temuco
Goto Top

Lets Encrypt und DNS-Verwaltung in Plesk auf Strato VPS - Brauche Hilfe!

Hallo!

Ich habe bei Strato das Produkt VPS Linux VC4-8 www.strato.de/server/linux-vserver/ bestellt und in Betrieb genommen. Unter anderem habe ich als Betriebssystem Ubuntu 22.04 und die im Paket enthalte Version von Plesk "Admin Edition" installiert. Bis dahin alles gut.

Ich habe vor, unterschiedliche Domänen inklusive Subdomänen zu betreiben. Diese möchte ich mit Let's Encrypt absichern, was theoretisch auch kein Problem darstellen sollte. Allerdings möchte Let's Encrypt sowohl bei der Einrichtung als auch bei jeder Erneuerung einen Eintrag in die DNS-Verwaltung schreiben. Und hier beginnen meine Probleme:

Das in Plesk integrierte Let's-Encrypt-Modul schreibt den Eintrag in die DNS-Verwaltung von Plesk. Dadurch sind diese von außen nicht erreichbar und die Installation/Erneuerung schlägt fehl. Nun würde ich gerne die NS-Einträge von Plesk nutzen, um nicht nur Let's Encrypt zu nutzen, sondern auch eine zentrale DNS-Verwaltung innerhalb von Plesk zu ermöglichen. Dafür brauche ich aber zwei unterschiedliche IP-Adressen – ich habe aber nur eine: Ich muss zwei Nameserver angeben.

Welche Möglichkeiten gibt es sonst?

Ich habe bei All-Inkl zwei Managed-Server, auf deren DNS-Verwaltung ich Zugriff habe. Gibt es irgend eine Möglichkeit, einen dieser Server dafür zu verwenden? Ansonsten hätte ich einen lokalen Ubuntu 18.04 in meinem LAN hinter einer Firewall mit Reverse-Proxy, der von außen erreichbar ist. Vielleicht hilft das auch.

Leider bin ich mit meinem geringen Fachwissen auf diesem Gebiet am Ende und auf eure Hilfe angewiesen.

Danke und liebe Grüße

René

Content-ID: 42273529591

Url: https://administrator.de/contentid/42273529591

Printed on: October 7, 2024 at 23:10 o'clock

Kraemer
Kraemer Mar 12, 2024 at 15:56:51 (UTC)
Goto Top
Moin,

Ich habe vor, unterschiedliche Domänen inklusive Subdomänen zu betreiben.

das ist natürlich eine Aussage, die nichts aussagt. Reden wir hier von Web-Projekten? Wenn ja, dann ist ein Reverse-Proxy dein Freund.

Gruß
temuco
temuco Mar 12, 2024 at 16:02:18 (UTC)
Goto Top
Zitat von @Kraemer:

Moin,

Ich habe vor, unterschiedliche Domänen inklusive Subdomänen zu betreiben.

das ist natürlich eine Aussage, die nichts aussagt. Reden wir hier von Web-Projekten? Wenn ja, dann ist ein Reverse-Proxy dein Freund.

Gruß

Richtige Antwort aber leider nicht zu meiner Frage 🤣🤣🤣
Kraemer
Kraemer Mar 12, 2024 at 16:05:47 (UTC)
Goto Top
Richtige Antwort aber leider nicht zu meiner Frage 🤣🤣🤣

tja, dann bin ich hier fertig.
temuco
temuco Mar 12, 2024 at 17:30:16 (UTC)
Goto Top
Zitat von @Kraemer:

Richtige Antwort aber leider nicht zu meiner Frage 🤣🤣🤣

tja, dann bin ich hier fertig.

Es geht um die DNS-Verwaltung auf Plesk, wenn man nur eine feste IP-Adresse bei Strato erhalten hat. Oder wolltest du was anderes schreiben und ich verstand es falsch?
temuco
Solution temuco Mar 13, 2024 at 14:12:44 (UTC)
Goto Top
Falls es interessiert. Ich habe mit den Jungs von Securepoint (von denen stammt meine Firewall) telefoniert und wir sind der Meinung, dass der einfachste Weg ist, ein Linux in der DMZ als DNS-Server einzurichten und diesen über Portweiterleitung von außen zugänglich zu machen. Natürlich durch Portfilter und sonstigen Firewallregeln abgesichert, mit scharfem IDS/IPS usw. Das werde ich auch machen.
Dani
Dani Mar 13, 2024 updated at 18:18:05 (UTC)
Goto Top
Moin,
Allerdings möchte Let's Encrypt sowohl bei der Einrichtung als auch bei jeder Erneuerung einen Eintrag in die DNS-Verwaltung schreiben.
das ist richtig, wenn die Validierung über DNS-01 erfolgen soll. Warum nutzt du nicht HTTP-01, dann ist der DNS Eintrag nicht notwendig und die Validierung ist autark.

