[Odido] [NGINX] Problemen met certificaten

Vraag

maandag 17 maart 2025 15:34

Acties:

0 Henk 'm!

Retarded or just overjoyed!

Topicstarter

Ik heb sinds vandaag een Odido verbinding (glas) met een T56
Nu had ik hiervoor KPN en daar portfowarding om de docker instanties van mijn NAS te benaderen via DuckDNS

Op de Synology heb ik NGINX (NPM) draaien waar alle hostst geconfigureerd zijn met verwijzing naar de desbetreffende interne IP en poort.
Via DuckDNS een domein die verwijst naar mijn huidige externe IP.

Echter als ik nu port forwarding regels in de Zyxel aanleg krijg ik steevast de volgende melding
net::ERR_CERT_DATE_INVALID
of
DNS_PROBE_FINISHED_NXDOMAIN.

Loop nu een beetje vast waar het in zit want enerzijds zegt hij soms het certificaat (LetsEncrypt) niet correct is qua datum (verversen via NGINX werkt ook niet)
en de andere keer zegt hij weer dat de DNS niet correct is.

Intern kan ik gewoon met de IP adressen en de juiste poort naar de instanties.

Kom er even niet meer uit zo en maak er best veel gebruik van, onder andere Home Assistant in Virtuele machine en dus de Dockers op de NAS die ik nu niet meer kan bereiken.

Als het ergens pijn doet, wil ik erop drukken

Beste antwoord (via rens-br op 19-03-2025 13:22)

woensdag 19 maart 2025 11:12

rens-br

Admin IN & Moderator Mobile

Rubman schreef op woensdag 19 maart 2025 @ 11:06:
[...]

Ja dat heb ik door, het zit ergens in de certificaten, kom er echter niet achter of het nu in een ODIDO/Zyxel certificaat zit of ergens in mijn NGINX instantie.
Die laatste zelfs helemaal uitgezet voor wat testen, maar dan nog krijg ik de certificaat fouten waar ik eigenlijk gewoon niets verwacht gezien de proxy uit staat.

Kan je de certificaten helemaal verwijderen en daarna opnieuw laten aanmaken?

Alle reacties

maandag 17 maart 2025 16:52

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

Rubman schreef op maandag 17 maart 2025 @ 15:34:
Ik heb sinds vandaag een Odido verbinding (glas) met een T56
Nu had ik hiervoor KPN en daar portfowarding om de docker instanties van mijn NAS te benaderen via DuckDNS

Op de Synology heb ik NGINX (NPM) draaien waar alle hostst geconfigureerd zijn met verwijzing naar de desbetreffende interne IP en poort.
Via DuckDNS een domein die verwijst naar mijn huidige externe IP.

Echter als ik nu port forwarding regels in de Zyxel aanleg krijg ik steevast de volgende melding
net::ERR_CERT_DATE_INVALID
of
DNS_PROBE_FINISHED_NXDOMAIN.

Loop nu een beetje vast waar het in zit want enerzijds zegt hij soms het certificaat (LetsEncrypt) niet correct is qua datum (verversen via NGINX werkt ook niet)
en de andere keer zegt hij weer dat de DNS niet correct is.

Intern kan ik gewoon met de IP adressen en de juiste poort naar de instanties.

Kom er even niet meer uit zo en maak er best veel gebruik van, onder andere Home Assistant in Virtuele machine en dus de Dockers op de NAS die ik nu niet meer kan bereiken.

Welke poort forwards ben je aan het instellen? Voor Ngnix heb je alleen 444 en 80 nodig natuurlijk.

maandag 17 maart 2025 16:54

Acties:

+1 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

rens-br schreef op maandag 17 maart 2025 @ 16:52:
[...]

Welke poort forwards ben je aan het instellen? Voor Ngnix heb je alleen 444 en 80 nodig natuurlijk.

Nou precies die dus.

Als het ergens pijn doet, wil ik erop drukken

maandag 17 maart 2025 17:51

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

Rubman schreef op maandag 17 maart 2025 @ 16:54:
[...]

Nou precies die dus.

Ik gebruik zelf ook duckdns en die heeft vandaag wel veel storingen. Mijn domoticz installatie is ook vaker niet bereikbaar dan wel.

maandag 17 maart 2025 18:22

Acties:

0 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

rens-br schreef op maandag 17 maart 2025 @ 17:51:
[...]

Ik gebruik zelf ook duckdns en die heeft vandaag wel veel storingen. Mijn domoticz installatie is ook vaker niet bereikbaar dan wel.

Ja dat kan het natuurlijk zijn, maar had vlak voor de overgang nog wel toegang dus het lijkt echt in de nieuwe combinatie van Modem Odido, NGINX (npm versie) en DuckDNS te liggen.

Dan maar even induiken of alles opnieuw inrichten.

Als het ergens pijn doet, wil ik erop drukken

maandag 17 maart 2025 21:59

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

Rubman schreef op maandag 17 maart 2025 @ 18:22:
[...]

Ja dat kan het natuurlijk zijn, maar had vlak voor de overgang nog wel toegang dus het lijkt echt in de nieuwe combinatie van Modem Odido, NGINX (npm versie) en DuckDNS te liggen.

