DDNS-Dienst kann nicht registriert werden

[tomNeugier]

Hallo,
seit einigen Tagen habe ich phasenweise das Problem, dass die DS die externe IP-Adresse nicht bei der Subdomain im DDNS-Server bei STRATO registrieren kann. Als Grund wird gemeldet: [Zu viele Aktualisierungsanfragen. Versuchen Sie es später erneut.].
Erst läuft alles 1-2 Tage perfekt, dann scheitern die Verbindungen plötzlich und ich erhalte entsprechende Systemmeldungen. Begonnen hat alles mit dem Export-Import der Docker-Container (Vaultwarden, Portainer und Watchtower) von der alten DS720+ auf die neue DS923+.
Damit ist BITWARDEN (Vaultwarden, Container) weder lokal noch extern erreichbar.
Bei STRATO sehe ich keine Probleme, zumal ich dort auch nichts geändert habe.
In der FritzBox (DynDNS) habe ich als Domainname und Benutzername Meine-Domain.de angegeben. In DDNS auf dem NAS Subdomain.Meine-Domain.de.

Ich habe alles gecheckt was mir einfällt und alles gelesen was nur im Entferntesten damit zu tun haben könnte...


Gibt es evtl. eine falsche Zuordnung der Let's Encrypt Zertifikate?



Hat jemand eine Idee?

tom

 

[Janüscht]

Das hat nichts mit dem Container zu tun.
Es liegt eher an dem Client, der deine Domain updatet. Ein Router sollte nur eine Änderung senden, wenn er selbst eine neue IP bekommen hat. Das kann die DS natürlich nicht, diese macht ein periodisches Update.

Unabhängig davon ist Strato wohl der schlechteste Hoster, den es hierzulande gibt (kompliziert, undurchsichtig, keine ACME-API usw. Ich würde einmal über einen Umzug nachdenken

 

[crammaster]

Moin,

1. Lösch den DDNS Eintrag bei der Synology, der bringt dir nicht mehr als das er die gleiche IP-Adresse überträgt wie die Fritzbox.

2. Lösch den DDNS-Eintrag für "deinedomain.de", mach lieber ein SubDomain (z.B. "dyndns.deinedomain.de") auf.
Dann bearbeite die Subdomain für Bitwarden und erstelle ein CNAME mit dem Verweis auf deine DynDNS Adresse; Wichtig ein Fully Qualified Domain Name endet mit einem Punkt, will Strato so haben (habe selber Strato). Ein CNAME ist quasi ein Aufkleber den du über die DynDNS Adresse klebst. "bitwarden.deineDomain.de" sagt dann, guck bei "dyndns.deinedomain.de", der weiß die Adresse. Den Rest verteilst du dann über den Reverse Proxy.

3. Prüfe die Einstellungen auf der Fritzbox, hat das neue NAS eine feste IP, sind die Freigaben für Port 80 und 443 noch da und zweigen die aufs neue NAS? Welchen Status meldet die Fritzbox bezüglich der Übertragung der IP an Strato?

4. Bitwarden MUSS Lokal erreichbar sein -> Lokale IP vom NAS + Plus Port (192.168.1.25:5151) dann muss Bitwarden Antworten, ansosten stimmt was mit dem Container bzw. den Ports die nach außen zeigen sollen etwas nicht.

Mit freundlichen Grüßen
Marc

 

[synfor]

Es liegt eher an dem Client, der deine Domain updatet. Ein Router sollte nur eine Änderung senden, wenn er selbst eine neue IP bekommen hat. Das kann die DS natürlich nicht, diese macht ein periodisches Update.

Auch die DS macht nur dann ein Update, wenn es nötig ist. Der Unterschied zwischen Router und DS ist lediglich, dass der Client auf der DS periodisch die externe IP-Adresse überprüfen muss, damit der den Wechsel der IP-Adresse mitbekommt.

