DynDNS, Domäne, Reverse Proxy

Commerzpunk

Guten Morgen,
ich quäle mich gerad ein wenig mit "Zugriff von aussen".

Was ich schon geschafft habe:

Domäne bei Netcup (beispiel.de)

DuckDNS Subdomäne (beispiel.duckdns.org)

SWAG Container mit Reverseproxy, Letsencrypt, Nginx

DuckDNS ist erreichbar

Reverseproxy mit Letsencrypt konfiguriert und funktioniert
Aufruf von http://beispiel.duckdns.org/emby
Emby wird korrekt aufgerufen und Zertifikat i. O. alles grün
Ich könnte hier, wenn nötig, wohl auch auf emby.beispiel.duckdns.org umstellen, bin mir aber nicht sicher.

Soweit alles ganz geil kann ich mir gut vorstellen es weiter auszubauen mit NextCloud etc.

Fragen:
Ich würde das am Ende am liebsten per Subdomain aufrufen, aber natürlich mit meiner DE Domain.
Also emby.beispiel.de

1. Da passt dann aber das LE Zertifikat nicht, weil es ja auch beipiel.DuckDNS.org ausgestellt ist.
Was ist hier richtig? Brauche ich gar kein Zertifikat für beipiel.DuckDNS.org? Oder nur für beispiel.de? ODer beides?
Ich blicke das nicht durch.

2. Wie bekomme ich die Weiterleitung meiner Domäne auf DuckDNS hin?
Hier habe ich schon zu CName Einträgen gelesen, das ist aber irgendwie nicht das richtige, denn da kann ich scheinbar nur eine Subdomain auf eine andere Domain weiterleiten.
also emby.beispiel.de > beispiel.duckdns.org. emby.beispiel.de > http://beispiel.duckdns.org/emby wird mir mit Fehlermeldung "Ziel falsch" verboten.

darkside40

Warum gehst du den umweg über DuckDNS?
Man kann eine Domian bei Netcup auch wie ein Dynhost nutzen: https://www.netcup-wiki.de/wiki/API_Clients

Commerzpunk

Weil ich nicht weiß wie man das in dem Swag Container machen soll. Da ist halt DuckDNS voreingestellt.

darkside40

Okay hab mir grad mal den Swag Container angeschaut. Ist wieder so ne Lösung die alles aus einer Hand bietet, da hab ich leider keine Ahnung von.

carsten_h

Ich habe hier zwar eine etwas andere Konfiguration, aber im Prinzip werden Deine Fragen dadurch beantwortet.

Bei mir läuft hier Home Assistant auf einem Pi.
Dort habe ich ein Duckdns/Let's Encrypt Add-on und ein Nginx Add-on installiert.

Der Pi sendet für <Meine Domain>.duckdns.org die IP-Adressen und es gibt ein Let's Encrypt Zertifikat dafür, allerdings wird das von außen nicht benutzt, da Nginx davor sitzt und ich das darüber regle.
Für ein paar Rechner, auch für den Home Assistant Pi gibt es Subdomains:
<Subdomain>.<Meine Domain>.duckdns.org
Diese sind von außen per https mit einem extra Let's Encrypt Zertifikat erreichbar. Diese Zertifikate werden automatisch vom Nginx Add-on aktualisiert. Man braucht aber für jede dieser Subdomains ein eigenes, da es ja unterschiedliche Namen sind.

Es gibt nur eine Portweiterleitung von der Fritzbox für den Port 443 zu dem Pi, sonst nichts.

Innerhalb des Netzes hier sind alle Rechner auch der Home Assistant Pi per http erreichbar, dadurch gibt es auch keine Probleme mit Browsern, die meckern, wenn https ohne Zertifikat (das geht ja auch nicht für IP-Adressen) benutzt wird.

Commerzpunk

@carsten_h
Ok, aber es beantwortet doch meine Fragen gar nicht, oder? Wie mache ich dann jetzt mit meiner .de Domäne?

carsten_h

Zitat von Commerzpunk

Ok, aber es beantwortet doch meine Fragen gar nicht, oder?

Es beantwortet die Frage, ob Du für jeden Namen ein eigenes Let's Encrypt Zertifikat brauchst. Und ja. Das ist so.
Wie das mit Deiner anderen Domain ist weiß ich nicht. Aber da müsstest Du doch im Prinzip auch subdomains anlegen, die dann jeweils auch Let's Encrypt Zertifikate benötigen.

Seppl1

Man kann von letsencrypt problemlos ein Zertifikat für verschiedene Domains bekommen. Mit diesem swag container kenne ich mich auch nicht aus, aber der wird wahrscheinlich irgendwie certbot nutzen und da kann man einfach mehrere Domains angeben:
certbot -d beispiel.org -d beispiel.duckdns.org -weitereoptionen...

noob_at_pc

Zitat von carsten_h

Es beantwortet die Frage, ob Du für jeden Namen ein eigenes Let's Encrypt Zertifikat brauchst. Und ja. Das ist so.Wie das mit Deiner anderen Domain ist weiß ich nicht. Aber da müsstest Du doch im Prinzip auch subdomains anlegen, die dann jeweils auch Let's Encrypt Zertifikate benötigen.

