Renovación let's encrypt con hairpin nat

Buenas,

Primero que todo gracias por este foro y por la cantidad de información que hay en él, he aprendido mucho mucho, mucho.

Os cuento mi problema. Tengo un nextcloud montado en una Raspberry 3B sobre mi dominio desde hace tiempo y siempre me ha ido perfecto desde que lo tengo montado.
Llego un día y cambie de ISP, me fui a Vodafone. Aquí llego mi primera sorpresa que no podía acceder a mi red mediante el nombre de mi dominio desde dentro de mi red, es decir, necesitaba que mi equipo hiciera el hairpin o nat loopback. Así pues me monte un router interno para la gestión de mi red de tal forma que por mucho que cambie de ISP ahora solo tengo que decirle al router del ISP que haga un DMZ hacia mi MK y en este tengo toda la redirección de puertos, mi VPN, mis reglas de firewall, etc, etc. y como no en el MK monte el Hairpin para que cuando llamo a mi dominio desde mi red interna tenga respuesta hacia mi servidor de nextcloud, así puedo acceder a mis ficheros, fotos, etc, sin hacer modificaciones tanto desde dentro de mi red como desde fuera de ella.
Mi sorpresa ha sido ahora que cuando tengo que hacer una renovación de mi certificado let's encrypt no he podido de ninguna de las maneras ( desde mi Raspberry ejecuto "certbot -renew").
La unica solución que he encontrado, después de mucho pelear, ha sido conectar mi servidor al router del ISP, quitar el DMZ hacia mi MK, y abrir los puertos 443 y 80 hacia mi servidor con la ip dada por el router del ISP. De está forma he conseguido renovar mi certificado.

Alguien me puede decir porque no puedo hacerlo pasando por mi MK cuando los puertos 443 y 80 están abiertos y redirigidos hacia mi servidor.

Gracias por la ayuda y los comentarios.
 
Buenas,

Primero que todo gracias por este foro y por la cantidad de información que hay en él, he aprendido mucho mucho, mucho.

Os cuento mi problema. Tengo un nextcloud montado en una Raspberry 3B sobre mi dominio desde hace tiempo y siempre me ha ido perfecto desde que lo tengo montado.
Llego un día y cambie de ISP, me fui a Vodafone. Aquí llego mi primera sorpresa que no podía acceder a mi red mediante el nombre de mi dominio desde dentro de mi red, es decir, necesitaba que mi equipo hiciera el hairpin o nat loopback. Así pues me monte un router interno para la gestión de mi red de tal forma que por mucho que cambie de ISP ahora solo tengo que decirle al router del ISP que haga un DMZ hacia mi MK y en este tengo toda la redirección de puertos, mi VPN, mis reglas de firewall, etc, etc. y como no en el MK monte el Hairpin para que cuando llamo a mi dominio desde mi red interna tenga respuesta hacia mi servidor de nextcloud, así puedo acceder a mis ficheros, fotos, etc, sin hacer modificaciones tanto desde dentro de mi red como desde fuera de ella.
Mi sorpresa ha sido ahora que cuando tengo que hacer una renovación de mi certificado let's encrypt no he podido de ninguna de las maneras ( desde mi Raspberry ejecuto "certbot -renew").
La unica solución que he encontrado, después de mucho pelear, ha sido conectar mi servidor al router del ISP, quitar el DMZ hacia mi MK, y abrir los puertos 443 y 80 hacia mi servidor con la ip dada por el router del ISP. De está forma he conseguido renovar mi certificado.

Alguien me puede decir porque no puedo hacerlo pasando por mi MK cuando los puertos 443 y 80 están abiertos y redirigidos hacia mi servidor.

Gracias por la ayuda y los comentarios.
Porque muy probablemente tengas la regla de NAT mal creada, y estés secuestrando el tráfico del puerto 80. Dale un export y lo vemos (firewall completo, porfa)

Saludos!
 
Buenas,
Aquí está, he borrado algunas cosas personales.


También he pensado que para la próxima renovación, lo que puedo hacer es anular el hairpin y hacer una redirección de puertos (443 y 80) a mi servidor y será lo mismo que hice conectando al router de Vodafone.

Gracias.
 
Última edición:
Comenta (deshabilita) la tercera regla de NAT que tienes, y pruebas de nuevo.

Saludos!
 
Gracias por la respuesta,

Lo he hecho, pero ahora ya no me deja renovar, lo renové ayer y no me deja.

pi@DANKO-SERVER:~ $ sudo certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/cxxdffcd.ddns.net.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The following certificates are not due for renewal yet:
/etc/letsencrypt/live/cdddfffrfc.ddns.net/fullchain.pem expires on 2023-01-12 (skipped)
No renewals were attempted.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Tocará esperar al día que corresponda.

Por otra parte ¿no se puede utilizar la renovación que tengo para el MK para ponerla en el servidor apache2 que tengo en el servidor?

Saludos y gracias
 
Arriba