Natürlich durch Portfilter und sonstigen Firewallregeln abgesichert, mit scharfem IDS/IPS usw. Das werde ich auch machen.
Setzt voraus, dass das dein ISP die DNS Ports nicht gesperrt hat. Unabhängig davon wirst du mit einem DNS Server nicht weit kommen. Denn es müsste für die genannten Domains der AUTHORITATIVE Nameserver sein. D.h. du braust laut aktueller Vorgaben mindestens zwei Stück davon und das in unterschiedlichen IP Subnetzen.

Da wäre noch das Thema mit IPv6. Und da fangen dann auch die Probleme mit IDS/IPS für DNS an. Da kannst du in der Regel nicht die 0815 Lösungen verwenden. Wenn man es ernst mein, muss es eine Lösung sein, welche sich primär auf DNS fokussiert. Das bedingt natürlich auch eine regelmäßige Kontrolle der Logs und evtl. Nachjustierung.

Fällt deine Internetleitung aus, ist der TTL abgelaufen sind die Domains auf einem Schlag nicht mehr auflösbar und damit nicht erreichbar.

Schlussendlich halte ich dein Wissen, deine Infrastruktur und die Rahmenbedingungen für dein Vorhaben für nicht umsetzbar. Das geht nach hinten los.
temuco
temuco Mar 14, 2024 at 09:42:01 (UTC)
Goto Top
Zitat von @Dani:

Warum nutzt du nicht HTTP-01, dann ist der DNS Eintrag nicht notwendig und die Validierung ist autark.

Dann muss ich dass direkt auf Betriebssystemebene machen. Das würde gehen. Dennoch würde ich gerne DNS unter Plesk verwalten können.

Zitat von @temuco:

Natürlich durch Portfilter und sonstigen Firewallregeln abgesichert, mit scharfem IDS/IPS usw. Das werde ich auch machen.
Zitat von @Dani:

Setzt voraus, dass das dein ISP die DNS Ports nicht gesperrt hat. Unabhängig davon wirst du mit einem DNS Server nicht weit kommen. Denn es müsste für die genannten Domains der AUTHORITATIVE Nameserver sein. D.h. du braust laut aktueller Vorgaben mindestens zwei Stück davon und das in unterschiedlichen IP Subnetzen.

Ich meine hier IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) von meiner Firewall.

Es sind zwei DNS-Server Plesk und meiner.

Zitat von @Dani:

Fällt deine Internetleitung aus, ist der TTL abgelaufen sind die Domains auf einem Schlag nicht mehr auflösbar und damit nicht erreichbar.

Stimmt nur dann, wenn sowohl das Plesk-DNS und meins gleichzeitig ausfallen.

Zitat von @Dani:

Schlussendlich halte ich dein Wissen, deine Infrastruktur und die Rahmenbedingungen für dein Vorhaben für nicht umsetzbar. Das geht nach hinten los.

Zitat von @temuco:

Leider bin ich mit meinem geringen Fachwissen auf diesem Gebiet am Ende und auf eure Hilfe angewiesen.

Möglich. Wenn man alles wüsste, bräuchte man nicht zu fragen und wenn man nicht zu fragen bräuchte, gäbe es keine Foren...
Dani
Dani Mar 15, 2024 at 20:12:41 (UTC)
Goto Top
Moin,
Dann muss ich dass direkt auf Betriebssystemebene machen. Das würde gehen. Dennoch würde ich gerne DNS unter Plesk verwalten können.
ich kenne mich mit Plesk nicht aus. Allerdings zeigen die ersten Suchergebnisse bei meiner Suchmaschine, dass es durch aus möglich ist über Plesk bei LE über http-01 Zertifikate anzufordern. Link.

Ich meine hier IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) von meiner Firewall.
Und vor was sollen IPS/IDS einer UTM Firewall deine DNS-Server schützen?

Stimmt nur dann, wenn sowohl das Plesk-DNS und meins gleichzeitig ausfallen.
Ja, oder es Probleme mit der Replication gibt.


Gruß,
Dani