Domain unterschiedlich auflösen

ben1300
Guten Morgen !

ich habe folgende Situation:

- Es existiert eine Domain welche als DDNS dient: ddns.domain.de (diese löst die öffentliche IP meines Routers auf)
- Dann habe ich einen eigenen DNS Server im Einsatz


Über den DDNS stelle ich dann eine VPN Verbindung her, damit ich auf meine NAS (Synology) zugreifen kann (diese ist von extern NUR via VPN erreichbar).
Soweit so gut.

Jetzt kommt meine Bastellösung:
Damit ich auf meine Synology via HTTPS zugreifen kann, benötige ich ein Lets Encrypt Zertifikat.
Dieses funktionieret nur bei domains (logischerweise nicht auf IP Ebene).

Also habe ich ein LE Zertifikat für ddns.domain.de erstellt.
Auf meinem DNS Server habe ich nun einen DNS Eintrag erstellt:

ddns.domain.de => lokale IP der Synology.
So kann ich intern (wie auch via VPN) via ddns.domain.de (verschlüsselt) auf meine Syno zu greifen.

Solltet ihr hier schon eine bessere Lösung haben, sagt mir gerne Bescheid !!

Problem hierbei ist, dass es manchmal zu Namensauflösungsproblemen kommt, bei den VPN Clients.
Denn, wenn die VPN Verbindung hergestellt wird, muss ddns.domain.de erstmal mit der öffentliche IP aufgelöst werden.
Ab dem Zeitpunkt wo die VPN Verbindung steht (und somit auch mein DNS Server erreichbar ist), muss dann eine Auflösung der Syno IP erfolgen.

Manchmal kommt es aber vor, das trotz VPN Verbindung der ddns.domain.de die öffentliche IP auflöst - paar Sekunden / Minuten warten und es wird wieder die Syno IP aufgelöst.

Beim Client habe ich als DNS meine DNS eingetragen UND 8.8.8.8


ich hoffe ich konnte meine Situation erklären und freue mich über eure Unterstützung / Ideen

Content-Key: 1715162739

Url: https://administrator.de/contentid/1715162739

Ausgedruckt am: 28.01.2022 um 17:01 Uhr

Mitglied: StefanKittel
StefanKittel 12.01.2022 um 12:05:50 Uhr
Goto Top
Hallo,

Du könntest probiere die TTL für diesen Hosteintrag auf 10 Sekunden zu stellen.

Stefan
Mitglied: Tezzla
Tezzla 12.01.2022 um 12:07:40 Uhr
Goto Top
Gib deiner VPN Config doch einen internen DNS Server mit, der nach Verbindungsaufbau zuständig ist. Auf dem hinterlegst du dann für ddns.domain.de die interne NAS IP.
Mitglied: MirkoKR
MirkoKR 12.01.2022 um 12:09:41 Uhr
Goto Top
Um die DNS-Abfrage nach VPN-Aufbau neu auf dem internen DNS abzufragen, könnte ein
auf dem Client helfen - Script gesteuert.

.
Mitglied: ben1300
ben1300 12.01.2022 um 12:19:08 Uhr
Goto Top
Zitat von @Tezzla:

Gib deiner VPN Config doch einen internen DNS Server mit, der nach Verbindungsaufbau zuständig ist. Auf dem hinterlegst du dann für ddns.domain.de die interne NAS IP.

Das WÄRE natürlich eine Option, aber dann müsste der gesamte Internetverkehr über VPN laufen, oder nicht?
Mitglied: aqui
aqui 12.01.2022 aktualisiert um 12:33:15 Uhr
Goto Top
meine DNS eingetragen UND 8.8.8.8
Machen ja heute nichtmal mehr Dummies, denn jeder weiss das Google damit ein Profil deiner Internet Gewohnheiten erstellt und das mit Dritten weltweit vermarktet.
Wem also der eigenen Datenschutz etwas wert ist verwendet niemals diesen DNS Server. Wenn es denn unbedingt andere als die des eigenen Providers sein sollen, dann nimmt man Datenschutz freundlichere Alternativen:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Obwohl man bei US Dienstleistern da nie sicher sein kann...

