CNAME Eintrag funktioniert nur teilweise

[gaerti]

Moin,

die TTL Änderung brachte keinen Erfolg.

Die dynv6 Adresse ist angelegt.
Die dort *vorgeschlagenen* Änderungen für FB und den AAAA Eintrag werde ich erst zum WE machen.

 

[mjth.ffb]

Ich möchte nicht, dass AVM eine Verbindung zum Amazon-Server aufbaut.

Sorry für OT
@EDvonSchleck : Tatsache? Das wusste ich bisher nicht das AVM für myfritz Amazon Server verwendet. Oder hab ich das falsch verstanden? Wäre ein Grund dauerhaft zu dynv6 zu wechseln.

Viele Grüße

Mikey

 

[EDvonSchleck]

@gaerti. Was passiert, wenn du die IP (IPv4) direkt eingibt? Landest du auf beiden DiskStation? Bei Eingabe der IPv6 solltest du bei beiden Fritzboxen landen. Bei beiden Eingaben musst du natürlich den richtigen Port verwenden. Auch ein Zertifikatsfehler kann man für den Test ignorieren/zustimmen. Hast du die Verbindung immer nur von einem Client getestet? Teste auch einmal ein anderes Gerät, am besten Mobil, mit einer anderen Internetverbindung (LTE oder G5). Nicht unerheblich ist auch der Browsercache. Hast du diesem auch einmal geleert und danach den Browser neu gestartet?

Mit Dynv6 machst du aber nichts verkehrt. Das Verwalten und Updaten ist einfacher als mit der IONOS-API und schneller als die Updates in Netcup sind sie auch. Die Möglichkeit mehrere Geräte über eine IPv6 anzusprechen, und einzurichten ist besser gelöst als in Myfritz.

@mjth.ffb, Ich bin durch einen Zufall darauf gestoßen. Weil die Namensansage nach dem 7.50 Update nicht funktioniert und zum Anfang es nicht gut dokumentiert war, dass sein Myfritz Account notwendig ist. Der Support beantwortet mir die Anfrage auf nachbohren und teilte mir die Weitergäbe zu "Namensaufschlüsselung" mit. Was noch darüber abläuft, wird AVM wissen und natürlich muss das jeder User selbst entscheiden. Bequemlichkeit hat nun einmal einen Preis!

In irgendeinen Thread haben wir das schon einmal besprochen.

 

[tehabe]

Ich habe heute CNAME mit einer Fritzbox eingerichtet und was sehr geholfen hat was den Hostnamen des NAS mit zu erwähnen. Bei mir sieht dann so aus:

subdomain nas-hostname.myfritz-ddns.

Damit funktioniert das bei mir.

 

[tehabe]

Die Fritz!Box gibt aber ihre IPv6 Adresse weiter und nicht die von der DS. Ich denke, das ist dein Problem.

Ich habe es gerade mal geprüft, ich bekomme bei dig aaaa auf den kompletten hostnamen meiner DS die IPv6 von der DS, bei IPv4 natürlich die IP vom Anschluss. Ich habe in den Einstellungen der Fritzbox noch "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." eingeschaltet. Und in der Hilfe steht als mögliches Szenario dafür "In dem lokalen Netzwerk des Routers gibt es Geräte, die aus dem Internet erreichbar sein sollen. In dem Router sind Portfreigaben für diese Geräte eingerichtet."

 

[EDvonSchleck]

Du gibst ja auch nicht "nur" deine Myfritz-Adresse an! Du gibst ja dir Adresse incl. deiner DS weiter. Ich kenne deinen Provider nicht, aber bei Netcup dauert es immer etwas bis die Subdomain umgeleitet wird. Dazu habe ich meine Meinung über Myfritz mehrfach hier geäußert. In der Fritz!Box habe ich keine weiteren Einstellungen aktiviert, außer die Portfreigabe. Da ich das nicht nur einmal eingerichtet habe, kann ich dir sagen, dass es ohne Probleme funktioniert.