Nein, nicht zwangsweise. Es reicht ein Wildcard Zertifikat.

Zitat von Seppl1

Man kann von letsencrypt problemlos ein Zertifikat für verschiedene Domains bekommen. Mit diesem swag container kenne ich mich auch nicht aus, aber der wird wahrscheinlich irgendwie certbot nutzen und da kann man einfach mehrere Domains angeben:
certbot -d beispiel.org -d beispiel.duckdns.org -weitereoptionen...

Ja richtig, bringt aber nichts wenn der DuckDns & eine eigene möchte. Sinnvoll wäre es, den DuckDNS Ab zu stoßen und nur den domain anbieter - soweit er DynDNS unterstützt - zu nutzen. Strato z.B. macht das. Leider bekomme ich heute die Gedanken nicht mehr anständig zusammen, habe das bei mir so am Laufen mit Strato ... ich denke morgen habe ich Zeit & Ruhe dafür @Commerzpunk, was hast denn an Router daheim, kann der DynDNS realisieren? bzw. was hast als "Server" OS am laufen auf dem der Docker läuft?

Publish3r

Müßte doch normalerweise auch per CNAME funzen?

Ich gehe mal davon aus, dass beispiel.duckdns.org bereits auf dein System zugreifen kann.

Bei Netcup nen CNAME von domain.de oder sub.domain.de auf beispiel.duckdns.org
Dann einfach nen SSL Zertfikat für domain.de oder sub.domain.de erstellen.

Wäre dann nicht das Zertikat für beispiel.duckdns.org unnötig, weil sowieso über domain.de oder sub.domain.de zugegriffen wird?

beispiel.duckdns.org ist doch dann eigentlich nur dafür da, dass die IP für domain.de oder sub.domain.de stimmt.

Und intern weiß ich nicht. Ist intern überhaupt nen SSL Zertifikat nötig?
Wir haben ja immerhin auch noch den nginx.

Oder anders gefragt, kann man für lokale interne IPs überhaupt den Certbot nutzen? Oder müßte man da ein selbstsigniertes anlegen?

carsten_h

Zitat von Publish3r

Ist intern überhaupt nen SSL Zertifikat nötig?

Intern für was?

Zitat von Publish3r

Oder anders gefragt, kann man für lokale interne IPs überhaupt den Certbot nutzen? Oder müßte man da ein selbstsigniertes anlegen?

Für IP-Adresse kannst Du keine Zertifikate erzeugen. Wie soll das gehen? Ein Zertifikat ist immer für den Namen eines Rechners. Damit der mit dem Zertifikat verglichen werden kann. Und ich bezweifle, daß Du von einem externen Anbieter Zertifikate für lokale Pseudo Namen Deiner lokalen Rechner (also etwas wie rechner.local oder ähnliches) bekommen kannst.

Commerzpunk

So, jetzt bin mal ein ganzes Stück weiter!

Der SWAG Container unterstützt von Haus aus die DNS API von Netcup, musste nur bisschen suchen.
Damit ist DuckDNS überflüssig.

Jetzt gibts noch Fehler die ich nicht rausbekomme, aber der Weg kann nicht mehr weit sein.
API Passwort und Key habe ich generiert und eingetragen.

Code

Brought to you by linuxserver.io
-------------------------------------


To support the app dev(s) visit:
Certbot: https://supporters.eff.org/donate/support-work-on-certbot


To support LSIO projects visit:
https://www.linuxserver.io/donate/
-------------------------------------
GID/UID
-------------------------------------


User uid: 99
User gid: 100
-------------------------------------


[cont-init.d] 10-adduser: exited 0.
[cont-init.d] 20-config: executing...
[cont-init.d] 20-config: exited 0.
[cont-init.d] 30-keygen: executing...
using keys found in /config/keys
[cont-init.d] 30-keygen: exited 0.
[cont-init.d] 50-config: executing...
Variables set:
PUID=99
PGID=100
TZ=Europe/Berlin
URL=nas-hunda.de
SUBDOMAINS=wildcard
EXTRA_DOMAINS=
ONLY_SUBDOMAINS=false
VALIDATION=dns
CERTPROVIDER=
DNSPLUGIN=netcup
EMAIL=info.nas.hunda@gmx.net
STAGING=false


Using Let's Encrypt as the cert provider
SUBDOMAINS entered, processing
Wildcard cert for nas-hunda.de will be requested
E-mail address entered: info.nas.hunda@gmx.net
dns validation via netcup plugin is selected
Generating new certificate
Saving debug [definition='1','0']log[/definition] to /var/[definition='1','0']log[/definition]/letsencrypt/letsencrypt.[definition='1','0']log[/definition]
Plugins selected: Authenticator dns-netcup, Installer None
Requesting a certificate for *.nas-hunda.de and nas-hunda.de
Performing the following challenges:
dns-01 challenge for nas-hunda.de
dns-01 challenge for nas-hunda.de
Unsafe permissions on credentials configuration file: /config/dns-conf/netcup.ini
Waiting 10 seconds for DNS changes to propagate
Waiting for verification...
Waiting for verification...
Challenge failed for domain nas-hunda.de
Challenge failed for domain nas-hunda.de
dns-01 challenge for nas-hunda.de
dns-01 challenge for nas-hunda.de
Cleaning up challenges
Some challenges have failed.
IMPORTANT NOTES:
- The following errors were reported by the server:


