18, 2024 6 hours ago, grivlad said: Почему сертификат на имя третьего уровня выдается успешно, а на имя второго уровня - не удается. То, что вы называете доменом третьего уровня - имя хоста. В DNS сервере пропишите прямые записи (A) на домен mysite.online и *.mysite.online. Некоторые DNS провайдеры понимают формат @.mysite.online вместо *.mysite.online. Quote
0 grivlad Posted April 19, 2024 #13 Posted April 19, 2024 (edited) 11 часов назад, XPEH сказал: То, что вы называете доменом третьего уровня - имя хоста. В DNS сервере пропишите прямые записи (A) на домен mysite.online и *.mysite.online. Некоторые DNS провайдеры понимают формат @.mysite.online вместо *.mysite.online. Выше писал уже, что все необходимые А-записи уже существуют, я их туда самостоятельно добавил задолго до описанной проблемы. И перепроверил. Ранее сертификаты получал нормально, но на DSM 6. При переезде на на DSM 7, существующие сертификаты переехали и работали. 11 апреля закончился сертификат на доменное имя. Речь про xpenology. Для проверки попробовал еще один домен. Домен в зоне ru. Зарегистрирован примерно 10 месяцев назад. А-записи актуальны. Сертифиакат на основной домен получать не удается. На поддомен - получает успешно. Добавлю: Только что проверил еще одно доменное имя в зоне ru, на Synology (RS422+ DSM 7.2) - сертификат успешно получает. Буду дальше копать. Edited April 19, 2024 by grivlad добавил Quote
0 grivlad Posted April 19, 2024 #14 Posted April 19, 2024 Решил проблему. Регистратор заботливо добавил АААА-запись с IPv6 адресом. А я ее не заметил. Спасибо всем кто читалписал. Quote
0 -iliya- Posted June 20, 2024 #15 Posted June 20, 2024 В 21.02.2024 в 23:23, astramax сказал: Моя последовательность такая. В настройках роутера я выбираю переадресация порта, далее заполняю: Протокол - TCP Начальный и конечный ip адрес WAN хоста - пусто Начальный и конечный WAN-порт - 80( отдельным правилом 443) LAN ip-адрес - адрес DSM(192.168.0.n) Начальный и конечный LAN порт - 5000 (отдельным правилом 5001 для 443 порта). Что может быть не правильно? в этом то и проблема надо В настройках роутера я выбираю переадресация порта, далее заполняю: Протокол - TCP Начальный и конечный ip адрес WAN хоста - пусто Начальный и конечный WAN-порт - 80,443 можно в одном правиле список портов через зпт LAN ip-адрес - адрес DSM(192.168.0.n) Начальнй и конечный LAN порт - 5000 (отдельным правилом 5001 для 443 порта). вот тут как раз пусто надо оставить так как и должно переадресует из 80 в 80 из 443 в 443 а не в 5001 и тд. по этому сино и резервит 80 и 443 для своих целей и не получается drive и другие службы на эти порты завести. Quote
Question
astramax
Эксперты, приветствую.
Кто-нибудь сталкивался с проблемой получения сертификата let's encrypt через DSM?
У меня DSM выдает "Проверьте правильность настройки IP-адреса, правил обратного прокси и параметров брандмауэра и повторите попытку".
На роутере 80 и 443 порты открыл, веб морда как по внешнему IP. так и по домену из вне открывается.
Прошу помощи справиться с ситуацией.
14 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.