Am einfachsten ist es, die IP direkt von der DS updaten zu lassen. Das geht aber mit dem Synology Updater und einem Custom-Anbieter nicht. Alternativ kann man das über Scripter oder Docker machen. Das ist dann aber nur in Intervallen. Der Router kann das besser und reagiert schneller auf Veränderungen

"Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen."

https://ipv6.listserv.uni-muenster.narkive.com/umWpTRVD/join-fritzbox-firewall-bei-prefixdelegation

Wenn es bei dir zufriedenstellen läuft, ist doch alles ok, ich würde es nur anders machen, aber viele Wege führen nach Rom. VPN funktioniert natürlich auch noch über die Domain/DynDNS. Den Zugang zur Fritz!Box kann man einfach über den Reverse Proxy mit einer Subdomain machen. Und schon wieder ein Port weniger, der geöffnet ist und AVM muss sich nicht um meine Daten kümmern.

 

[tehabe]

Du gibst ja auch nicht "nur" deine Myfritz-Adresse an! Du gibst ja dir Adresse incl. deiner DS weiter. Ich kenne deinen Provider nicht, aber bei Netcup dauert es immer etwas bis die Subdomain umgeleitet wird.

Benutze Artfiles, da waren die Änderungen an CNAME sofort nutzbar. Direkt nach dem ich speichern gedrückt hatte.

Dazu habe ich meine Meinung über Myfritz mehrfach hier geäußert. In der Fritz!Box habe ich keine weiteren Einstellungen aktiviert, außer die Portfreigabe. Da ich das nicht nur einmal eingerichtet habe, kann ich dir sagen, dass es ohne Probleme funktioniert.

Wenn es läuft läuft es.

Am einfachsten ist es, die IP direkt von der DS updaten zu lassen. Das geht aber mit dem Synology Updater und einem Custom-Anbieter nicht.

Ich hatte bisher synology.me benutzt und mich erst jetzt so richtig mit Reserve Proxy und co beschäftigt. Erst jetzt wo ich mich mit meinem Ersatz für meine aktuelle DS suche. So lief alles über andere Ports und so. Funktionierte auch. Nur wenn meine Fritzbox mal einen Neustart machen musste, kam der DYNDNS-Client von der DS nicht hinterher. Hat mich immer genervt.

Wenn es bei dir zufriedenstellen läuft, ist doch alles ok, ich würde es nur anders machen, aber viele Wege führen nach Rom.

Müsste mal gucken, ob sich das Verhalten ändert wenn ich den Schalter wieder abschalte.

Aber kurz noch einmal nachgefragt: [ds-hostname].[myfritz] funktioniert, aber z. B. [ds-hostname].[dynv6] funktioniert nicht?

 

[EDvonSchleck]

Du hast also ein User-Service gegen einen anderen getauscht. Bei beiden Services steht eindeutig die Bequemlichkeit im Vordergrund, natürlich gibt es dadurch auch Schattenseiten. Dass es bei der Fritz!Box schneller reagiert ist mir schon klar, bei Änderung der IP (v4) bzw. Präfix (v6) wird diese unverzüglich übertragen. Das geht eben schneller als das periodische Updaten.

Wenn dein Anbieter ein DynDNS Updater anbietet, musst du den Weg nicht gehen. Dann kannst du auch versuchen dort einen Record anzulegen wie bei Dynv6.

Bei dem Beispiel Dynv6 gibst du die Hardware-IP (ohne Präfix) als Record an. Zu diesem Record wird von Dynv6 noch der Präfix vorangestellt. Damit ergibt sich immer die gültige externe IPv6, welche auch in der DS angezeigt wird. Zum Schluss erstellt man nur noch die Subdomains.

Du kannst aber auch die erstellte DynDNS-Adresse mit dem DS Record als CNAME bei deinem Anbieter einrichten, wenn dieser kein Updater für die Fritz!Box anbietet.

 

[Benares]

@tehabe
Ich denke nicht, dass bei dir die Funktion "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." dafür zuständig ist, dass die Namensauflösung von [ds-hostname].[myfritz] klappt. Es ist eher das Vorhandensein einer "MyFritz-Portfreigabe" in der Fritzbox anstatt einer normalen Portfreigabe. Die bewirkt, dass die Fritte auch ihre eigene IPv4 und die IPv6 deiner DS unter diesem Namen an den MyFritz-DNS meldet.

