CalDAV und CardDAV Sync über Port 443

[senderversteller]

MacBook-CH:~ xxx$ nslookup carddav.meinedomain.de
Server: 192.168.10.123
Address: 192.168.10.123#53

Non-authoritative answer:
carddav.meinedomain.de canonical name = xxx.myfritz.net.
Name: xxx.myfritz.net
Address: 84.xxx.xxx.xx

Aber wie oben beschrieben, es scheint am Pi-Hole (IP = 192.168.10.123) zu liegen. Sobald ich diesen aus den IPv4 Einstellungen den Clients als DNS wieder die Fritzbox zuweise, bekomme ich auch keine Zertifikatswarnung mehr. Nur verstehe ich nicht ganz wieso, da es bei meiner bisherigen Subdomain die ich für alles nutze auch funktioniert.

 

[senderversteller]

Jetzt muss ich mich nochmal korrigieren:
In der Pi-Hole Konfiguration gibts für "https://hauptdomain.meinedomain.de" ebenso eine Zertifikatswarnung, für https://hauptdomain.meinedomain.de:9999 jedoch nicht (9999 wäre hier als Port des Dienstes z.B. CardDAV zu sehen). Für Port 443 gibts die Warnung. Sehr komisch.

 

[EDvonSchleck]

Ich verwende ja auch Adguard und habe keine Probleme zusammen mit unbound. Könnte es an eine Blacklist liegen?

 

[EDvonSchleck]

schau mal noch einmal in #20

 

[senderversteller]

Ich nutze myfritz als Dyndns Service.
Dabei erhalte ich eine kryptische Adresse mit myfritz.net
Meine Domains hoste ich bei Domainfactory... hier kann ich für Domains bzw. deren Subdomains die NS Einstellungen vornehmen.

Ich verweise also mittels CNAME meine subdomain.meinedomain.de auf die xxx.myfritz.net.

Vgl. mein Beitrag #21

 

[EDvonSchleck]

einmal daran gedacht das es eben kein richtiges DynDNS ist? Einige Sachen werden direkt dort abgegriffen.
Richte einmal ein eine Dyndns für dein Anbieter ein. in der fritz oder im nas

 

[senderversteller]

Das verstehe ich jetzt nicht ganz, was wird denn bei myfritz.net auf IP Ebene nicht direkt abgegriffen was bei anderen Anbieter wie dyndns.org oder auch Synology quickconnect abgegriffen wird?
Ich konnte ja jetzt das Verhalten eindeutig auf das Pi-Hole zurück führen. Wenn das Pi-Hole für die DNS Anfragen außen vorgelassen wird (und die Fritzbox das macht), dann geht auch die interne Verbindung. Wenn das Pi-Hole im Eingriff ist, werden alle internen Aufrufe aus dem Heimnetz zu einer Subdomain über Port 443 mit einer Zertifikatswarnung quittiert. Wenn ein abweichender Port verwendet wird geht die SSL Verbindung. Das macht mich grad ratlos.

 

[EDvonSchleck]

warum musst du keine Ports eingeben für VPN, FritzDienste und FritzNas
Wenn du selbst ein Anbieter hast, warum soll AVM davon noch was mitbekommen? Myfritz ist ein Diesnt der sehr einfach Zugang zur Fb ermöglicht für 0815. Wenn du Server dahinter betreiben willst ist das eher Kontraproduktiv. Ich habe dir gleich zur Variante 3 geraten, alles über eine Adresse, stattdessen machst du es noch komplizierter. Auch musst du Dort keine Benutzer auf den NAS einrichten falls du noch weitere Externe Bekannte den Kalender/Telefonbuch zu Verfügung stellen möchtest.

bei welchen Anbieter bist du denn?

 

[senderversteller]

Sorry, wenn das jetzt etwas weit führt... aber ich möchte halt erstmal bei den Bordmitteln von Synology bleiben. Trotzdem danke ich dir sehr für deine Hilfe und deine Vorschläge, ggf. komme ich ja noch dazu Baikal zu verwenden... aber weder das NAS noch die Fritzbox oder Myfritz sind offensichtlich das Problem, sondern Pi-Hole. Für mich gilt es jetzt erstmal diesem Problem auf die Spur zu kommen.

Was meinst du mit "welcher Anbieter"?
Domains = Domainfactory, der Anschluss ist ein Glasfaseranschluss der Telekom, Fritzbox 7590 AX mit Myfritz... was noch?

 

[EDvonSchleck]

hast du ipv4 oder v6? Domainfactory bietet selbst ein abgleich der dyndns mit dem Router an. Sehr oft kann man das beim Anbieter machen.

Ich würde wie #2 beschrieben:

1. die Adresse anlegen - erledigt
2. Adresse mir richtiger dyndns abgleichen - kein myFritz
3. mit nslookup schauen ob du bis auf den NAS kommst - wenn das n icht der Fall ist kann auch kein richtiges Zertifikat erstellt werden.
4. Zertifikat erstellen
5. Adresse in den Diensten einrichten
6. testen und bericnten - wenn OK
7. unbenötigte Ports schließen
8. fertsch

Pi-Hole oder andere Sachen erst einmal außen vor lassen, wirklich nur das nötigste! auch würde ich das DNS-Rebind erst einmal wieder entfernen!