Dan maar even induiken of alles opnieuw inrichten.

Hier werkt die combinatie overigens prima op een Odido verbinding. Maar ik gebruik de Zyxel dan weer niet.

dinsdag 18 maart 2025 09:53

Acties:

0 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

rens-br schreef op maandag 17 maart 2025 @ 21:59:
[...]

Hier werkt die combinatie overigens prima op een Odido verbinding. Maar ik gebruik de Zyxel dan weer niet.

Ja het lijkt ook op een Certificaat fout. Krijg een "net::err_cert_date_invalid" melding (ongeacht wel device ik het mee probeer)
Klik ik verder zegt hij vrolijk eindigt ergens juli 2024 dus stik erin met je certificaat (begrijpelijk)
NGINX zegt echter nee joh 26 juni 2025 pas dus hij doet het gewoon.

NGINX update automatisch de certificaten dus dat zou het niet mogen zijn.

Ook de modem zelf blijft steeds wel HTTPS als URL maar niet gecertificeerd (dus rood doorstreept etc) krijg daarom het idee dat het toch ergens bij een ODIDO of het modem ligt.

Als het ergens pijn doet, wil ik erop drukken

dinsdag 18 maart 2025 09:59

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

Rubman schreef op dinsdag 18 maart 2025 @ 09:53:
[...]

Ja het lijkt ook op een Certificaat fout. Krijg een "net::err_cert_date_invalid" melding (ongeacht wel device ik het mee probeer)
Klik ik verder zegt hij vrolijk eindigt ergens juli 2024 dus stik erin met je certificaat (begrijpelijk)
NGINX zegt echter nee joh 26 juni 2025 pas dus hij doet het gewoon.

NGINX update automatisch de certificaten dus dat zou het niet mogen zijn.

Ook de modem zelf blijft steeds wel HTTPS als URL maar niet gecertificeerd (dus rood doorstreept etc) krijg daarom het idee dat het toch ergens bij een ODIDO of het modem ligt.

En probeer je dit te testen vanuit je eigen Odido verbinding of vanuit buiten? Ik weet het niet zeker, maar het kan zijn dat je Zyxel geen NAT Loopback ondersteund.

dinsdag 18 maart 2025 10:02

Acties:

+1 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

rens-br schreef op dinsdag 18 maart 2025 @ 09:59:
[...]

En probeer je dit te testen vanuit je eigen Odido verbinding of vanuit buiten? Ik weet het niet zeker, maar het kan zijn dat je Zyxel geen NAT Loopback ondersteund.

Beide en ook nog met meerdere devices allemaal hetzelfde resultaat.

Als het ergens pijn doet, wil ik erop drukken

woensdag 19 maart 2025 10:21

Acties:

0 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

Nou hier gaat de neiging ook steeds meer om maar eens de portemonee te trekken voor een UDM ofzo.
Krijg het met de Zyxel niet voor elkaar om fatsoenlijk de poorten door te sturen.
Waar ik eerst dacht dat het de certificaatfout in mijn NGINX instantie zat ben ik er nu wel achter dat dit niet zo is.

Heb de hele docker eruit gegooid en zelfs dan krijg ik de melding Cert_date_Invalid. Dit ligt dan echt niet meer bij mijn Letsencrypt certificaten.

Als het ergens pijn doet, wil ik erop drukken

woensdag 19 maart 2025 10:28

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

Rubman schreef op woensdag 19 maart 2025 @ 10:21:
Nou hier gaat de neiging ook steeds meer om maar eens de portemonee te trekken voor een UDM ofzo.
Krijg het met de Zyxel niet voor elkaar om fatsoenlijk de poorten door te sturen.
Waar ik eerst dacht dat het de certificaatfout in mijn NGINX instantie zat ben ik er nu wel achter dat dit niet zo is.

Zou je eens, bij wijze van test een poort kunnen openen naar je interne netwerk? Bijvoorbeeld die alleen van HA en eens kijken of dat wel werkt?

En op welke manier ben je de poorten aan het openen? Heb je screenshots van de interface?

woensdag 19 maart 2025 10:40

Acties:

0 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

rens-br schreef op woensdag 19 maart 2025 @ 10:28:
[...]

Zou je eens, bij wijze van test een poort kunnen openen naar je interne netwerk? Bijvoorbeeld die alleen van HA en eens kijken of dat wel werkt?

En op welke manier ben je de poorten aan het openen? Heb je screenshots van de interface?

Ook inloggen op het modem geeft een CERT fout (die kan ik echter wel negeren en doorzetten. Wel keurig met een HTTPS die niets doet

Wat betreft de poorten zie hieronder, heb er inmiddels wat meer open staan om rechtstreeks naar de Synology te kunnen via HTTP en de HTTPS te testen (de 41 en 42 combi)

Afbeeldingslocatie: https://tweakers.net/i/fIFYjXrLFM9c8L_Y03Rw38E6QBc=/800x/filters:strip_exif()/f/image/fvA0KVsdoHCXQ56avABBDG1g.png?f=fotoalbum_large

Maar ook als ik met de externe IP rechtstreeks naar bijvoorbeeld Home Assistant of de Synology wil gaan geeft hij een error zodra er HTTPS gebruikt wordt.