 

[tehabe]

Bei beiden Services steht eindeutig die Bequemlichkeit im Vordergrund, natürlich gibt es dadurch auch Schattenseiten.

Genau wie die Nutzung von anderen Dienst auch Schattenseiten hat. Fragt sich nur, welche größer sind. Hosts mit myfritz.net oder synology.me sind natürlich bekannter als dynv6.net.

Wenn dein Anbieter ein DynDNS Updater anbietet, musst du den Weg nicht gehen. Dann kannst du auch versuchen dort einen Record anzulegen wie bei Dynv6.

Würde natürlich die Menge der beweglichen Teile reduzieren. Jetzt könnte ich ja auch statt meiner Domain die [ds-host].[myfritz] als Domain für die DS nutzen und es wäre genauso, nur halt nicht besonders gut zu lesen.

Bei dem Beispiel Dynv6 gibst du die Hardware-IP (ohne Präfix) als Record an. Zu diesem Record wird von Dynv6 noch der Präfix vorangestellt. Damit ergibt sich immer die gültige externe IPv6, welche auch in der DS angezeigt wird. Zum Schluss erstellt man nur noch die Subdomains.

Du kannst aber auch die erstellte DynDNS-Adresse mit dem DS Record als CNAME bei deinem Anbieter einrichten, wenn dieser kein Updater für die Fritz!Box anbietet.

Schon alles klar, mir war es nur so, dass der OP den CNAME-Eintrag nicht auf die DS, sondern bloß auf die Fritzbox weitergeleitet hat und es deshalb nicht funktioniert hat.

 

[tehabe]

@tehabe
Ich denke nicht, dass bei dir die Funktion "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." dafür zuständig ist, dass die Namensauflösung von [ds-hostname].[myfritz] klappt. Es ist eher das Vorhandensein einer "MyFritz-Portfreigabe" in der Fritzbox anstatt einer normalen Portfreigabe. Die bewirkt, dass die Fritte auch ihre eigene IPv4 und die IPv6 deiner DS unter diesem Namen an den MyFritz-DNS meldet.

Sie hat auch keine Auswirkungen, hier lag ich falsch, habe sie mal abgeschaltet und meine DS ist immer noch genauso gut von außen erreichbar wie vorher. Wichtig ist die CNAME-Weiterleitung auf die DS selbst, entweder mit MyFritz und Hostname oder DDNS aus der DS selbst.

 

[EDvonSchleck]

Genau wie die Nutzung von anderen Dienst auch Schattenseiten hat. Fragt sich nur, welche größer sind. Hosts mit myfritz.net oder synology.me sind natürlich bekannter als dynv6.net.

Das musst du h´ganzheitlich sehen. Bei Synology werden Daten erhoben und über Quickconnect ist auch eine Verbindung ohne Ports zu ändern. Dazu läuft die Kommunikation über den Synology Server, welche Daten noch erfasst werden, beschreibt Synology ein bisschen schwammig. Das wurde hier auch schon mehrfach diskutiert. Ähnlich sieht es bei AVM aus. Dort läuft auch etwas im Hintergrund, was ich nicht unbedingt möchte, siehe den Beitrag oben. Bei Dynv6 aus Bremen muss man lediglich nur eine E-Mail zu freischalten angeben. Deren Servern liegen bei Hetzner und bieten keine weiteren Dienste wie z.B. zu Amazon an. Letztendlich muss es jeder für sich abmachen, was er bereit ist, preis zu geben. Ein direktes Updaten deiner Domain gibt es ja auch noch, wenn auch nicht ganz so bequem oder periodisch.