Das du von intern mit dem Domainnamen nicht zugreifen kann liegt, wie immer, am Hairpin NAT und einer falschen Konfiguration deines Routers oder Firewall. Siehe auch hier.
Nebenbei benötigst du für dein privates NAS nicht zwingend ein Lets Encrypt Zertifikat. Du kannst auch schlicht und einfach dein oder das selbstsignierte Zertifikat des NAS im Browser als OK abnicken. Wenn du per VPN zugreifst ist das ja mehr oder minder eh obsolet, dageschützter Zugriff.
Oder meintest du mit der HTTPS Frage das du dein NAS per TCP 443 Forwarding offen ins Internet exponierst und da dann zugreifst ? Auch da würde es auch ohne LE gehen indem man das Selbstsignierte abnickt.
Mitglied: ben1300
ben1300 12.01.2022 um 12:55:41 Uhr
Goto Top
8.8.8.8 ist aktuell auch nur eine Test-Variante ;)
Die Möglichkeit ein selbstsigniertes Zertifikat zu erstellen ist leider seit DSM 7 (Synology Betriebssystem) nicht mehr gegeben.

Außerdem haben dann die iPhones und MacBooks Probleme damit - betreibe ebenfalls einen calDAV und carDAV über die Syno. Hier stellen sich die Apple Gerät sehr gerne quer, wenn es ein selbstsignierte Zertifikat ist.

Zumindest habe ich hierzu bis heute keine Lösung gefunden, bis auf meine o.g. Lösung.
Mitglied: StefanKittel
StefanKittel 12.01.2022 um 13:01:23 Uhr
Goto Top
Oder Du kaufst ein Zertifikat für 10 Euro im Jahr und installierst das von Hand.
Mitglied: MirkoKR
MirkoKR 12.01.2022 um 13:11:48 Uhr
Goto Top
Zitat von @ben1300:

Die Möglichkeit ein selbstsigniertes Zertifikat zu erstellen ist leider seit DSM 7 (Synology Betriebssystem) nicht mehr gegeben.


Ich kenne persönlich die Syno's bisher praktisch nicht.

Aber "selbstsignierte Zertifikate" kannst du auch mit OS-Boardmitteln - z.B. Linux - erstellen und sicherlich dann im Syno einspielen...
Mitglied: ben1300
ben1300 12.01.2022 um 13:20:22 Uhr
Goto Top
"Außerdem haben dann die iPhones und MacBooks Probleme damit - betreibe ebenfalls einen calDAV und carDAV über die Syno. Hier stellen sich die Apple Gerät sehr gerne quer, wenn es ein selbstsignierte Zertifikat ist."

Dann bleibt aber das Problem bestehen :( face-sad
Mitglied: MirkoKR
MirkoKR 12.01.2022 aktualisiert um 13:40:57 Uhr
Goto Top
Zitat von @ben1300:

"Außerdem haben dann die iPhones und MacBooks Probleme damit - betreibe ebenfalls einen calDAV und carDAV über die Syno. Hier stellen sich die Apple Gerät sehr gerne quer, wenn es ein selbstsignierte Zertifikat ist."

Dann bleibt aber das Problem bestehen :( face-sad

Hmm.
Ich bin kein Mac-User - aber es würde mich wundern, wenn man bei den MACs nicht ebenso wie bei anderen OS das selbstsignierte Zertifikat. nicht auch einer "Vertrauensvoll" Liste hinzufügen könnte und somit das Zertifikat nicht mehr als unbekanntes angesehen würde ..