 

[tomNeugier]

Vielen Dank für eure Beiträge!
Ich kann jetzt mit Bitwarden wieder lokal und extern auf Vaultwarden/Bitwarden im Container zugreifen.
Das funktioniert offenbar, seit ich soeben die evtl. falsche Zuordnung der Let's Encrypt Zertifikate geändert habe.
Außer dem synology-Zertifikat habe ich zwei gültige Let's Encrypt Zertifikate:
1. Meine-Domain.de, Standardzertifikat
2. Subdomain.Meine-Domain.de
Unter Sicherheit->Zertifikat->"Subdomain.Meine-Domain.de"->Einstellungen finde ich die Zuordnung der Zertifikate zu den installierten Diensten, wenn ich das richtig verstehe.
Müsste hier nicht "Docker" oder "Container" oder "Vaultwarden" links als Dienst stehen? Stattdessen steht dort
Dienst: "Subdomain.Meine-Domain.de" -> Zertifikat: "Meine-Domain.de"
Das habe ich nun geändert auf:
Dienst: "Subdomain.Meine-Domain.de" -> Zertifikat: "Subdomain.Meine-Domain.de"
Ich verstehe die zugrundeliegenden Abläufe/Prozesse nicht und kann nicht beurteilen, ob das so nun richtig ist und ursächlich dafür war, dass ich Bitwarden nicht mehr erreichte.
Seither funtioniert der interne und externe Zugriff wieder.

3. Prüfe die Einstellungen auf der Fritzbox, hat das neue NAS eine feste IP, sind die Freigaben für Port 80 und 443 noch da und zweigen die aufs neue NAS? Welchen Status meldet die Fritzbox bezüglich der Übertragung der IP an Strato?

Danke! Stimmt alles.
By the way: Mit der neuen DS923+ nutze ich erstmals beide LAN-Ports. Die Fritz!Box führte beide (bisher) unter dem gleichen Namen, bei natürlich unterschiedlichen IP-Adressen. Das habe ich heute auch geändert und beide unterschiedlich benannt. Kann das auch mit den Fehlern zu tun haben?

Unabhängig davon ist Strato wohl der schlechteste Hoster, den es hierzulande gibt (kompliziert, undurchsichtig, keine ACME-API usw. Ich würde einmal über einen Umzug nachdenken

Hmmm, das funktionierte bei mir seit Jahren stabil und war für meinen Bedarf ausreichend. Da ich dort u.a. ein Mail-Basic Paket und eine Domain "bezahle", erhalte ich DynDNS kostenlos dazu.
Unübersichtlich und voller Werbung finde ich "HiDrive Essential" von Strato allerdings auch.
Welcher Anbieter ist übersichtlicher, nicht viel teurer, lässt sich komfortabel aus HyperBackup als Cloudspeicher einbinden (außer Google, Dropbox, Amazon, Microsoft) und bietet vermutlich auch nebenbei DynDNS?


Der DDNS-Dienst kann momentan wieder registriert werden. Mal sehen, ob das jetzt so bleibt ...?

tom

 

[Janüscht]

Welcher Anbieter ist übersichtlicher, nicht viel teurer, lässt sich komfortabel aus HyperBackup als Cloudspeicher einbinden (außer Google, Dropbox, Amazon, Microsoft) und bietet vermutlich auch nebenbei DynDNS?

Es kommt immer darauf an, was du für deine Domain bezahlst. Bei Netcup kostet die de. Domain im Angebot 13 ct/Monat dauerhaft. Das macht im Jahr gerade einmal 1,56 €. Ich glaube nicht das du dort bei Strato liegst. Wenn du E-Mail benötigst, musst du ein Webhosting Paket ordern. Das kostet für eine Domain 1,08 € im Monat (Angebot). Zur EM gab es das Angebot sogar mit 4 incl. Domains zum selben dauerhaften Preis von knapp 13 € im Jahr. Angebote findest du jeden letzten Dienstag im Monat und kommen zu allen Feierlichkeiten vor (Ostern, Oktoberfest, Weihnachten usw.) Man kommt in 2 Monaten zu seinem gewünschten Paket. Einen Newsletter mit 5 € Gutschrift gibt es auch noch.

