Hallo zusammen,
es gibt ja die Möglichkeit sich ein Let's Encrypt Zertifikat für eigene Domains über das QNAP Webinterface zu beantragen. Ich möchte dies gerne für meine Domain nas.occucloud.de tun.
Es gibt hier eine kleine Besonderheit: Mein Provider (Unitymedia/Vodafone) gibt mir keine public IPv4 Adresse. Daher muss ich mit einer IPv6 Adresse leben, wo ich allerdings das NAS direkt mit ansprechen kann (ich habe das NAS in der Fritz!Box als "Exposed Host" konfiguriert). Nun brauche ich trotzdem IPv4, weil z.B. das O2 Mobilfunknetz oder das Netzwerk meines Arbeitgebers kein IPv6 unterstützt. Ich habe mir daher eine Lösung gebastelt: Man nehme einen VServer, gebe diesem eine weitere IPv4 Adresse und tunnele alles zur IPv6 Adresse des QNAP NAS. Das geht mit 6tunnel. Mit den folgenden Bash-Befehlen wird die IPv4 Adresse 45.91.101.26 auf die IPv6 Adresse 2a02:908:2220:7200:265e:beff:fe31:9bf9 gemappt und zwar für die Ports 80, 8080, 8081, 443, 22 [zu 2222] und 5001:
6tunnel -l 45.91.101.26 80 2a02:908:2220:7200:265e:beff:fe31:9bf9 80
6tunnel -l 45.91.101.26 8080 2a02:908:2220:7200:265e:beff:fe31:9bf9 8080
6tunnel -l 45.91.101.26 8081 2a02:908:2220:7200:265e:beff:fe31:9bf9 8081
6tunnel -l 45.91.101.26 443 2a02:908:2220:7200:265e:beff:fe31:9bf9 443
6tunnel -l 45.91.101.26 2222 2a02:908:2220:7200:265e:beff:fe31:9bf9 22
6tunnel -l 45.91.101.26 5001 2a02:908:2220:7200:265e:beff:fe31:9bf9 5001
Nun nur noch die IPv4 Adresse vom Server als DNS Eintrag hinterlegen. Das Ganze funktioniert auch entsprechend. Ich komme von nas.occucloud.de auf mein NAS über HTTPS (Port 443). Nur halt nur mit einem Zertifikat für occunas.myqnapcloud.com, was so natürlich nicht ok ist. Während mein Firefox mir die Verbindung also verweigert (weil unsicher), kann ich z.B. mit den Android-Apps Qfile und Qphoto auf das NAS zugreifen, weil denen das kaputte Zertifikat anscheinend völlig egal ist (Schande auf QNAP!)
Ob diese Trickserei für die folgende Problematik überhaupt relevant ist, kann ich so nicht sagen. Aber ich wollte diese getrickste Config trotzdem erwähnen, falls das doch einen Einfluss hat. Über den AAAA-Record ist übrigens zusätzlich die IPv6 Adresse des NAS hinterlegt, sodass ein direkter Zugriff möglich wäre, sobald sich ein Client dafür entscheidet IPv6 zu benutzen. IPv4 ist also eine Art Fallback.
Nun möchte ich mir ein Zertifikat für nas.occucloud.de holen (vgl. Screenshots). Das Ganze schlägt fehl mit:
Es wurde keine Domainvalidierungsherausforderungen vom ACME-Server empfangen. Stellen Sie sicher, dass sowohl Ihr Router als auch das QNAP-Geräte ankommenden Verkehr an den Ports 80 und 443 untersützen, da dies eine Voraussetzung von Let's Encrypt ist.
Ich muss dazu sagen: Das Ganze hatte sogar schon mal geklappt! Ich hatte mit dieser Methode schon mal ein Zertifikat bekommen. Nur warum zum Teufel geht das jetzt nicht mehr? Hat sich was geändert? Was läuft da falsch?
Danke für eure Hilfe.
Mit freundlichen Grüßen
Markus
NAS: TS-231P
Firmware-Version: 4.4.2.1302
Router: FRITZ!Box 6490 Cable (FRITZ!OS: 07.10)