13
Interne Domain sinnvoll?
Moin Zusammen,
ich rekonstruiere mein Heimnetz gerade und es stellt sich mir die Frage ob es sinnvoll ist für das interne Netz eine separate Domain zu nutzen.
Der grobe Plan meines Heimnetzes ist:
DMZ
Ich habe eine registrierte Domain mydomain.de mit fester IPv4 Adresse.
Wäre es sinnvoll im internen Netz eine andere Domain wie z.B. mydomain.home oder mydomain.internal zu nutzen, oder besser Subdomains wie z.B. xyz.mydomain.de?
Viele Grüße
Pete
ich rekonstruiere mein Heimnetz gerade und es stellt sich mir die Frage ob es sinnvoll ist für das interne Netz eine separate Domain zu nutzen.
Der grobe Plan meines Heimnetzes ist:
- OPNsense als Firewall dahinter
- Interner Domain Controller mit Active Directory für die Benutzerverwaltung.
- Daran sollen mehrere Dienste angeschlossen werden, wie z.B. Nextcloud, TrueNAS, usw.
DMZ
- Weiterhin möchte ich z.B. Nextcloud in eine DMZ packen damit man auf diese auch aus dem Internet zugreifen kann.
Ich habe eine registrierte Domain mydomain.de mit fester IPv4 Adresse.
Wäre es sinnvoll im internen Netz eine andere Domain wie z.B. mydomain.home oder mydomain.internal zu nutzen, oder besser Subdomains wie z.B. xyz.mydomain.de?
Viele Grüße
Pete
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669964
Url: https://administrator.de/forum/interne-domain-sinnvoll-669964.html
Ausgedruckt am: 06.01.2025 um 23:01 Uhr
13 Kommentare
Neuester Kommentar
Moin,
es spricht nichts dagegen xyz.mydomain.de zu nutzen.
Gruß Jasper
es spricht nichts dagegen xyz.mydomain.de zu nutzen.
Gruß Jasper
Zitat von @Pete55:
Wäre es sinnvoll im internen Netz eine andere Domain wie z.B. mydomain.home oder mydomain.internal zu nutzen, oder besser Subdomains wie z.B. xyz.mydomain.de?
Meiner Meinung nach bleibt nur eine Sublevel Domain wie z. B. internal.mydomain.example oder mydomain.internal.
Für .internal gibt es allerdings bisher kein RFC:
Therefore, “INTERNAL” is identified as the proposed top-level string for private-use applications.
Moin,
Ich würde sowas wie
MeineDonain.de gehört dir ja schon und kann dir (erst einmal) keiner nehmen. Damit hast du dann die wenigsten Problem, bzgl. der TLD.
Ich würde sowas wie
intern.meinedomain.de nehmenMeineDonain.de gehört dir ja schon und kann dir (erst einmal) keiner nehmen. Damit hast du dann die wenigsten Problem, bzgl. der TLD.
moin,
auch von mir +1 für die subdomain auf der bestehenden. Damit kannst du dann auch sehr einfach zertifikate von lets encrypt für alle dienste benutzen ( vorausgesetzt dein registrar erlaubt einfache dns änderungen über ne api oä)
auch von mir +1 für die subdomain auf der bestehenden. Damit kannst du dann auch sehr einfach zertifikate von lets encrypt für alle dienste benutzen ( vorausgesetzt dein registrar erlaubt einfache dns änderungen über ne api oä)
1
Zitat von @pebcak7123:
moin,
auch von mir +1 für die subdomain auf der bestehenden. Damit kannst du dann auch sehr einfach zertifikate von lets encrypt für alle dienste benutzen ( vorausgesetzt dein registrar erlaubt einfache dns änderungen über ne api oä)
moin,
auch von mir +1 für die subdomain auf der bestehenden. Damit kannst du dann auch sehr einfach zertifikate von lets encrypt für alle dienste benutzen ( vorausgesetzt dein registrar erlaubt einfache dns änderungen über ne api oä)
An das Thema mit den Zertifikaten hatte ich auch schon gedacht. Dann bräuchte ich letztlich nur ein Wildcard Zertifikat alla *.mydomain.de und müsste mir nicht für das interne Netz eine zusätzliches besorgen - wenn ich mich richtig erinnere wird das bei Let's Encrypt schwierig wegen der Nichterreichbarkeit von Außen. Oder ich müsste intern mit selbstsignierten Zertifikaten - erscheint mir alles zu unübersichtlich und komplex.
Mir erscheint eure Empfehlung eine Subdomain zu nutzen für meinen Fall die beste und übersichtlichste Lösung.
Für .internal gibt es allerdings bisher kein RFC:
Das ist so nicht richtig!https://www.heise.de/news/Ueberfaellig-ICANN-legt-sich-auf-Namen-fuer-in ....
Grundlagen die für interne Domains gelten auch hier:
https://www.heise.de/select/ct/2017/26/1513540412603853
Mit .home.arpa oder .internal macht man also intern nix falsch.
Wenn du kontrolle über die dns-einträge deiner domäne hast braucht nichts von aussen erreichbar sein um lets encrypt zertifikate erstellen zu lassen, stichwort dns-01 challenge.