Domain: nas-hunda.de
Type: unauthorized
Detail: No TXT record found at _acme-challenge.nas-hunda.de


Domain: nas-hunda.de
Type: unauthorized
Detail: No TXT record found at _acme-challenge.nas-hunda.de


To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
ERROR: Cert does not exist! Please see the validation error above. Make sure you entered correct credentials into the /config/dns-conf/netcup.ini file.

Alles anzeigen

Publish3r

Zitat von carsten_h

Intern für was?

Ja eben, genau das habe ich mich ja gefragt.

Zitat von carsten_h

Für IP-Adresse kannst Du keine Zertifikate erzeugen. Wie soll das gehen? Ein Zertifikat ist immer für den Namen eines Rechners. Damit der mit dem Zertifikat verglichen werden kann. Und ich bezweifle, daß Du von einem externen Anbieter Zertifikate für lokale Pseudo Namen Deiner lokalen Rechner (also etwas wie rechner.local oder ähnliches) bekommen kannst.

Ich meine ich habe öfters schon gehört, das irgendwelche Leute auch intern https nutzen und dafür braucht man doch nen Zertifikat, oder nicht?

carsten_h

Zitat von Publish3r

das irgendwelche Leute auch intern https nutzen und dafür braucht man doch nen Zertifikat, oder nicht?

Ja sicher, oder Du erklärst Deinem Browser halt, daß er das Gemecker sein lassen soll, weil es keinen Sinn ergibt.

Commerzpunk

Ich glaube meine Antwort ist untergegangen.

Also ich habe weitere Versuche gestartet und kann Ursachen ausschließen / eingrenzen:

Anmeldung an der DNS API klappt, das sehe ich bei Netcup im Log, als keine Login-Probleme.
Der DNS Eintrag "_acme-challenge" als TXT entsteht sogar, während der Request läuft, also muss da erst mal alles OK sein.
Das kann ich im Verwaltungsportal von Netcup beobachten.

Aber dann scheitert es mit Fehlern:

Code

Plugins selected: Authenticator dns-netcup, Installer None
Account registered.
Requesting a certificate for nas-hunda.de
Performing the following challenges:
dns-01 challenge for nas-hunda.de
Unsafe permissions on credentials configuration file: /config/dns-conf/netcup.ini
Waiting 60 seconds for DNS changes to propagate
Waiting for verification...
Challenge failed for domain nas-hunda.de
dns-01 challenge for nas-hunda.de
Cleaning up challenges
Some challenges have failed.
IMPORTANT NOTES:
- The following errors were reported by the server:


Domain: nas-hunda.de
Type: unauthorized
Detail: No TXT record found at _acme-challenge.nas-hunda.de


To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
ERROR: Cert does not exist! Please see the validation error above. Make sure you entered correct credentials into the /config/dns-conf/netcup.ini file.

Alles anzeigen

Wer hat jetzt noch nen Tipp, ich fühle mich kurz vor der Lösung!

Commerzpunk

Ok, einene Schritt weiter, ich habe das falsch verstanden.

Die "DNS API" wird nur genutzt um die Zertifikate zu holen / hinterlegen.

Das DynDNS Thema muss ich also doch anders lösen.

Seppl1

Schau mal hier:
https://github.com/coldfix/certbo…named-arguments

vermutlich musst du --dns-netcup-propagation-seconds deutlich höher setzen.

DeBaschdi

Ich nutze dyndns im seperatem docker , dort lassen sich viele hoster in einer .config Datei anlegen,
oldscool, vermutlich nichts für dich, aber rock stable

Commerzpunk

Zitat von Seppl1

Schau mal hier:
https://github.com/coldfix/certbo…named-arguments
vermutlich musst du --dns-netcup-propagation-seconds deutlich höher setzen.

Ja, das stimmt, das habe ich gemacht und das hat geholfen.
Leider bleibt es ja beim Missverständnis meinerseits, ich dachte damit habe ich auch das Dyn-DNS Thema gelöst.

Commerzpunk

Zitat von DeBaschdi

Ich nutze dyndns im seperatem docker , dort lassen sich viele hoster in einer .config Datei anlegen,
oldscool, vermutlich nichts für dich, aber rock stable

Mir ist ist das total wurscht ob das Oldscool ist oder Docker oder oder oder.

Eigenlich möchte ich nur, dass beispiel.de auf meine Fritzbox zeigt und suche dafür einen Weg der möglichst einfach ist.

DynDNS, Domäne, Reverse Proxy

Jetzt mitmachen!

Benutzer online in diesem Thema