jchudoba Pozor, požadavek se posílá na acme-v02.api.letsencrypt.org, ale reakce (validační požadavek) může přijít odkudkoli. Proto ten mezikrok s ještě dalším adresslistem. Ale třeba píšeme o tom samém a jen jsi zjednodušil popis, zejména když píšeš že to prošlo. Rozhodně se ale shodujeme na tom že vystavovat neomezeně 443 plus 80 do celého vesmíru 24/7 je nadbytečné.
Aha, tak to jsem neudělal. Já pochopil z tohoto příspěvku, že opravdu stačí povolit komunikaci pro tuto adresu.
"Practically speaking, only acme-v02.api.letsencrypt.org is required for successful operation of a Let’s Encrypt client."
Jinak ano, puštěnou 80, případně i 443 do celého světa jen kvůli LE mít nechci, ale nenapadly mě řešení jako si psal ty nebo pixall. Určitě něco z toho vyzkouším.
jchudoba Jo pozor, psal jsi o obnově již existujícího certifikátu, nebo o zřízení zcela nového? Zkus prosím ještě zcela nový, s novým DNS jménem (na který nikdy nebyl LE vydán). Mám malé podezření, ale to rozvinu nebo nerozvinu až podle výsledku.
Psal jsem o obnově. Dnes jsem teda zkusil vygenerovat nový certifikát na novou doménu (test.server.cz), s povolenou 80 pouze z adresy acme-v02.api.letsencrypt.org (tak jako ta obnova) a neprošlo to. Zkusil jsem obnovu a ta se povedla.
Takže pro úspěšné vygenerování jsem musel povolit 80 z celého internetu, pak se povedlo.
jchudoba Buď to bylo jinak než je prezentováno (neříkám že úmyslně, třeba bylo jinak ještě něco)
Teď jsem to ještě znovu celé ověřil a ano, jednu věc jsem napsal špatně, moje nepozornost.. Takže ještě jednou, níže vypíšu kombinace nastavení NAT, kdy to funguje a kdy ne (výpis pouze zapnutých NAT pravidel):
VPN se odpojí (video: https://www.youtube.com/watch?v=p0kUJKE-VRc)
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Synology - HTTP - Lets Encrypt" dst-address-type="" dst-port=80 in-interface=ether1-WAN protocol=tcp to-addresses=192.168.96.2 to-ports=80
VPN je funkční
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Synology - HTTP - Lets Encrypt" dst-address-type=local dst-port=80 in-interface=ether1-WAN protocol=tcp to-addresses=192.168.96.2 to-ports=80
VPN se připojí, ale weby vrací chybu certifikátu - omlouvám se, toto jsem předtím nenapsal
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Synology - HTTPS - Lets Encrypt" dst-address-type="" dst-port=443 in-interface=ether1-WAN protocol=tcp to-addresses=192.168.96.2 to-ports=443
VPN je funkční
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Synology - HTTPS - Lets Encrypt" dst-address-type=local dst-port=443 in-interface=ether1-WAN protocol=tcp to-addresses=192.168.96.2 to-ports=443
Udělal jsem v tom trošku chaos, to se omlouvám, teď by to mělo být v pořádku.