Ik heb een paar servers die ik op mijn fritszbox open wil zetten van buiten af. Hiervoor wil ik natuurlijk een https verbinding mogelijk maken. Dus volgens mij is Let’s Encrypt dan een goede optie. Echter heb ik nog nooit zoiets gedaan en voordat ik hieraan begin zou ik graag een stappenplan hebben wat ik kan volgen.
Om te beginnen:
Kan dit via de standaard naam …connected.by.freedominter.net, of moet ik dan een eigen domein registreren?
En hoe dan verder?
Eigendomein.
Best lastig wanneer je dit nog nooit hebt gedaan en los daarvan natuurlijk wel weet wat je (waar/om) doet.
Verder zal je wat moeten tweaken zodat de apparaten waarvoor je een certificaat wil registeren als zodanig ook kan worden aangesproken door de LetsEncrypt server(s) die expliciet controleren of je apparaat direct bereikbaar aan het internet hangt.
Wat ik doe voor een IPv4 certificaat, is heel even al het verkeer van buiten op poort 80 & 443 doorsluizen naar de client - achter, hier de fritzbox - die straks het certficaat proces gaat opstarten.
Vervolgens in DNS (mijnfreedom), inactiveer ik IPv6 ik wil daarvoor geen certificaat , routeer het eigen hoofddomein en de gewenste clientdomeinnamen naar het eigen fysieke IPv4 IP-adres (dat de FB dus connecteert). Ditzelfde doe ik ook voor het classC adres dat bij mij de FritzBox intern benoemd op zeg ‘fbox.eigendomein.nl’ om zo ook de FB te kunnen voorzien van een eigen LetsEncrypt certificaat.
Vervolgens start je het ceritifceringsproces op de client waarmee LetsEncrypt dus certificaat gaat uitdelen met certbot certonly --standalone -d eigendomein.nl -d client.eigendomein.nl -d fbox.eigendomein.nl
(hier dus 3 domeinen wat er ook meer kunnen zijn).
Alles woont/gaat qua DNS dus naar het vaste IP-adres alwaar poort 80 en 443 wordt doorgesluisd naar de client die met het commando registreert. Tijdens dit proces zal je tijdelijk de poort 443 functie van de fbox (directe toegang & account) moeten inactiveren zodat ook extern poort 443 naar de registerende client gaat).
Nadat het certificaat binnen is - minuutje of wat - kan je alle voorbereidende DNS & FB wijzigingen weer naar veilig terug/draaien/zetten. Vervolgens kan je het verkregen certifcaat (private-key en de fullchain) extracten, samenvoegen om het geheel in je FB te importeren.
Het blijft wel jammer dat we - elke 3 maanden - deze truc moeten uithalen dat vroeger toen ‘we’ nog webdomeinen hadden, dit door Freedom werd verzorgd. Maar goed, verbetering duldde helaas geen vooruitgang.
Succes.
Aanvulling (net gecheckt of alles nog zo werkt): 
het goede nieuws is dat (sinds vorig jaar) de onmogelijkheid om met FireFox, mijnfreedom te doen, kennelijk opgelost in versie " (c) 2025 Soverin B.V. - v2.7.0" van . Voorheen moest ik domeinbeheer doen via Chrome en kreeg destijds nul op rekest van de helpdesk.
Kan op zowel je ipadressen, op je connected.by-freedominternet.net domeinen, en op je eigen domeinen.
Het makkelijkst is om op de servers Caddy te installeren. Deze doet automatisch certificaten ophalen en vernieuwen.
Voor de firewall: Caddy bindt op tcp poort 80 en tcp/udp poort 443.
Caddy is inderdaad een mooie oplossing. Mijn advies is nog steeds om het wel met een eigen domein te doen (je kunt er toch eentje bij je account aanvragen). Heb je meerdere servers, dan kun je Caddy als reverse proxy gebruiken. Zie: Reverse proxy quick-start — Caddy Documentation
1 like
Bedankt voor de reacties.
Ik zal eens gaan kijken naar Caddy.
Ik gebruik er een kleine, zuinige Synology NAS voor. Daar zit een gebruiksvriendelijke (GUI) reverse proxy in (een beetje verborgen, Login-portal > Advanced) en een een certificate manager (onder Security). Werkt zowel voor services die je op de NAS zelf host als op andere servertjes in je LAN. Erg geschikt voor wie als ik niet zo handig is met scripts en de Linux commandline.
Of de servers benaderen met ipv6. Het is tenslotte alweer 2025.
Vertel dat ook even aan de rest van het internet. 
2 likes