Moin,
Hat den Vorteil, dass der Service sowohl im LAN als auch über das Internet (optional) über den selben FQDN angesprochen werden kann. Gerade wenn ein 3rd Party Software (z.B. Synology Drive Client) im Einsatz ist, ist der Ansatz perfekt. Und es spielt keine Rolle, ob LAN, VPN oder direkt über das Internet. Es tut einfach immer. 
Gruß
Dani
Wäre es sinnvoll im internen Netz eine andere Domain wie z.B. mydomain.home oder mydomain.internal zu nutzen, oder besser Subdomains wie z.B. xyz.mydomain.de?
da gibt es kein richtig oder falsch. Ich stehe auf Split-DNS. Hat den Vorteil, dass der Service sowohl im LAN als auch über das Internet (optional) über den selben FQDN angesprochen werden kann. Gerade wenn ein 3rd Party Software (z.B. Synology Drive Client) im Einsatz ist, ist der Ansatz perfekt. Und es spielt keine Rolle, ob LAN, VPN oder direkt über das Internet. Es tut einfach immer. An das Thema mit den Zertifikaten hatte ich auch schon gedacht. Dann bräuchte ich letztlich nur ein Wildcard Zertifikat alla *.mydomain.de und müsste mir nicht für das interne Netz eine zusätzliches besorgen - wenn ich mich richtig erinnere wird das bei Let's Encrypt schwierig wegen der Nichterreichbarkeit von Außen.
Spielt bei Wildcard Zertifikaten keine Rolle. Kannst du ausschließlich via DNS-01 abrufen. HTTP-01 ist aktuell nicht möglich.Gruß
Dani
1Zitat von @Dani:
Moin,
Hat den Vorteil, dass der Service sowohl im LAN als auch über das Internet (optional) über den selben FQDN angesprochen werden kann. Gerade wenn ein 3rd Party Software (z.B. Synology Drive Client) im Einsatz ist, ist der Ansatz perfekt. Und es spielt keine Rolle, ob LAN, VPN oder direkt über das Internet. Es tut einfach immer.
Gruß
Dani
Moin,
Wäre es sinnvoll im internen Netz eine andere Domain wie z.B. mydomain.home oder mydomain.internal zu nutzen, oder besser Subdomains wie z.B. xyz.mydomain.de?
da gibt es kein richtig oder falsch. Ich stehe auf Split-DNS. Hat den Vorteil, dass der Service sowohl im LAN als auch über das Internet (optional) über den selben FQDN angesprochen werden kann. Gerade wenn ein 3rd Party Software (z.B. Synology Drive Client) im Einsatz ist, ist der Ansatz perfekt. Und es spielt keine Rolle, ob LAN, VPN oder direkt über das Internet. Es tut einfach immer. An das Thema mit den Zertifikaten hatte ich auch schon gedacht. Dann bräuchte ich letztlich nur ein Wildcard Zertifikat alla *.mydomain.de und müsste mir nicht für das interne Netz eine zusätzliches besorgen - wenn ich mich richtig erinnere wird das bei Let's Encrypt schwierig wegen der Nichterreichbarkeit von Außen.
Spielt bei Wildcard Zertifikaten keine Rolle. Kannst du ausschließlich via DNS-01 abrufen. HTTP-01 ist aktuell nicht möglich.Gruß
Dani
Der Ansatz mit Split-DNS klingt auch attraktiv, schaue ich mir an.
Ich finde ad.firma.de ganz cool, also auch den Subdomain Ansatz mit einer im Internet auflösbaren TLD.
Allerdings gibt es auch ein kleines Aber: Was ist wenn die Firma umbenannt wird, z.B. weil sie verkauft wurde? Muss jetz in deinem Usecase kein Thema sein, erwähnen wollte ich es trotzdem
Allerdings gibt es auch ein kleines Aber: Was ist wenn die Firma umbenannt wird, z.B. weil sie verkauft wurde? Muss jetz in deinem Usecase kein Thema sein, erwähnen wollte ich es trotzdem
Zitat von @Dani:
da gibt es kein richtig oder falsch. Ich stehe auf Split-DNS. Hat den Vorteil, dass der Service sowohl im LAN als auch über das Internet (optional) über den selben FQDN angesprochen werden kann. Gerade wenn ein 3rd Party Software (z.B. Synology Drive Client) im Einsatz ist, ist der Ansatz perfekt. Und es spielt keine Rolle, ob LAN, VPN oder direkt über das Internet. Es tut einfach immer.
da gibt es kein richtig oder falsch. Ich stehe auf Split-DNS.
Hat den Vorteil, dass der Service sowohl im LAN als auch über das Internet (optional) über den selben FQDN angesprochen werden kann. Gerade wenn ein 3rd Party Software (z.B. Synology Drive Client) im Einsatz ist, ist der Ansatz perfekt. Und es spielt keine Rolle, ob LAN, VPN oder direkt über das Internet. Es tut einfach immer. Ich löse das mit IPv6, da brauche ich nichtmal Split-DNS und muss nicht alles doppelt pflegen, denn die IP-Adressen sind ja intern wie extern identisch erreichbar
1
Moin,
Gruß,
Dani
Ich löse das mit IPv6, da brauche ich nichtmal Split-DNS und muss nicht alles doppelt pflegen, denn die IP-Adressen sind ja intern wie extern identisch erreichbar
da bin ich bei dir. Aber das sollte man schon wissen, was man tut. Weil da gibt es kein IPv4 NAT welches einen erst einmal vor sich selbst schützt. Gruß,
Dani
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