Aktuell empfehle ich bei Provider, die keine Update-URL haben lieber Dynv6 und dort die Domain zu hinterlegen und von dort zu verwalten. Dazu bekommt man noch die acme-sh-api womit du ganz einfach ein Wildcardzertifikat beantragen kannst, ohne Ports zu öffnen. Auch muss man sich nicht mehr um die Aktualisierung kümmern. Wer das lieber über die Synology GUI machen will, kann das natürlich auch und muss es eben regelmäßig (geht auch als Aufgabe) machen.

Würde natürlich die Menge der beweglichen Teile reduzieren. Jetzt könnte ich ja auch statt meiner Domain die [ds-host].[myfritz] als Domain für die DS nutzen und es wäre genauso, nur halt nicht besonders gut zu lesen.

Wie du magst.

Schon alles klar, mir war es nur so, dass der OP den CNAME-Eintrag nicht auf die DS, sondern bloß auf die Fritzbox weitergeleitet hat und es deshalb nicht funktioniert hat.

Das ist dann aber auch abhängig, wie du die DS genannt hast. Bei meiner aufgezeigten Variante kannst du die Namen jeden Tag ändern, ohne den CNAME bearbeiten zu müssen. Selbst bei einem neuen Gerät muss man nur den AAAA-Record ändern, nicht die Subdomains. Ich halte es insgesamt mit den Zertifikaten für den deutlichen besseren Weg.

Du wirst aber hier nicht gezwungen, den Weg zu beschreiten. Es dient lediglich dazu, alle Möglichkeiten aufzuzeigen.

 

[tehabe]

Bei Synology werden Daten erhoben und über Quickconnect ist auch eine Verbindung ohne Ports zu ändern. Dazu läuft die Kommunikation über den Synology Server, welche Daten noch erfasst werden, beschreibt Synology ein bisschen schwammig.

Interessanter weise wird immer gesagt, QuickConnect wäre ohne Portforwarding möglich, nur wenn man der DS erlaubt welche zu machen, werden bei QuickConnect zwei gesetzt. QC habe ich am Anfang benutzt, bin dann doch sehr schnell zum DynDNS-Service von Synology gewechselt, das war zuverlässiger und funktionierte insgesamt besser. Und da läuft ja nur die Namenauflösung über die Synology-Server.

Ähnlich sieht es bei AVM aus. Dort läuft auch etwas im Hintergrund, was ich nicht unbedingt möchte, siehe den Beitrag oben.

Ja, die Aussage, dass MyFRITZ auf AWS läuft. Wobei die IP-Adressen alle zu AVM gehören und das einzige Unternehmen was dort erwähnt wird D-Hosting GmbH ist, die u.a. Rackspace verkaufen. Für mich sieht das so aus, als würde das alles auf eigenen Systemen laufen. Mag mich irren.

Bei Dynv6 aus Bremen muss man lediglich nur eine E-Mail zu freischalten angeben. Deren Servern liegen bei Hetzner und bieten keine weiteren Dienste wie z.B. zu Amazon an. Letztendlich muss es jeder für sich abmachen, was er bereit ist, preis zu geben.

Wahrscheinlich steht einige AWS-Server für Europa in Hetzner-Rechenzentren herum.

Das ist dann aber auch abhängig, wie du die DS genannt hast. Bei meiner aufgezeigten Variante kannst du die Namen jeden Tag ändern, ohne den CNAME bearbeiten zu müssen. Selbst bei einem neuen Gerät muss man nur den AAAA-Record ändern, nicht die Subdomains. Ich halte es insgesamt mit den Zertifikaten für den deutlichen besseren Weg.

Das schöne an der Kiste ist, außer mir benutzt sie im Moment niemand, kann also noch herum basteln und gucken wie es am besten funktioniert.

Bin die Tage ja schon in den Kaninchenbau mit all den kleinen Servern mit RasperryPi und alten PCs gefallen. Der ist vielleicht tief … (Werde ich bestimmt nicht machen, denn am Ende des Tages muss die Kiste laufen, da bin ich mir bei Synology eher sicher als bei Marke Eigenbau)

 

[EDvonSchleck]

Interessanter weise wird immer gesagt, QuickConnect wäre ohne Portforwarding möglich, nur wenn man der DS erlaubt welche zu machen, werden bei QuickConnect zwei gesetzt. QC habe ich am Anfang benutzt, bin dann doch sehr schnell zum DynDNS-Service von Synology gewechselt, das war zuverlässiger und funktionierte insgesamt besser. Und da läuft ja nur die Namenauflösung über die Synology-Server.

