DynDNS, Domäne, Reverse Proxy

  • Guten Morgen,
    ich quäle mich gerad ein wenig mit "Zugriff von aussen".

    Was ich schon geschafft habe:

    • Domäne bei Netcup (beispiel.de)
    • DuckDNS Subdomäne (beispiel.duckdns.org)
    • SWAG Container mit Reverseproxy, Letsencrypt, Nginx
    • DuckDNS ist erreichbar
    • Reverseproxy mit Letsencrypt konfiguriert und funktioniert
      Aufruf von http://beispiel.duckdns.org/emby
      Emby wird korrekt aufgerufen und Zertifikat i. O. alles grün
      Ich könnte hier, wenn nötig, wohl auch auf emby.beispiel.duckdns.org umstellen, bin mir aber nicht sicher.

    Soweit alles ganz geil kann ich mir gut vorstellen es weiter auszubauen mit NextCloud etc.

    Fragen:
    Ich würde das am Ende am liebsten per Subdomain aufrufen, aber natürlich mit meiner DE Domain.
    Also emby.beispiel.de

    1. Da passt dann aber das LE Zertifikat nicht, weil es ja auch beipiel.DuckDNS.org ausgestellt ist.
    Was ist hier richtig? Brauche ich gar kein Zertifikat für beipiel.DuckDNS.org? Oder nur für beispiel.de? ODer beides?
    Ich blicke das nicht durch.

    2. Wie bekomme ich die Weiterleitung meiner Domäne auf DuckDNS hin?
    Hier habe ich schon zu CName Einträgen gelesen, das ist aber irgendwie nicht das richtige, denn da kann ich scheinbar nur eine Subdomain auf eine andere Domain weiterleiten.
    also emby.beispiel.de > beispiel.duckdns.org. emby.beispiel.de > http://beispiel.duckdns.org/emby wird mir mit Fehlermeldung "Ziel falsch" verboten.

  • Ich habe hier zwar eine etwas andere Konfiguration, aber im Prinzip werden Deine Fragen dadurch beantwortet.

    Bei mir läuft hier Home Assistant auf einem Pi.
    Dort habe ich ein Duckdns/Let's Encrypt Add-on und ein Nginx Add-on installiert.

    Der Pi sendet für <Meine Domain>.duckdns.org die IP-Adressen und es gibt ein Let's Encrypt Zertifikat dafür, allerdings wird das von außen nicht benutzt, da Nginx davor sitzt und ich das darüber regle.
    Für ein paar Rechner, auch für den Home Assistant Pi gibt es Subdomains:
    <Subdomain>.<Meine Domain>.duckdns.org
    Diese sind von außen per https mit einem extra Let's Encrypt Zertifikat erreichbar. Diese Zertifikate werden automatisch vom Nginx Add-on aktualisiert. Man braucht aber für jede dieser Subdomains ein eigenes, da es ja unterschiedliche Namen sind.

    Es gibt nur eine Portweiterleitung von der Fritzbox für den Port 443 zu dem Pi, sonst nichts.

    Innerhalb des Netzes hier sind alle Rechner auch der Home Assistant Pi per http erreichbar, dadurch gibt es auch keine Probleme mit Browsern, die meckern, wenn https ohne Zertifikat (das geht ja auch nicht für IP-Adressen) benutzt wird.

    Hier laufen macOS, iOS, iPadOS, tvOS, watchOS, Proxmox, Home Assistant OS, QTS, Raspberry Pi OS, piCorePlayer und Fire OS

  • Ok, aber es beantwortet doch meine Fragen gar nicht, oder?

    Es beantwortet die Frage, ob Du für jeden Namen ein eigenes Let's Encrypt Zertifikat brauchst. Und ja. Das ist so.
    Wie das mit Deiner anderen Domain ist weiß ich nicht. Aber da müsstest Du doch im Prinzip auch subdomains anlegen, die dann jeweils auch Let's Encrypt Zertifikate benötigen.

    Hier laufen macOS, iOS, iPadOS, tvOS, watchOS, Proxmox, Home Assistant OS, QTS, Raspberry Pi OS, piCorePlayer und Fire OS

  • Man kann von letsencrypt problemlos ein Zertifikat für verschiedene Domains bekommen. Mit diesem swag container kenne ich mich auch nicht aus, aber der wird wahrscheinlich irgendwie certbot nutzen und da kann man einfach mehrere Domains angeben:
    certbot -d beispiel.org -d beispiel.duckdns.org -weitereoptionen...

  • Es beantwortet die Frage, ob Du für jeden Namen ein eigenes Let's Encrypt Zertifikat brauchst. Und ja. Das ist so.Wie das mit Deiner anderen Domain ist weiß ich nicht. Aber da müsstest Du doch im Prinzip auch subdomains anlegen, die dann jeweils auch Let's Encrypt Zertifikate benötigen.

    Nein, nicht zwangsweise. Es reicht ein Wildcard Zertifikat.

    Man kann von letsencrypt problemlos ein Zertifikat für verschiedene Domains bekommen. Mit diesem swag container kenne ich mich auch nicht aus, aber der wird wahrscheinlich irgendwie certbot nutzen und da kann man einfach mehrere Domains angeben:
    certbot -d beispiel.org -d beispiel.duckdns.org -weitereoptionen...

