astramax Posted February 21 Share #1 Posted February 21 Эксперты, приветствую. Кто-нибудь сталкивался с проблемой получения сертификата let's encrypt через DSM? У меня DSM выдает "Проверьте правильность настройки IP-адреса, правил обратного прокси и параметров брандмауэра и повторите попытку". На роутере 80 и 443 порты открыл, веб морда как по внешнему IP. так и по домену из вне открывается. Прошу помощи справиться с ситуацией. Quote Link to comment Share on other sites More sharing options...
0 Olegin Posted February 21 Share #2 Posted February 21 9 минут назад, astramax сказал: На роутере 80 и 443 порты открыл, веб морда как по внешнему IP. так и по домену из вне открывается. Должны быть спроксированы или прокинуты до IP вашей DSM оба порта и 80 и 443. Quote Link to comment Share on other sites More sharing options...
0 astramax Posted February 21 Author Share #3 Posted February 21 (edited) 2 часа назад, Olegin сказал: Должны быть спроксированы или прокинуты до IP вашей DSM оба порта и 80 и 443. Так и сделано. Из вне спокойно авторизовываюсь переходя по IP или доменному имени с использованием 80 и 443 пота Edited February 21 by astramax Добавил Quote Link to comment Share on other sites More sharing options...
0 Olegin Posted February 21 Share #4 Posted February 21 5 часов назад, astramax сказал: Так и сделано. Из вне спокойно авторизовываюсь переходя по IP или доменному имени с использованием 80 и 443 пота Ну... Чудес не бывает, проверьте куда 80 прокинут Quote Link to comment Share on other sites More sharing options...
0 astramax Posted February 21 Author Share #5 Posted February 21 49 минут назад, Olegin сказал: Ну... Чудес не бывает, проверьте куда 80 прокинут Моя последовательность такая. В настройках роутера я выбираю переадресация порта, далее заполняю: Протокол - TCP Начальный и конечный ip адрес WAN хоста - пусто Начальный и конечный WAN-порт - 80( отдельным правилом 443) LAN ip-адрес - адрес DSM(192.168.0.n) Начальный и конечный LAN порт - 5000 (отдельным правилом 5001 для 443 порта). Что может быть не правильно? Quote Link to comment Share on other sites More sharing options...
0 Olegin Posted February 22 Share #6 Posted February 22 12 часов назад, astramax сказал: Что может быть не правильно? Скиньте пжта скрин с настройками проброса Quote Link to comment Share on other sites More sharing options...
0 grivlad Posted April 17 Share #7 Posted April 17 (edited) У меня аналогичная ситуация, и есть ВАЖНОЕ дополнение. Проблема только с получением сертификата второго уровня. Сертификат для имени третьего уровня получает и обновляет успешно. Домен полностью мой, все А-записи на DNS серверах валидные. Порты проброшены, даже вижу что соответствующий счётчик пакетов на маршрутизаторе увеличивается при попытке получить сертификат. Попробовал получить сертификат на имя третьего уровня - все успешно. Для имени второго уровня - та же ошибка: "Проверьте правильность настройки IP-адреса, правил обратного прокси и параметров брандмауэра и повторите попытку". mysite.online - ошибка получения dev.mysite.online - успешно получает серт, и обновляет существующий. Edited April 17 by grivlad Quote Link to comment Share on other sites More sharing options...
0 XPEH Posted April 17 Share #8 Posted April 17 5 hours ago, grivlad said: dev.mysite.online - успешно получает серт, и обновляет существующий. А *.mysite.online? Quote Link to comment Share on other sites More sharing options...
0 grivlad Posted April 18 Share #9 Posted April 18 (edited) 13 часов назад, XPEH сказал: А *.mysite.online? Не понял вопроса. Возможные ответы: - Мастер создания сертификатов не даёт использовать символ "*". - У меня есть несколько действующих доменных имён третьего уровня, все с сертификатами, и все сайты/сервисы крутятся на этой DSM. - NS серверы регистратора содержат запись "*.mysite.online", указывающую что все не объявленные явно поддомены ведут на мой адрес. - Попытался получить сертификат на поддомен который ранее не использовал (test.mysite.online) и успешно получил. Edited April 18 by grivlad исправил ошибки Quote Link to comment Share on other sites More sharing options...
0 XPEH Posted April 18 Share #10 Posted April 18 При создании запроса на новый серт., возможно указать альтернативные имена, включая *. для всех субдоменов или хостов. Quote Link to comment Share on other sites More sharing options...
0 grivlad Posted April 18 Share #11 Posted April 18 3 часа назад, XPEH сказал: При создании запроса на новый серт., возможно указать альтернативные имена, включая *. для всех субдоменов или хостов. Если это и возможно обойти - вопрос не в этом. Почему сертификат на имя третьего уровня выдается успешно, а на имя второго уровня - не удается. Quote Link to comment Share on other sites More sharing options...
0 XPEH Posted April 18 Share #12 Posted April 18 6 hours ago, grivlad said: Почему сертификат на имя третьего уровня выдается успешно, а на имя второго уровня - не удается. То, что вы называете доменом третьего уровня - имя хоста. В DNS сервере пропишите прямые записи (A) на домен mysite.online и *.mysite.online. Некоторые DNS провайдеры понимают формат @.mysite.online вместо *.mysite.online. Quote Link to comment Share on other sites More sharing options...
0 grivlad Posted April 19 Share #13 Posted April 19 (edited) 11 часов назад, XPEH сказал: То, что вы называете доменом третьего уровня - имя хоста. В DNS сервере пропишите прямые записи (A) на домен mysite.online и *.mysite.online. Некоторые DNS провайдеры понимают формат @.mysite.online вместо *.mysite.online. Выше писал уже, что все необходимые А-записи уже существуют, я их туда самостоятельно добавил задолго до описанной проблемы. И перепроверил. Ранее сертификаты получал нормально, но на DSM 6. При переезде на на DSM 7, существующие сертификаты переехали и работали. 11 апреля закончился сертификат на доменное имя. Речь про xpenology. Для проверки попробовал еще один домен. Домен в зоне ru. Зарегистрирован примерно 10 месяцев назад. А-записи актуальны. Сертифиакат на основной домен получать не удается. На поддомен - получает успешно. Добавлю: Только что проверил еще одно доменное имя в зоне ru, на Synology (RS422+ DSM 7.2) - сертификат успешно получает. Буду дальше копать. Edited April 19 by grivlad добавил Quote Link to comment Share on other sites More sharing options...
0 grivlad Posted April 19 Share #14 Posted April 19 Решил проблему. Регистратор заботливо добавил АААА-запись с IPv6 адресом. А я ее не заметил. Спасибо всем кто читалписал. Quote Link to comment Share on other sites More sharing options...
Question
astramax
Эксперты, приветствую.
Кто-нибудь сталкивался с проблемой получения сертификата let's encrypt через DSM?
У меня DSM выдает "Проверьте правильность настройки IP-адреса, правил обратного прокси и параметров брандмауэра и повторите попытку".
На роутере 80 и 443 порты открыл, веб морда как по внешнему IP. так и по домену из вне открывается.
Прошу помощи справиться с ситуацией.
Link to comment
Share on other sites
13 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.