Nachtrag: Gegoogelt:
https://support.apple.com/de-de/guide/keychain-access/kyca2431/mac

Scheint also auch bei Mac's so zu sein...
Mitglied: ben1300
ben1300 12.01.2022 um 13:48:13 Uhr
Goto Top
Aber das wäre dann wieder ein manueller Aufwand, der dann pro Gerät gemacht werden müssten.
Und bei Verlängerung des Zertifikats ebenfalls :/
Mitglied: MirkoKR
MirkoKR 12.01.2022 um 13:58:06 Uhr
Goto Top
Zitat von @ben1300:

Aber das wäre dann wieder ein manueller Aufwand, der dann pro Gerät gemacht werden müssten.
Und bei Verlängerung des Zertifikats ebenfalls :/

Naja, aber wenn du die Gültigkeit des Zertifikats entsprechend lang definierst, dürfte aich das gegenüber anderen Lösungen in Grenzen halten.

Das must DU natürlich mit dir und deinen Kollegen/Chefs ausmachen ;- )

.
Mitglied: support-it
support-it 12.01.2022 um 17:34:22 Uhr
Goto Top
Hi,
ich schließe mich @Tezzla an. Pushe bei deinem VPN deinen lokalen DNS Server und zwar als einziger DNS-Server. Kein zweiter Google-DNS oder sonstige externe DNS-Server.

Ich würde außerdem vorschlagen, dass du dir einen Reverse Proxy (z.B. NGINX) mit LE aufsetzt, der dir automatisch die Zertifikate erneuert.

In deinem DNS-Server muss deine ddns.domain.de natürlich dann auf die interne IP des NGINX zeigen, nicht auf die IP der Synology. Beim NGINX leitest du die Anfrage dann an deine Synology weiter.
So könntest du dann zukünftig auch ggfs. noch weitre Services ansprechen.

MfG
Mitglied: EliteHacker
Lösung EliteHacker 12.01.2022 aktualisiert um 21:56:11 Uhr
Goto Top
Gültigkeit des Zertifikats verlängern

Das Zertifikat ist selbstsigniert und somit sowieso bereits unvertrauenswürdig bzw. ungültig.

Wollt ihr mich verwirren?

Mach einfach zwei Einträge.
Einen für das Letsencrypt-Zertifikat für das NAS auf dem Internen DNS-Server:
und einen für die VPN-Verbindung nach Hause:
.

Dann gibt es auch keine Probleme mit dem DNS-Cache und komischen Wartezeiten.

Das mit dem TTL runterschrauben ist zwar nicht optimal, machen kann man es auf jeden Fall.
Mitglied: support-it
support-it 14.01.2022 um 14:53:03 Uhr
Goto Top
Zitat von @ben1300:
Damit ich auf meine Synology via HTTPS zugreifen kann, benötige ich ein Lets Encrypt Zertifikat.
Dieses funktionieret nur bei domains (logischerweise nicht auf IP Ebene).

Also habe ich ein LE Zertifikat für ddns.domain.de erstellt.
Auf meinem DNS Server habe ich nun einen DNS Eintrag erstellt:

ddns.domain.de => lokale IP der Synology.
So kann ich intern (wie auch via VPN) via ddns.domain.de (verschlüsselt) auf meine Syno zu greifen.


Zitat von @EliteHacker:
Das Zertifikat ist selbstsigniert und somit sowieso bereits unvertrauenswürdig bzw. ungültig.

Wollt ihr mich verwirren?
???
Ich bin eher verwirrt-
Heiß diskutierte Beiträge
general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 1 TagFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

question
Vorkehrungen für einen StromausfallahussainVor 1 TagFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Acrobat Reader in 32bit? kein 64?Cougar77Vor 1 TagFrageMultimedia8 Kommentare

Hi, ich versteh grade den Acrobat Reader nicht Wenn ich den aktuellen Reader für die Verteilung im Unternehmen runterlade, installiert es den Reader in der ...

question
Zwei Glasfaseranschlüsse zu einem Lan Netzwerk verbinden gelöst Moritz2009Vor 1 TagFrageNetzwerke7 Kommentare

Hallo zusammen, ist es möglich zwei Glasfaser (FTTH-500Mbits/s) Anschlüsse, mit je einer Fritz!Box 7590 und 7530, in einem Netzwerk zu betreiben? Die Fritz!Boxen werden jeweils ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...