Best Practice: AdGuard Home & unbound um Domain lokal aufzulösen

[plang.pl]

Ja, das sind halt so Dinge, die man ewig vor sich hinschiebt...
Ich will nicht sagen, dass ich mein HomeLab mittlerweile "vernachlässige", aber es hat nicht mehr die Priorität Nummer 1. Alles was läuft, wird einfach laufen gelassen. Es gibt zwar ne Liste mit Dingen, die ich umsetzen will, aber wann das gemacht wird, keine Ahnung. Diese Liste ist mittlerweile so lang, dass ich überlege, einfach alles darauf einmal zu löschen

 

[bliblablubb]

Diese ermöglichen m.W. eine bidirektionale Verbindung zwischen Client und Server. Ich aktiviere das immer.

So ist es. Genauso wie es immer einen Weg gibt

So sehe ich das auch. Ich nutze einen NGINX-RP in Docker auf einer VM in Proxmox. Wenn ich nochmal neu beginnen müsste, würde ich wohl auf einen modernen RP setzen. Die DS als zentralen RP einzusetzen, ist keine gute Idee. Insbesondere dann, wenn die Dienste im Netz stehen.

Da ich ja die DS nicht ins Netz gestellt habe, dürfte das Setup das ich jetzt habe ja kein Problem sein?

Es gibt immer einen Port. Um was geht es denn

Ich habe in nem Proxmox LXC noch ein Adguard als backup laufen. Hier gibt es keine Portangabe so wie ich das sehe

 

[alexhell]

Geht es um das Webinterface von adguard? Dann ist es Protokoll Http und Port 80

 

[bliblablubb]

Danke dir. Geht wunderbar

 

[crammaster]

Moin,

ich habe das mit der HTTPS-Unterstützung in meinem HomeLab etwas anders gelöst. Diese benötigt kein DynDNS von Synology, von dessen Nutzung ich persönlich nichts halte, und ermöglicht die Nutzung eines Wildcard Zertifikats von Let's Encrypt über die Domain Validation. Ein paar Einstellungen verändert und man kann ein WildCard Zertifikat auch außerhalb des lokalen Netzwerks verwenden.





Hier an dem Beispiel https://start.xxx.de die auf einen Heimdall Docker Container verweist.

Was wird benötigt:
Rechner mit Linux und Docker ( in meinem Fall DS1621+)
Domain mit Option zur Eintragung eines anderen NameServer (bei mir gehostet bei Strato)
Cloudflare Account
Internet-Verbindung wäre nicht schlecht

Arbeitsschritte (gekürzt):

1. - Linux installiert, eingerichtet und Docker installiert (ContainerManager)
2. - Portainer Container installiert und eingerichtet
3. - MacVlan eingerichtet und IP-Adressbereich ausgewählt
4. - MacVlan in Portainer angelegt
5. - NGINX Reverse Proxy (NRP) Container installiert (Netzwerk MacVlan)
6. - Cloudflare Account erstellt, Domain hinzugefügt und API-Key erstellen lassen
7. - NameServer bei DomainHoster eintragen (Vorgang dauert zirka 24 Stunden)
8. - warten bis Punkt 7 abgeschlossen ist
9. - im NRP Domain hinzufügen und Let's Encrypt Domain Validation durchführen (dafür wird der API-Key benötigt)
10. - Subdomain im NRP anlegen und bei Cloudflare mit Verweiß auf NRP eintragen (bei mir 192.168.XXX.161)
11. - ???
12. - Profit

Diese Anleitung ist sehr gekürzt und die einzelnen Arbeitsschritte habe deutlich mehr "Unterschritte" wo zum Beispiel ggf. eine SSH Verbindung mit dem Host aufgebaut werden muss.

Falls interesse besteht, kann ich die Anleitung auch gern etwas ausführlicher gestalten.
Bei fragen stehe ich gern zur Verfügung.

 

[*kw*]

diesem Artikel

Link inaktuell, Domain endet jetzt auf ".de". Das sollte der neue sein:

https://strobelstefan.de/blog/2021/...lle_über_die_dns-anfragen_erhalten/?h=unbound

 

[mj084]

@*kw*

@plang.pl liest hier wie im anderen Thread schon erwähnt vermutlich nicht mehr mit

Mich würde zum ersten Beitrag, speziell 2.3 Testen und der Rebindschutz in der Fritz!Box interessieren:

Mit Wildcard: *.test.synology.me klappt der Zugriff via DNS-Eintrag aus dem Reverse-Proxy der Syno nicht - es muss der Name einzeln hin...