Der Umzug ist unproblematisch und reibungslos. Es gibt mehr er User, die dorthin umgezogen sind.

Weil Netcup kein DynDNS anbietet, muss man einfach auf OwnDynDNS zurückgreifen. Das installiert man auf seinen Webspace (Webhosting-Tarif), in der Webstation (PHP-Script) oder Docker. Du hinterlässt dort die API-Daten, nun vergibt ein User/Pass. Damit kannst du wie gewohnt die Daten im Router eingeben. Das funktioniert hier seit einer Ewigkeit und reibungslos.

Alternativ kannst du auch einfach den Nameserver austauschen und z.B. Dynv6 oder Cloudflare etc. nutzen. Nach Änderung der Nameserver musst du nur des entsprechenden Rekords wieder im neuen Anbieter hinterlegen. Auch das funktioniert reibungslos (selber getestet).

Zusätzlich kannst du noch acme.sh (nativ oder Docker) nutzen und musst dich nicht mehr um die Zertifikate kümmern. Anleitungen gibt es hier im Forum genug. EDvonSchleck hat damals viel dazu geschrieben. Bei Strato und ACME funktioniert das natürlich auch über die Acme-Challenge oder Änderung der Nameserver.

Das klingt nach viel, ist es aber nicht wirklich. Eventuell spart es auch noch Geld. Wenn es eingerichtet ist, läuft es automatisch.

Wenn du Speicher für ein Backup benötigst, schau dich bei Hetzner um. Generell kann man bei den Preisen aber eher ein alte DS in der Familie/Freund hinstellen und darin verschlüsselt synchronisieren. Das Ziel-NAS muss nicht dauerhaft laufen (nur zum Backup) und kann auch ein alter Rechner/Tiny-PC sein, wo man DSM installiert. Mit Duplicati hast du noch weitere Möglichkeiten unterschiedliche Server anzusprechen als mit Hyperbackup. Auch das läuft problemlos auf der DS (Docker getestet).

 

[Benie]

Unter Sicherheit->Zertifikat->"Subdomain.Meine-Domain.de"->Einstellungen finde ich die Zuordnung der Zertifikate zu den installierten Diensten, wenn ich das richtig verstehe.
Müsste hier nicht "Docker" oder "Container" oder "Vaultwarden" links als Dienst stehen? Stattdessen steht dort

Da bist Du in jedem Fall auf dem richtigen Weg. Unter Externe Vernindungen -> DDS muß die DynDNS ohne jeglicher Subdomain eingetragen sein, Heartbeet aktivieren und testen ob die Funktion "Normal" ist.

Für das Subdomain Zertifikat mußt Du auf jedenfall das Subdomain Zertifikat jeder Anwendung welche diese nutzen soll zuordnen. Ich mache mir da bei der Bezeichnung der Subdomain, ganz zu Anfangs bei der Zertifikatsanforderung, ein Sternchenpunkt " *. " davor, so weiß ich auch daß es sich um das richtige Zertifikat handelt.

Warum das jetzt bei Dir so dasteht, da kann ich mir auch keinen Reim darauf machen, habe das so noch nie vorgefunden.

Dienst: "Subdomain.Meine-Domain.de" -> Zertifikat: "Meine-Domain.de"

Als Cloudspeicher, wird hier im Forum von den erfahrenen User, gern Hetzner als günstiger und seriöser Anbieter vorgeschlagen, der seinen Sitz in Deutschland hat.

 

[crammaster]

Freut mich das es wieder funktioniert.

Müsste hier nicht "Docker" oder "Container" oder "Vaultwarden" links als Dienst stehen? Stattdessen steht dort
Dienst: "Subdomain.Meine-Domain.de" -> Zertifikat: "Meine-Domain.de"

Die Einträge kommen ja nicht vom Container Manager, sondern vom Reverse Proxy. Wenn du in dem einen Eintrag erstellst, wird dieser unter Zertifikate angezeigt.

