145971
Jan 12, 2022, updated at 10:54:21 (UTC)
1891
15
0
Domain unterschiedlich auflösen
Guten Morgen !
ich habe folgende Situation:
- Es existiert eine Domain welche als DDNS dient: ddns.domain.de (diese löst die öffentliche IP meines Routers auf)
- Dann habe ich einen eigenen DNS Server im Einsatz
Über den DDNS stelle ich dann eine VPN Verbindung her, damit ich auf meine NAS (Synology) zugreifen kann (diese ist von extern NUR via VPN erreichbar).
Soweit so gut.
Jetzt kommt meine Bastellösung:
Damit ich auf meine Synology via HTTPS zugreifen kann, benötige ich ein Lets Encrypt Zertifikat.
Dieses funktionieret nur bei domains (logischerweise nicht auf IP Ebene).
Also habe ich ein LE Zertifikat für ddns.domain.de erstellt.
Auf meinem DNS Server habe ich nun einen DNS Eintrag erstellt:
ddns.domain.de => lokale IP der Synology.
So kann ich intern (wie auch via VPN) via ddns.domain.de (verschlüsselt) auf meine Syno zu greifen.
Solltet ihr hier schon eine bessere Lösung haben, sagt mir gerne Bescheid !!
Problem hierbei ist, dass es manchmal zu Namensauflösungsproblemen kommt, bei den VPN Clients.
Denn, wenn die VPN Verbindung hergestellt wird, muss ddns.domain.de erstmal mit der öffentliche IP aufgelöst werden.
Ab dem Zeitpunkt wo die VPN Verbindung steht (und somit auch mein DNS Server erreichbar ist), muss dann eine Auflösung der Syno IP erfolgen.
Manchmal kommt es aber vor, das trotz VPN Verbindung der ddns.domain.de die öffentliche IP auflöst - paar Sekunden / Minuten warten und es wird wieder die Syno IP aufgelöst.
Beim Client habe ich als DNS meine DNS eingetragen UND 8.8.8.8
ich hoffe ich konnte meine Situation erklären und freue mich über eure Unterstützung / Ideen
ich habe folgende Situation:
- Es existiert eine Domain welche als DDNS dient: ddns.domain.de (diese löst die öffentliche IP meines Routers auf)
- Dann habe ich einen eigenen DNS Server im Einsatz
Über den DDNS stelle ich dann eine VPN Verbindung her, damit ich auf meine NAS (Synology) zugreifen kann (diese ist von extern NUR via VPN erreichbar).
Soweit so gut.
Jetzt kommt meine Bastellösung:
Damit ich auf meine Synology via HTTPS zugreifen kann, benötige ich ein Lets Encrypt Zertifikat.
Dieses funktionieret nur bei domains (logischerweise nicht auf IP Ebene).
Also habe ich ein LE Zertifikat für ddns.domain.de erstellt.
Auf meinem DNS Server habe ich nun einen DNS Eintrag erstellt:
ddns.domain.de => lokale IP der Synology.
So kann ich intern (wie auch via VPN) via ddns.domain.de (verschlüsselt) auf meine Syno zu greifen.
Solltet ihr hier schon eine bessere Lösung haben, sagt mir gerne Bescheid !!
Problem hierbei ist, dass es manchmal zu Namensauflösungsproblemen kommt, bei den VPN Clients.
Denn, wenn die VPN Verbindung hergestellt wird, muss ddns.domain.de erstmal mit der öffentliche IP aufgelöst werden.
Ab dem Zeitpunkt wo die VPN Verbindung steht (und somit auch mein DNS Server erreichbar ist), muss dann eine Auflösung der Syno IP erfolgen.
Manchmal kommt es aber vor, das trotz VPN Verbindung der ddns.domain.de die öffentliche IP auflöst - paar Sekunden / Minuten warten und es wird wieder die Syno IP aufgelöst.
Beim Client habe ich als DNS meine DNS eingetragen UND 8.8.8.8
ich hoffe ich konnte meine Situation erklären und freue mich über eure Unterstützung / Ideen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1715162739
Url: https://administrator.de/contentid/1715162739
Printed on: May 9, 2024 at 02:05 o'clock
15 Comments
Latest comment
Hallo,
Du könntest probiere die TTL für diesen Hosteintrag auf 10 Sekunden zu stellen.
Stefan
Du könntest probiere die TTL für diesen Hosteintrag auf 10 Sekunden zu stellen.
Stefan
Gib deiner VPN Config doch einen internen DNS Server mit, der nach Verbindungsaufbau zuständig ist. Auf dem hinterlegst du dann für ddns.domain.de die interne NAS IP.
Um die DNS-Abfrage nach VPN-Aufbau neu auf dem internen DNS abzufragen, könnte ein
auf dem Client helfen - Script gesteuert.