Wie ist es bei euch?

 

[Benares]

"Wildcard" bedeutet nicht, dass da ein Stern stehen darf. "Wildcard" bedeutet, dass im DNS auch irgendwas.test.synology.me genauso aufgelöst werden wie test.synology.me und dass das Zertifikat auch für diese Namen gilt.

 

[mj084]

Und beantwortet dies meine Frage in irgendeiner Weise?

Es ist in der Anleitung so angegegben, daher meine Frage!

PS

Ja, ich habe ein Wildcardzertifikat und mit dem genauen Hostnamen der FritzBox als Rebindschutzeintrag, klappt es auch....

 

[Benares]

Ach so meintest du das? Ich hatte eher die DNS-Namensauflösung und die Gültigkeit des Zertifikats im Blick.
Bei der Konfiguration gibt es durchaus Stellen, wo man *.test.synology.me schreibt, beim Rebind-Schutz aber m.W. nicht. Ich hab da nur test.synology.me (ohne *) drin und das gilt dann auch für irgendwas.test.synology.me

 

[mj084]

und genau das klappt bei mir eben nicht - daher die Frage wie es bei den anderen ist...

 

[Benares]

Was liefert denn bei dir ein "nslookup irgendwas.test.synology.me" bzw. "nslookup test.synology.me"?

 

[*kw*]

Als rein DS-interne Domain (netcup) habe ich auch nur Wildcard in AdGuard Home gesetzt, sprich, die Umschreibung erfolgt mit *.meinedomain.de

In der FB muss ich gezielt die URL angeben, bspw. app1.meinedomain.de

 

[mj084]

Was liefert denn bei dir ein "nslookup irgendwas.test.synology.me" bzw. "nslookup test.synology.me"?

Alle Subdomains der DynDNS Adresse lösen zum NAS (unabhängig von einem Reversyproxy Eintrag) auf --> DNS Umschreibung: *.meinedyndns.domain
ein nslookup zur DynDNS Domain allein geht nach draussen...

 

[Benares]

Mit DNS-Umschreibungen oder Reverse Proxy hat ein nslookup noch lange nichts zu tun. das kommt erst, wenn man über Web zugreift.

ein nslookup zur DynDNS Domain allein geht nach draussen

Denn Satz verstehe ich nicht. Beantworte bitte mal meine Frage.

 

[mj084]

@Benares

Wenn ich eine DNS-Umschreibung in meinem lokalen DNS vornehme, hat dieses sehr wohl was mit nslookup zu tun - was schreibst du eigentlich für ein Zeug?

Es wird für ein nslookup auf meine DYN-DNS Domain meine externe IP meines Internetanschlusses ausgegeben...

 

[Benares]

Klar, wenn es eine DNS-Umschreibung im DNS-Server ist, dann schon.
Deshalb ja auch die Frage, ob "nslookup irgendwas.test.synology.me" etwas anderes liefert wie "nslookup test.synology.me"
Und erklär bitte mal, was du mit "ein nslookup zur DynDNS Domain allein geht nach draussen" sagen willst.
Übrigens, ist IPv6 mit im Spiel`?

 

[mj084]

Sorry, liest du meine Beiträge überhaupt?

Klar, wenn es eine DNS-Umschreibung im DNS-Server ist, dann schon.

Deshalb ja auch die Frage, ob "nslookup irgendwas.test.synology.me" etwas anderes liefert wie "nslookup test.synology.me"

Alle Subdomains der DynDNS Adresse lösen zum NAS (unabhängig von einem Reversyproxy Eintrag) auf --> DNS Umschreibung: *.meinedyndns.domain

Ja, schrieb ich ja..

Und erklär bitte mal, was du mit "ein nslookup zur DynDNS Domain allein geht nach draussen" sagen willst.

Es wird für ein nslookup auf meine DYN-DNS Domain meine externe IP meines Internetanschlusses ausgegeben...

Übrigens, ist IPv6 mit im Spiel`?

Nein

 

[Benares]

"Es wird für ein nslookup auf meine DYN-DNS Domain meine externe IP meines Internetanschlusses ausgegeben..." ist keine Antwort auf meine Frage
ob "nslookup irgendwas.test.synology.me" etwas anderes liefert wie "nslookup test.synology.me"
Aber egal, ich bin hier mal raus.

 

[mj084]

Ich habe alles zitiert und dir mundgerecht serviert - einfach mal lesen statt rumjammern...