Wenn du QC über den Relay-Server laufen lässt, musst du keine Ports öffnen. Dann versucht die DS von innen eine Verbindung zum Synology Server aufzubauen. Wer die Ports freigibt werden erfolgt der Austausch direkt, aber eben mit der Auflösung über Synology. Was die DS anlegt z.B. in der Firewall ist uninteressant, entscheidend ist dabei nur was am Router passiert. UPnP sollte natürlich zur Sicherheit deaktiviert werden.

Ja, die Aussage, dass MyFRITZ auf AWS läuft. Wobei die IP-Adressen alle zu AVM gehören und das einzige Unternehmen was dort erwähnt wird D-Hosting GmbH ist, die u.a. Rackspace verkaufen. Für mich sieht das so aus, als würde das alles auf eigenen Systemen laufen. Mag mich irren.

Dann musst du einfach einmal richtig lesen. Ich habe nicht gesagt das Myfritz auf AWS liegt. AVM teilt sich die Daten bzw. leite sie weiter, wenn AVM diese nicht auflösen kann. z.B. Namensauflösung.

Wahrscheinlich steht einige AWS-Server für Europa in Hetzner-Rechenzentren herum.

Das kann ich nicht abschätzen, aber ich denke, Amazon macht da schon sein eigenes Ding und ist bestimmt nicht aus Hetzner angewiesen. Noch dazu sind sie Konkurrenten.

Das schöne an der Kiste ist, außer mir benutzt sie im Moment niemand, kann also noch herum basteln und gucken wie es am besten funktioniert.

Ein paar Informationen hast du ja jetzt bekommen. Ansonsten funktioniert dein Weg ja auch. Wo ist jetzt also dein Problem? Wie hilft es den TE jetzt weiter? Soll der TE doch erst einmal äußern, was jetzt herausgekommen ist. Wenn du grundsätzliches Diskutieren willst, erstelle bitte einen eigenen Thread in der passender Rubrik bzw. OT.

Bin die Tage ja schon in den Kaninchenbau mit all den kleinen Servern mit RasperryPi und alten PCs gefallen. Der ist vielleicht tief … (Werde ich bestimmt nicht machen, denn am Ende des Tages muss die Kiste laufen, da bin ich mir bei Synology eher sicher als bei Marke Eigenbau)

Was auch immer... Eventuell fehlen dir einfach ein paar Basics. Bei Problem mach einen eigenen Thread auf.

 

[gaerti]

Was passiert, wenn du die IP (IPv4) direkt eingibt? Landest du auf beiden DiskStation? Bei Eingabe der IPv6 solltest du bei beiden Fritzboxen landen. Bei beiden Eingaben musst du natürlich den richtigen Port verwenden. Auch ein Zertifikatsfehler kann man für den Test ignorieren/zustimmen. Hast du die Verbindung immer nur von einem Client getestet? Teste auch einmal ein anderes Gerät, am besten Mobil, mit einer anderen Internetverbindung (LTE oder G5). Nicht unerheblich ist auch der Browsercache. Hast du diesem auch einmal geleert und danach den Browser neu gestartet?
Moin,

habe das ganze heute mit einem anderen Rechner und anderer I-Net Verbindung getestet.
Das selbe Ergebnis.

nixe1….myfritz.net -> IPv4 (84….)
golf6….myfritz.net -> IPv4 (77….)
syno1.abc.de -> IPv4 (84….); Cname: nixe1
syno2.abc.de -> IPv4 (77….); Cname: golf6
syno1.xyz.de -> IPv4 (84….); Cname: nixe1
syno2.xyz.de -> IPv4 (77….); Cname: golf6

84.123....:5001-> Anmeldeseite Syno1
77.123.....:5001->Anmeldeseite Syno2

IPv6 ist auf der FB Cable gar nicht aktiviert.