Danke! Stimmt alles.
By the way: Mit der neuen DS923+ nutze ich erstmals beide LAN-Ports. Die Fritz!Box führte beide (bisher) unter dem gleichen Namen, bei natürlich unterschiedlichen IP-Adressen. Das habe ich heute auch geändert und beide unterschiedlich benannt. Kann das auch mit den Fehlern zu tun haben?

Kann sein, aber mal ne Frage, warum benutzt du beide?

Hmmm, das funktionierte bei mir seit Jahren stabil und war für meinen Bedarf ausreichend. Da ich dort u.a. ein Mail-Basic Paket und eine Domain "bezahle", erhalte ich DynDNS kostenlos dazu.
Unübersichtlich und voller Werbung finde ich "HiDrive Essential" von Strato allerdings auch.
Welcher Anbieter ist übersichtlicher, nicht viel teurer, lässt sich komfortabel aus HyperBackup als Cloudspeicher einbinden (außer Google, Dropbox, Amazon, Microsoft) und bietet vermutlich auch nebenbei DynDNS?

Ich nutzte Strato auch schon seit Jahren und habe dort auch keine Probleme. Na den Cloudspeicher kannst du auch seperat holen, habe einmal HiDrive 250GB für etwas um die 30€ im Jahr und einmal Synology C2 mit 1TB für 75 im Jahr.

Da bist Du in jedem Fall auf dem richtigen Weg. Unter Externe Vernindungen -> DDS muß die DynDNS ohne jeglicher Subdomain eingetragen sein, Heartbeet aktivieren und testen ob die Funktion "Normal" ist.

Braucht er nicht, da er es über die Fritzbox laufen lässt.

 

[Benie]

Braucht er nicht, da er es über die Fritzbox laufen lässt.

Wird schwierig, wenn man einen 2. DynDNS Dienst nutzen will, oder die interne DynDNS zb. Für Vaultwarden auf die interne IP auflösen soll. (so braucht man zb. für Vaultwarden mit Synology Subdomains keine offene Ports und nextintern klappt das dann auch über VPN.

Die Einträge kommen ja nicht vom Container Manager, sondern vom Reverse Proxy. Wenn du in dem einen Eintrag erstellst, wird dieser unter Zertifikate angezeigt.

Stimmt, ich habe das für alle Einträge veralgemeinert gesehen, aber beim nochmal genauen durchlesen dürfte dem auch so zu sein. Aber das kann im ReverseProxy ja von @tomNeugier noch anders reingeschrieben werden.

 

[tomNeugier]

Die Einträge kommen ja nicht vom Container Manager, sondern vom Reverse Proxy. Wenn du in dem einen Eintrag erstellst, wird dieser unter Zertifikate angezeigt

Das erstaunt mich. Die ersten Einträge ("Hyper Backup Vault", "Synology Drive Server", etc.) werden aber wohl vom System erstellt, oder? Woraus wird der Eintrag als Reverse Proxy gebildet, "Hostname" oder "Reverse-Proxy-Name"?

Kann sein, aber mal ne Frage, warum benutzt du beide?

Ich hatte mal geplant, LAN2 für Ubuntu in der VM zu nutzen.
Wie lässt sich LAN2 denn jetzt löschen??

Hab jetzt mal einen Neustart der DS gemacht, in der Hoffnung auf Fehlerbeseitigung. Ergebnis:
DDNS-Dienst kann nicht registriert werden, Status "Fehlgeschlagen"

Da muss ich irgendwo noch Fehler eingebaut haben. Finde ich echt hässlich auf einer neuen DS ... bin geneigt, die Container Portainer, Vaultwarden und watchtower neu zu installieren.

Welche Variante ist denn derzeit die bessere/komfortablere, wenn ich es mit Marius Hilfe machen will, Bitwarden oder Vaultwarden über Portainer?

tom

 

[Benie]

Woraus wird der Eintrag als Reverse Proxy gebildet, "Hostname" oder "Reverse-Proxy-Name"?