[ Voor 6% gewijzigd door Rubman op 19-03-2025 10:42 ]

Als het ergens pijn doet, wil ik erop drukken

woensdag 19 maart 2025 10:49

Acties:

+1 Henk 'm!

AapBart

Rubman schreef op woensdag 19 maart 2025 @ 10:40:
[...]

Ook inloggen op het modem geeft een CERT fout (die kan ik echter wel negeren en doorzetten. Wel keurig met een HTTPS die niets doet
[Afbeelding]

Klopt dat je die meldingen krijgt, want in het certificaat van het endpoint staat niet het ip-adres opgenomen, maar altijd de dnsnaam.

woensdag 19 maart 2025 10:51

Acties:

0 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

AapBart schreef op woensdag 19 maart 2025 @ 10:49:
[...]

Klopt dat je die meldingen krijgt, want in het certificaat van het endpoint staat niet het ip-adres opgenomen, maar altijd de dnsnaam.

Dan is dat in ieder geval 1 ding wat klopt, maar nu de rest nog.

Als het ergens pijn doet, wil ik erop drukken

woensdag 19 maart 2025 10:59

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

Rubman schreef op woensdag 19 maart 2025 @ 10:40:
Maar ook als ik met de externe IP rechtstreeks naar bijvoorbeeld Home Assistant of de Synology wil gaan geeft hij een error zodra er HTTPS gebruikt wordt.

Dat is nog niet zo'n probleem, maar als dat wel werkt, dan weet je in ieder geval wel dat de port forwards iets lijken te doen.

woensdag 19 maart 2025 11:01

Acties:

0 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

rens-br schreef op woensdag 19 maart 2025 @ 10:59:
[...]

Dat is nog niet zo'n probleem, maar als dat wel werkt, dan weet je in ieder geval wel dat de port forwards iets lijken te doen.

Ja maar enkel met HTTP, zodra ik HTTPS gebruik is het ERROR!

Als het ergens pijn doet, wil ik erop drukken

woensdag 19 maart 2025 11:03

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

Rubman schreef op woensdag 19 maart 2025 @ 11:01:
[...]

Ja maar enkel met HTTP, zodra ik HTTPS gebruik is het ERROR!

Je port forwards hebben niks van doen met http of https, het probleem lijkt dus ergens anders in te zitten.

woensdag 19 maart 2025 11:06

Acties:

0 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

rens-br schreef op woensdag 19 maart 2025 @ 11:03:
[...]

Je port forwards hebben niks van doen met http of https, het probleem lijkt dus ergens anders in te zitten.

Ja dat heb ik door, het zit ergens in de certificaten, kom er echter niet achter of het nu in een ODIDO/Zyxel certificaat zit of ergens in mijn NGINX instantie.
Die laatste zelfs helemaal uitgezet voor wat testen, maar dan nog krijg ik de certificaat fouten waar ik eigenlijk gewoon niets verwacht gezien de proxy uit staat.

Als het ergens pijn doet, wil ik erop drukken

woensdag 19 maart 2025 11:12

Acties:

Beste antwoord ✓
0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

Rubman schreef op woensdag 19 maart 2025 @ 11:06:
[...]

Ja dat heb ik door, het zit ergens in de certificaten, kom er echter niet achter of het nu in een ODIDO/Zyxel certificaat zit of ergens in mijn NGINX instantie.
Die laatste zelfs helemaal uitgezet voor wat testen, maar dan nog krijg ik de certificaat fouten waar ik eigenlijk gewoon niets verwacht gezien de proxy uit staat.

Kan je de certificaten helemaal verwijderen en daarna opnieuw laten aanmaken?

woensdag 19 maart 2025 11:16

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

@Rubman Verder heb ik je vraag even losgetrokken van het Odido topic. Een los topic is gezien de problemen handiger.

woensdag 19 maart 2025 11:29

Acties:

+1 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

Ik lijk het probleem trouwens gevonden te hebben.
Blijkt dat mijn Synology ook nog het certificaat ergens heeft staan, maar dan keurig expired.
Moet dus de NGINX certificaat die vernieuwd is naar de Synology krijgen.

Als het ergens pijn doet, wil ik erop drukken

woensdag 19 maart 2025 13:23

Acties:

0 Henk 'm!

Rubman

Retarded or just overjoyed!

Topicstarter

Het euvel is opgelost.

Bleek enerzijds dat het certificaat op Synology zelf nog ergens lag te bokken voor de certificaat foutmeldingen en daarnaast webstation en een andere poort toewijzing van NGINX Proxy Manager die ervoor zorgde dat ik enkel naar de DSM omgeving werd gestuurd of op de default landing page kwam van webstation

Als het ergens pijn doet, wil ik erop drukken

Pagina: 1

Reageer

Onderwerpen

Vraag

Beste antwoord (via rens-br op 19-03-2025 13:22)

Alle reacties