.
ipconfig /flushdns.
Zitat von @Tezzla:
Gib deiner VPN Config doch einen internen DNS Server mit, der nach Verbindungsaufbau zuständig ist. Auf dem hinterlegst du dann für ddns.domain.de die interne NAS IP.
Gib deiner VPN Config doch einen internen DNS Server mit, der nach Verbindungsaufbau zuständig ist. Auf dem hinterlegst du dann für ddns.domain.de die interne NAS IP.
Das WÄRE natürlich eine Option, aber dann müsste der gesamte Internetverkehr über VPN laufen, oder nicht?
meine DNS eingetragen UND 8.8.8.8
Machen ja heute nichtmal mehr Dummies, denn jeder weiss das Google damit ein Profil deiner Internet Gewohnheiten erstellt und das mit Dritten weltweit vermarktet.Wem also der eigenen Datenschutz etwas wert ist verwendet niemals diesen DNS Server. Wenn es denn unbedingt andere als die des eigenen Providers sein sollen, dann nimmt man Datenschutz freundlichere Alternativen:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Obwohl man bei US Dienstleistern da nie sicher sein kann...
Das du von intern mit dem Domainnamen nicht zugreifen kann liegt, wie immer, am Hairpin NAT und einer falschen Konfiguration deines Routers oder Firewall. Siehe auch hier.
Nebenbei benötigst du für dein privates NAS nicht zwingend ein Lets Encrypt Zertifikat. Du kannst auch schlicht und einfach dein oder das selbstsignierte Zertifikat des NAS im Browser als OK abnicken. Wenn du per VPN zugreifst ist das ja mehr oder minder eh obsolet, dageschützter Zugriff.
Oder meintest du mit der HTTPS Frage das du dein NAS per TCP 443 Forwarding offen ins Internet exponierst und da dann zugreifst ? Auch da würde es auch ohne LE gehen indem man das Selbstsignierte abnickt.
8.8.8.8 ist aktuell auch nur eine Test-Variante ;)
Die Möglichkeit ein selbstsigniertes Zertifikat zu erstellen ist leider seit DSM 7 (Synology Betriebssystem) nicht mehr gegeben.
Außerdem haben dann die iPhones und MacBooks Probleme damit - betreibe ebenfalls einen calDAV und carDAV über die Syno. Hier stellen sich die Apple Gerät sehr gerne quer, wenn es ein selbstsignierte Zertifikat ist.
Zumindest habe ich hierzu bis heute keine Lösung gefunden, bis auf meine o.g. Lösung.
Die Möglichkeit ein selbstsigniertes Zertifikat zu erstellen ist leider seit DSM 7 (Synology Betriebssystem) nicht mehr gegeben.
Außerdem haben dann die iPhones und MacBooks Probleme damit - betreibe ebenfalls einen calDAV und carDAV über die Syno. Hier stellen sich die Apple Gerät sehr gerne quer, wenn es ein selbstsignierte Zertifikat ist.
Zumindest habe ich hierzu bis heute keine Lösung gefunden, bis auf meine o.g. Lösung.
Oder Du kaufst ein Zertifikat für 10 Euro im Jahr und installierst das von Hand.
Zitat von @145971:
Die Möglichkeit ein selbstsigniertes Zertifikat zu erstellen ist leider seit DSM 7 (Synology Betriebssystem) nicht mehr gegeben.
Die Möglichkeit ein selbstsigniertes Zertifikat zu erstellen ist leider seit DSM 7 (Synology Betriebssystem) nicht mehr gegeben.
Ich kenne persönlich die Syno's bisher praktisch nicht.
Aber "selbstsignierte Zertifikate" kannst du auch mit OS-Boardmitteln - z.B. Linux - erstellen und sicherlich dann im Syno einspielen...
"Außerdem haben dann die iPhones und MacBooks Probleme damit - betreibe ebenfalls einen calDAV und carDAV über die Syno. Hier stellen sich die Apple Gerät sehr gerne quer, wenn es ein selbstsignierte Zertifikat ist."
Dann bleibt aber das Problem bestehen
Dann bleibt aber das Problem bestehen
Zitat von @145971:
"Außerdem haben dann die iPhones und MacBooks Probleme damit - betreibe ebenfalls einen calDAV und carDAV über die Syno. Hier stellen sich die Apple Gerät sehr gerne quer, wenn es ein selbstsignierte Zertifikat ist."
Dann bleibt aber das Problem bestehen
"Außerdem haben dann die iPhones und MacBooks Probleme damit - betreibe ebenfalls einen calDAV und carDAV über die Syno. Hier stellen sich die Apple Gerät sehr gerne quer, wenn es ein selbstsignierte Zertifikat ist."
Dann bleibt aber das Problem bestehen
Hmm.
