Die automatische Erneuerung des Lets Encrypt-Zertifikates am DEFENDO schlägt fehl, weil das erweiterte Routing über die falsche Netzwerkschnittstelle läuft.

Die Situation

Am DEFENDO gibt es zwei Internetverbindungen:

adsl0 eine langsame Leitung mit einer statischen IP-Adresse, die als Standardgateway dient.
eth3 eine schnelle Leitung, die nur zum Surfen benutzt wird.

Auf der schnellen Schnittstelle (in unserem Fall eth3) ist ein erweitertes Routing definiert, dass das Surfen über diese Schnittstelle regelt:

Das Problem

Die automatische Erneuerung des Let's Encrypt-Zertifikates am DEFENDO schlägt fehl, weil diese nunmal via HTTPS über die schnelle Leitung geht, die aber nicht zum Name bzw. der IP-Adresse passt.

Die Lösung

Erzwingen sie das Routing der Anfragen an die Let's Encrypt Server am DEFENDO über die andere Leitung (in unserem Fall die adsl0):

• Legen Sie unter Definitionen / IP-Objekte zwei DNS-Objekte mit folgenden Namen an

acme-staging.api.letsencrypt.org
acme-v01.api.letsencrypt.org

• Legen Sie eine Gruppe an (der Name kann hier frei gewählt werden, in unserem Beispiel "lets-encrypt-server") und packen Sie die beiden obigen DNS-Objekte als Mitglieder in diese Gruppe.

• Legen Sie unter Netzwerk / Schnittstellen / adsl0 unter dem Tab Routing folgende Regeln an:

Damit sollte die Zertifikats-Erneuerung dann wieder funktionieren!