Hostname den Du im ReverseProxy einträgst.

oder Vaultwarden über Portainer?

Vaultwarden über Portainer, Vaultwarden brauch wesentlich weniger RAM Speicher gegenüber Bitwarden und vom Handling, wirst Du nichts spüren, da ja eh die Bitwarden Clients genutz werden.

DDNS-Dienst kann nicht registriert werden, Status "Fehlgeschlagen"

Poste doch mal Screenshots zu Deinen Einstellungen auf der DS, DDS und Zertifikat Einstellungen, Reverseproxy, DNS Einstellung im Router, Rebindschutz auf der Fritte hast Du auch eingerichtet?

 

[tomNeugier]

In #1 hatte ich das meiste davon bereits reingestellt.
Geändert hat sich seither nur, dass in den Einstellungen der Let's Encrypt Zertifikate jetzt die Subdomain steht:
Dienst: "Subdomain.Meine-Domain.de" -> Zertifikat: "Subdomain.Meine-Domain.de"

In der Fritzbox
https://<username>:<passwd>@dyndns.strato.com/nic/update?hostname=<domain>&myip=<ipaddr>,<ip6addr>
Domain: Meine-Domain.de
Benutzername: Meine-Domain.de
(Nicht: "Subdomain.Meine-Domain.de")

Außerdem in DNS-Rebind-Schutz (Hostnamen-Ausnahmen):
Meine-Domain.de
Subdomain.Meine-Domain.de
xxx

LAN2 habe ich einfach rausgezogen und Fritzbox neu gestartet.
DDNS kann weiterhin nicht registriert werden.

 

[crammaster]

Das erstaunt mich. Die ersten Einträge ("Hyper Backup Vault", "Synology Drive Server", etc.) werden aber wohl vom System erstellt, oder? Woraus wird der Eintrag als Reverse Proxy gebildet, "Hostname" oder "Reverse-Proxy-Name"?

Richtig, wenn du ein Paket installierst, welches SSL verwenden kann, wird dieser Eintrag automatisch erstellt. Es wird der Hostname der Quelle als Zertifikats Option gesetzt. Kannst du testen, in dem du zum Beispiel einen Eintrag für "test.test.de" machst, muss halt nur https sein.

Ich hatte mal geplant, LAN2 für Ubuntu in der VM zu nutzen.
Wie lässt sich LAN2 denn jetzt löschen??

Zwei Lananschlüsse zu benutzten, kenne ich nur wenn du ein Bound erstellen willst, also zwei 1 GB Ports zu einem 2 GB Port zusammen zuschließen. Das muss auf beiden Seiten eingestellt werden und ich glaube ohne große Terminal-Arbeit, wirst du die Fritzbox dazu nicht überreden können, wenn das NAS direkt an der Fritzbox ist. Wenn du nicht gerade große Datenmengen aufs NAS schiebst, wirt der eine Port fürs NAS und die VM ausreichen.

Welche Variante ist denn derzeit die bessere/komfortablere, wenn ich es mit Marius Hilfe machen will, Bitwarden oder Vaultwarden über Portainer?

Vaultwarden ist ja quasi Bitwarden. Bitwarden ist Opensource und der "Entwickler" von Vaultwarden hat vor einiger Zeit entschieden sein Docker Image umzubennen.

Subdomain.Meine-Domain.de

Was für ein Record liegt hinter der Subdomain?