Ich bin kein Mac-User - aber es würde mich wundern, wenn man bei den MACs nicht ebenso wie bei anderen OS das selbstsignierte Zertifikat. nicht auch einer "Vertrauensvoll" Liste hinzufügen könnte und somit das Zertifikat nicht mehr als unbekanntes angesehen würde ..
Nachtrag: Gegoogelt:
https://support.apple.com/de-de/guide/keychain-access/kyca2431/mac
Scheint also auch bei Mac's so zu sein...
Aber das wäre dann wieder ein manueller Aufwand, der dann pro Gerät gemacht werden müssten.
Und bei Verlängerung des Zertifikats ebenfalls :/
Und bei Verlängerung des Zertifikats ebenfalls :/
Zitat von @145971:
Aber das wäre dann wieder ein manueller Aufwand, der dann pro Gerät gemacht werden müssten.
Und bei Verlängerung des Zertifikats ebenfalls :/
Aber das wäre dann wieder ein manueller Aufwand, der dann pro Gerät gemacht werden müssten.
Und bei Verlängerung des Zertifikats ebenfalls :/
Naja, aber wenn du die Gültigkeit des Zertifikats entsprechend lang definierst, dürfte aich das gegenüber anderen Lösungen in Grenzen halten.
Das must DU natürlich mit dir und deinen Kollegen/Chefs ausmachen ;- )
.
Hi,
ich schließe mich @Tezzla an. Pushe bei deinem VPN deinen lokalen DNS Server und zwar als einziger DNS-Server. Kein zweiter Google-DNS oder sonstige externe DNS-Server.
Ich würde außerdem vorschlagen, dass du dir einen Reverse Proxy (z.B. NGINX) mit LE aufsetzt, der dir automatisch die Zertifikate erneuert.
In deinem DNS-Server muss deine ddns.domain.de natürlich dann auf die interne IP des NGINX zeigen, nicht auf die IP der Synology. Beim NGINX leitest du die Anfrage dann an deine Synology weiter.
So könntest du dann zukünftig auch ggfs. noch weitre Services ansprechen.
MfG
ich schließe mich @Tezzla an. Pushe bei deinem VPN deinen lokalen DNS Server und zwar als einziger DNS-Server. Kein zweiter Google-DNS oder sonstige externe DNS-Server.
Ich würde außerdem vorschlagen, dass du dir einen Reverse Proxy (z.B. NGINX) mit LE aufsetzt, der dir automatisch die Zertifikate erneuert.
In deinem DNS-Server muss deine ddns.domain.de natürlich dann auf die interne IP des NGINX zeigen, nicht auf die IP der Synology. Beim NGINX leitest du die Anfrage dann an deine Synology weiter.
So könntest du dann zukünftig auch ggfs. noch weitre Services ansprechen.
MfG
Gültigkeit des Zertifikats verlängern
Das Zertifikat ist selbstsigniert und somit sowieso bereits unvertrauenswürdig bzw. ungültig.
Wollt ihr mich verwirren?
Mach einfach zwei Einträge.
Einen für das Letsencrypt-Zertifikat für das NAS auf dem Internen DNS-Server:
scientology.domain.dehome.domain.deDann gibt es auch keine Probleme mit dem DNS-Cache und komischen Wartezeiten.
Das mit dem TTL runterschrauben ist zwar nicht optimal, machen kann man es auf jeden Fall.
Zitat von @145971:
Damit ich auf meine Synology via HTTPS zugreifen kann, benötige ich ein Lets Encrypt Zertifikat.
Dieses funktionieret nur bei domains (logischerweise nicht auf IP Ebene).
Also habe ich ein LE Zertifikat für ddns.domain.de erstellt.
Auf meinem DNS Server habe ich nun einen DNS Eintrag erstellt:
ddns.domain.de => lokale IP der Synology.
So kann ich intern (wie auch via VPN) via ddns.domain.de (verschlüsselt) auf meine Syno zu greifen.
Damit ich auf meine Synology via HTTPS zugreifen kann, benötige ich ein Lets Encrypt Zertifikat.
Dieses funktionieret nur bei domains (logischerweise nicht auf IP Ebene).
Also habe ich ein LE Zertifikat für ddns.domain.de erstellt.
Auf meinem DNS Server habe ich nun einen DNS Eintrag erstellt:
ddns.domain.de => lokale IP der Synology.
So kann ich intern (wie auch via VPN) via ddns.domain.de (verschlüsselt) auf meine Syno zu greifen.
Zitat von @EliteHacker:
Das Zertifikat ist selbstsigniert und somit sowieso bereits unvertrauenswürdig bzw. ungültig.
Wollt ihr mich verwirren?
???Das Zertifikat ist selbstsigniert und somit sowieso bereits unvertrauenswürdig bzw. ungültig.
Wollt ihr mich verwirren?
Ich bin eher verwirrt-