Zum Testen kannst du auch erste einmal beim Provider deine externe IP (nur IPv4) eingeben statt der DynDNS.

 

[senderversteller]

Es ist ein nativer IPv4 Anschluss, falls du das meinst. Habe IPv6 Dualstack aktiviert.

 

[senderversteller]

Jetzt habe ich die IPv6 Unterstützung in der Fritzbox deaktiviert, nun geht es auch wenn das Pi-Hole im Eingriff ist.

 

[Fusion]

Im pihole solltest du unter 'local DNS' die Einträge für dienst.example.com vornehmen und die IPv4/IPv6 der DS als Ziel vorgeben.

Von externen Clients werden die Domains dann auf die öffentliche Ipv4 und die globale IPv6 der NAS aufgelöst.
Intern musst du jetzt das gleiche erreichen mit den lokalen IPs.

Ein Client im LAN/WLAN der ein 'nslookup dienst.example.com' ausführt der vom pihole beantwortet wird sollte immer die lokalen IPs und nicht die öffentliche IP (Bsp. 84.x.y.z) als Antwort erhalten.
Dann benötigt man auch die Ausnahmen im DNS Rebind-Schutz der Fritzbox nicht.
Die Ipv4 sollte klar sein (192.168.178.x).
Für die IPv6 nimmst du die lokale fe80::bla:blub deiner DS. Die globale 2a03:blie:bla:blub kannst du hier nicht nehmen, da sich hier das Netzwerk-Prefix immer mal ändern kann und du sicher nicht jedes Mal den Pihole anpassen willst.

Da kann auch ipv6 in der Fritte aktiv bleiben (dual Stack), wenn die NAS für ipv6 auf Auto steht und die stateless autoconfig (slaac) aktiv ist. Die Fritte verteilt dann nur das jeweils aktuelle Netzwerk Prefix (blie) an die Geräte im LAN. Diese bestimmen den Host Teil (bla:blub) Ihrer IPv6 selbst aus Ihrer MAC Adresse.

Noch wichtig ist bei Verwendung von myfritz, dass man für die NAS einen extra Eintrag anlegt.
Die NAS teilt sich zwar eine Ipv4 mit der Fritte, aber nicht die IPv6.
Für diesen Eintrag aktualisiert die Fritzbox dann stellvertretend für die NAS die IPv6 (dynamisches Netzwerk Prefix + statischer Host Teil).

Alternativ benutzt man einen anderen dynDNS Dienst und lässt den dyn Client auf dem NAS laufen und aktualisiert von dort sowohl ipv4 als auch ipv6.
Andernfalls landet man via ipv4 schön auf der NAS (Ipv4 Fritz > Portfreigabe > NAT > NAS), aber bei IPv6 nicht (IPv6 Fritz > Sackgasse, da keine anderen Regeln definiert sind).

 

[senderversteller]

Diesen Beitrag muss ich mir merken, markieren, ausdrucken oder sonstwas - denn er war sehr wichtig für das fehlende Puzzlestück. Vielen Dank Fusion.

Noch wichtig ist bei Verwendung von myfritz, dass man für die NAS einen extra Eintrag anlegt.
Die NAS teilt sich zwar eine Ipv4 mit der Fritte, aber nicht die IPv6.
Für diesen Eintrag aktualisiert die Fritzbox dann stellvertretend für die NAS die IPv6 (dynamisches Netzwerk Prefix + statischer Host Teil).

Das habe ich nur zum Teil verstanden... also ich verstehe was du meinst, aber ich verstehe nicht wie und wo ich diesen "extra Eintrag" anlegen soll. Ich wehre mich nicht gegen einen alternativen DynDNS Dienst, aber ich bin ein Freund davon erstmal mit den Bordmitteln zum Ziel zu kommen (hier MyFritz für Fritzbox, oder mit Synology Contacts und Calendar beim NAS) bevor ich einen Dritten Dienst etc. dazu verwende.

 

[Fusion]

Ich glaube man musste sich bei https://sso.myfritz.net/ einloggen und dort ein Gerät anlegen ala nas.abcxyz.myfritz.net
Wenn das läuft müssen natürlich auch die externen CNAMES umgestellt werden auf den Hostnamen.

Finde leider spontan keine Hilfe-Artikel von AVM selbst dazu.

Eventuell kann man das aber auch direkt in der Fritzbox machen. Gibt ja zwei kategorieren "MyFritz Freigabe" und "Portfreigabe". Vielleicht kann man bei ersterem auch direkt einen Gerätenamen definieren etc.
Hab grad keine Fritzbox im Zugriff wo ich das nachschauen könnte.

Für andere Dienste finden sich schneller Anleitungen, nur für den Fall.
https://nocksoft.de/tutorials/dyndns-fuer-ipv6-server-hinter-fritzbox-konfigurieren/