 

[Janüscht]

Bei einigen DS-Apps kannst du unter Anmeldeportal > Apps eine Subdomain hinterlegen, damit sie darüber aufrufbar sind. Bei andern Apps wie Hyperbackup sieht das anders aus. Dort musst du nichts einstellen, weil es über die Ports geht. Ein Revers-Proxy-Einrag kann man auch nutzen, um den Port umzubiegen. Und zeitgleich ein Zertifikat draufzulegen. Alle Anwendungen, die ein Zertifikat zugeordnet sind, kannst du unter Zertifikate ansehen und zuordnen. Mährer Zertifikate und Domains sind natürlich möglich. Am einfachsten geht das allerdings mit ein Wildcard-Zertifikat. Dann werden alle Subdomains automatisch eingeschlossen und müssen nicht immer "nach beantragt" werden, falls eine neue Subdomain hinzukommt. Im Gegensatz zu Acme.sh benötigt das Zertifikat via DS die offenen Ports 80/440. Das Gleiche gilt auch für den NPM, welcher aktuell noch auf Cerbot setzt.

Grundsätzlich solltest du dich mit dem Thema auseinandersetzen. Eine fertige Hinrichtung wird dir nichts bringen und du bist bei einem Fehler (welcher kommen wird) aufgeschmissen. Das Ganze ist nicht wirklich schwer. Synology hat das auch gut in Ihren FAQs beschrieben. Damit sollte jeder technikaffine sehr weit kommen. Ein Handbuch gibt es auch noch. Und wenn es doch einmal klemmt, denn ab ins Forum. Deine Hausaufgaben musst du aber schon alleine machen. Nimm dir ein bisschen Zeit. Wenn du unsicher bist, installiere dir in der VM den VDSM, das geht ganz einfach und du kannst alles ausprobieren und notfalls verwerfen, ohne dein Produktivsystem anzufassen!

Das Gleiche gilt auch für Docker. Du musst es verstehen und nicht nur Anleitungen "nachbauen". Marius hatte schon öfters Fehler in seinen Anleitungen und teilweise sind seine Anleitungen "verbesserungswürdig" grade, wenn man Datenbanken einsetzt. Docker ist nicht schwer, man muss es nur verstehen. Die Befehle (docker run oder compose) sprechen eigentlich für sich. Du musst sie praktisch nur versehen und zuordnen.

 

[tomNeugier]

Danke euch beiden für die ganzen Tipps!!

Was für ein Record liegt hinter der Subdomain?

Die Frage überfordert mich, sorry.
Meinst du in Strato?
A-Record: meine aktuelle IP4-Adresse (lt. Fritzbox)
AAAA-Record: meine aktuelle IP6-Adresse (lt. Fritzbox)

 

[crammaster]

Setzt mal einen CNAME mit dem Verweiß auf die DynDNS Adresse. Punkt am Ende nicht vergessen!

Wird die DynDNS Adresse jetzt erfolgreich mit der IP versorgt?

 

[Janüscht]

AAAA-Record: meine aktuelle IP6-Adresse (lt. Fritzbox)

Das sollte nicht sein, sofern du IPv6 nutzen willst, musst diese natürlich auf deine DS zeigen. Das kannst du einfach mit einem zusätzlichen AAAA-Record machen und dort nur die letzten 4 Blöcke der IPv6 der DS angeben. Der CNAME sollte dann auf diesen Record zeigen! Der Präfix sollte vom Router bereits übertragen sein.

Anleitungen mit Bilder findest du hier.

 

[tomNeugier]

Solange DynDNS für die Subdomain auf Strato aktiviert ist, kann ich keinen CNAME setzen.

Wenn ich DynDNS dazu deaktiviere brauche ich wohl viel Geduld: "Aufgrund der dezentralen Struktur von DNS benötigen Änderungen an diesen Einstellungen bis zu 24 Stunden, bis sie vollständig aktiv sind."
und
" Ich bin mir darüber im Klaren, dass für Subdomain.Meine-Domain.de bei Aktivierung des CNAME-Eintrages sämtliche Einstellungen und Dienste bei STRATO für DNS, E-Mail, FTP und WWW unwiederbringlich verloren gehen."

 

[crammaster]

Du hast nur den DynDNS von Synology dort laufen lassen und den könntest du im Notfall wieder herstellen.

 

[tomNeugier]

Nein, dort gibt es noch andere Dienste, DynDNS für Meine-Domain.de, Mailadressen , Passwörter, HiDrive