    Ja richtig, bringt aber nichts wenn der DuckDns & eine eigene möchte. Sinnvoll wäre es, den DuckDNS Ab zu stoßen und nur den domain anbieter - soweit er DynDNS unterstützt - zu nutzen. Strato z.B. macht das. Leider bekomme ich heute die Gedanken nicht mehr anständig zusammen, habe das bei mir so am Laufen mit Strato ... ich denke morgen habe ich Zeit & Ruhe dafür :) @Commerzpunk, was hast denn an Router daheim, kann der DynDNS realisieren? bzw. was hast als "Server" OS am laufen auf dem der Docker läuft?

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Einmal editiert, zuletzt von noob_at_pc (5. März 2021 um 16:25)

  • Müßte doch normalerweise auch per CNAME funzen?

    Ich gehe mal davon aus, dass beispiel.duckdns.org bereits auf dein System zugreifen kann.

    Bei Netcup nen CNAME von domain.de oder sub.domain.de auf beispiel.duckdns.org
    Dann einfach nen SSL Zertfikat für domain.de oder sub.domain.de erstellen.


    Wäre dann nicht das Zertikat für beispiel.duckdns.org unnötig, weil sowieso über domain.de oder sub.domain.de zugegriffen wird?

    beispiel.duckdns.org ist doch dann eigentlich nur dafür da, dass die IP für domain.de oder sub.domain.de stimmt.


    Und intern weiß ich nicht. Ist intern überhaupt nen SSL Zertifikat nötig?
    Wir haben ja immerhin auch noch den nginx.

    Oder anders gefragt, kann man für lokale interne IPs überhaupt den Certbot nutzen? Oder müßte man da ein selbstsigniertes anlegen?

  • Ist intern überhaupt nen SSL Zertifikat nötig?

    Intern für was?


    Oder anders gefragt, kann man für lokale interne IPs überhaupt den Certbot nutzen? Oder müßte man da ein selbstsigniertes anlegen?

    Für IP-Adresse kannst Du keine Zertifikate erzeugen. Wie soll das gehen? Ein Zertifikat ist immer für den Namen eines Rechners. Damit der mit dem Zertifikat verglichen werden kann. Und ich bezweifle, daß Du von einem externen Anbieter Zertifikate für lokale Pseudo Namen Deiner lokalen Rechner (also etwas wie rechner.local oder ähnliches) bekommen kannst.

    Hier laufen macOS, iOS, iPadOS, tvOS, watchOS, Proxmox, Home Assistant OS, QTS, Raspberry Pi OS, piCorePlayer und Fire OS

  • So, jetzt bin mal ein ganzes Stück weiter!

    Der SWAG Container unterstützt von Haus aus die DNS API von Netcup, musste nur bisschen suchen.
    Damit ist DuckDNS überflüssig.

    Jetzt gibts noch Fehler die ich nicht rausbekomme, aber der Weg kann nicht mehr weit sein.
    API Passwort und Key habe ich generiert und eingetragen.


  • Intern für was?

    Ja eben, genau das habe ich mich ja gefragt.


    Für IP-Adresse kannst Du keine Zertifikate erzeugen. Wie soll das gehen? Ein Zertifikat ist immer für den Namen eines Rechners. Damit der mit dem Zertifikat verglichen werden kann. Und ich bezweifle, daß Du von einem externen Anbieter Zertifikate für lokale Pseudo Namen Deiner lokalen Rechner (also etwas wie rechner.local oder ähnliches) bekommen kannst.

    Ich meine ich habe öfters schon gehört, das irgendwelche Leute auch intern https nutzen und dafür braucht man doch nen Zertifikat, oder nicht?

  • das irgendwelche Leute auch intern https nutzen und dafür braucht man doch nen Zertifikat, oder nicht?

    Ja sicher, oder Du erklärst Deinem Browser halt, daß er das Gemecker sein lassen soll, weil es keinen Sinn ergibt.

    Hier laufen macOS, iOS, iPadOS, tvOS, watchOS, Proxmox, Home Assistant OS, QTS, Raspberry Pi OS, piCorePlayer und Fire OS

  • Ich glaube meine Antwort ist untergegangen.

    Also ich habe weitere Versuche gestartet und kann Ursachen ausschließen / eingrenzen:

    Anmeldung an der DNS API klappt, das sehe ich bei Netcup im Log, als keine Login-Probleme.
    Der DNS Eintrag "_acme-challenge" als TXT entsteht sogar, während der Request läuft, also muss da erst mal alles OK sein.
    Das kann ich im Verwaltungsportal von Netcup beobachten.

    Aber dann scheitert es mit Fehlern:


    Wer hat jetzt noch nen Tipp, ich fühle mich kurz vor der Lösung!

  • Ich nutze dyndns im seperatem docker , dort lassen sich viele hoster in einer .config Datei anlegen,
    oldscool, vermutlich nichts für dich, aber rock stable :)

  • Ich nutze dyndns im seperatem docker , dort lassen sich viele hoster in einer .config Datei anlegen,
    oldscool, vermutlich nichts für dich, aber rock stable :)

    Mir ist ist das total wurscht ob das Oldscool ist oder Docker oder oder oder.

    Eigenlich möchte ich nur, dass beispiel.de auf meine Fritzbox zeigt und suche dafür einen Weg der möglichst einfach ist.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!