Falls es untergegangen sein sollte: Fehlermeldung die ich bekomme ist von Synology. Für mich sieht es so aus, als ob die Syno2 an dieser Stelle *blockiert?*

Gruss ThoBo

 

[Benares]

Was mir grad noch einfällt, hast du evtl. auf der Syno2 einen Reverse Proxy für syno2.xyz.de angelegt der ins Nirvana geht?

 

[gaerti]

Hatte ich zuerst drin, ist aber wieder raus.

Gruss
Thobo

 

[tehabe]

habe das ganze heute mit einem anderen Rechner und anderer I-Net Verbindung getestet.
Das selbe Ergebnis.

nixe1….myfritz.net -> IPv4 (84….)
golf6….myfritz.net -> IPv4 (77….)
syno1.abc.de -> IPv4 (84….); Cname: nixe1
syno2.abc.de -> IPv4 (77….); Cname: golf6
syno1.xyz.de -> IPv4 (84….); Cname: nixe1
syno2.xyz.de -> IPv4 (77….); Cname: golf6

84.123....:5001-> Anmeldeseite Syno1
77.123.....:5001->Anmeldeseite Syno2

IPv6 ist auf der FB Cable gar nicht aktiviert.

Falls es untergegangen sein sollte: Fehlermeldung die ich bekomme ist von Synology. Für mich sieht es so aus, als ob die Syno2 an dieser Stelle *blockiert?*

Gruss ThoBo

Ich würde IPv6 einschalten, aber ist jetzt nicht so wichtig. Hatte heute mal aus Spaß mit ein Traceroute aus dem eigenen Netz zur Domain meiner DS angesehen, bei IPv4 sehe ich den Router auf dem Weg, bei IPv6 geht es direkt zur DS.

Noch einmal zu meinem eigenen Verständnis, du hast zwei Synology DS, Syno1 und Syno2. Du möchstest für beide je eine Domain per CNAME haben. Ich mache es einmal an einem Beispiel und wie es bei mir funktioniert hat. In den Einstellungen von abc.de habe ich folgenden CNAME-Eintrag erstellt:

Syno1 syno1-hostname.ksugsdekw3e4354.myfritz.net

Dann habe ich in den Routereinstellungen die Ports 80 und 443 zu Syno1 weitergeleitet. Auf der DS habe ich in den Einstellungen für die Anmeldeseite die Domain Syno1.abc.de eingetragen. Hier noch HSTS einschalten.

Dann konnte ich unter Sicherheit dafür ein Zertifikat erstellen und es in den Einstellunegn der Domain zu ordnen. (sehr wichtig)

Dann solltest du bei der Eingabe der Domain Syno1.abc.de die Anmeldeseite von Syno1 kommen.

So funktioniert das bei mir.

 

[gaerti]

also nochmal

2 Synos - 2 Domains

Domaiin 1
syno1 Anmeldeseiten erreichbar unter
123.Domain.de:5001

syno2 Anmeldeseiten erreichbar unter: (eigentlich nur testweise)
456.Domain.de:5001

für 123 / 456 ist im CNAME der jeweilige DNS Eintrag für die FB hinterlegt (nixe1..myfritznet / golf6….myfritz.net; Portnummer ist auch ne andere aber das nur nebenbei)


Domaiin 2
syno1 Anmeldeseiten erreichbar unter
123.andereDomain.de:5001

syno2 Anmeldeseiten *nicht* erreichbar unter:
456.andereDomain.de:5001
beim ersten Aufruf erscheint die Abfrage ob dem Zertifikat vertraut werden soll; was natürlich bejaht wird.
danach wird auf eine Fehlerseite der Syno geleitet.
*Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.*

 

[tehabe]

Was mich gerade völlig aus dem Konzept wirfst, willst du mit jeweils zwei Domains auf eine Synology zugreifen? Bin gerade sehr verwirrt. Die Fehlermeldung deutet ja daraufhin, dass du den falschen Port ansprichst und die Zertifikatsprobleme damit, dass diese falsch zugeordnet hast.