DNS Anfragen zu NAS im internen Netzwerk halten über letsencrypt Adresse

[shirocko]

Hallo zusammen,

ich habe meiner DS920+ ein letsencrypt Zertifikat für eine eigene Domain verpasst und diese ist von außen per DynDNS erreichbar.
Jetzt verwende ich intern im Netzwerk den Synology Drive Client zur Synchronisation.
Ich kann dort entweder die interne IP Adresse der NAS angeben, damit der Traffic im Netzwerk bleibt, dann erhalte ich aber Zertifikatswarnungen und muss alle 2-3 Monate die Verbindung neu einrichten.
Wenn ich die DDNS Adresse angebe, dann geht der Datenverkehr immer über den Router mit DNS Anfrage nach außen und ich muss ein Port Forwarding für die passenden Ports einrichten.
Ich würde den Datenverkehr aber gerne intern halten mit gültigen Zertifikaten.

Welche Möglichkeiten habe ich die DNS Anfragen entweder direkt intern zu beantworten oder für die lokale IP/lokale Hostname ein Root Zertifikat zu erstellen, welches ich auf allen Clients hinterlege?

Im Nerzwerk dient eine FritzBox als DNS Server und Internet Zugangspunkt.

Danke
shirocko

 

[MattCB]

Dazu brauchst du einen internen DNS-server, allerdings nicht die Fritzbox, da du dort keine eigenen Einträge machen kannst. Entweder den DNS-server der Synology für die Auflösung im internen Netz nutzen oder einen anderen DNS-server.

Ich persönlich habe mir interne Einträge im Pihole angelegt. Anfragen auf die (Sub)Domains werden also auf die internen IPs aufgelöst, wenn ich mich im internen Netz befinde. Das geht auch über VPN von aussen, wenn ich den Pihole in der Wireguardkonfig als DNS setze.

 

[ottosykora]

Wenn es eine Fritz ist, dann gibt es da Möglichkeit unter Rebind Schutz die url zu hinterlegen.
Dann sollte auch dies wieder gehen.



hier: https://avm.de/service/wissensdaten...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/

 

[plang.pl]

Ich würde es wie @MattCB machen. Bzw mache ich das bereits. Aber nicht mit pihole, sondern mit AdGuard und unbound. Da schlägt man 2 Fliegen mit einer Klappe: erhöhte Privacy und Domains intern nutzen.
Selbst, wenn man in der Fritte den Rebind Schutz aktiviert, gehen die DNS-Anfragen nach draußen.
Alternativ kann man unter Windows ja auch die Hosts Datei nutzen.

 

[shirocko]

Ich denke der Rebind Schutz bringt mir hier nichts, da er ja nur DNS Antworten auf Domains unterdrückt, die auf das interne Netz zeigen.
Da der DDNS Name aber grundsätzlich auf eine öffentliche IP zeigt, wird das hier vermutlich nichts bringen.
Außerdem habe ich dort die Werte bereits seit längerem gesetzt.

Ich hatte früher PiHole auf einem Raspi dafür im Betrieb, aber dort fiel die Namensauflösung zu oft aus.
Ein eigenes Root Zertifikat kann ich mit Hilfe der Syno nicht erzeugen, oder?

 

[ottosykora]

ja, bei mir geht es mit hosts, bin aber Gruftie aus vergangenen Zeiten, habe es diesmal weggelassen...

 

[shirocko]

Aber nicht mit pihole, sondern mit AdGuard und unbound.

Wenn ich es online korrekt lese ist AdGuard aber nur als Browser Addon kostenlos und kostet für den netzwerkweiten Einsatz Geld, korrekt?
Welchen Vorteil hat es denn gegenüber PiHole, welcher ja quasi das gleiche bietet.

 

[plang.pl]

Nein, ist ebenfalls kostenlos als Docker-Container betreibbar.
Ich finde den AdGuard einfach besser, weil mehr Übersicht und moderner. Ist aber Geschmackssache.

 

[Ulfhednir]

Bevor ein DNS eingerichtet wird, kann man es auch einfach mit der Hosts-Datei versuchen.
Wobei man Pi-hole / Adguard tatsächlich empfehlen kann.

 

[shirocko]

Bevor ein DNS eingerichtet wird, kann man es auch einfach mit der Hosts-Datei versuchen.

Mit der Hosts Datei wird es schwierig, da der Client mal im Netzwerk sein kann, mal außerhalb und von außen zugreift.
Außerdem gibt es dann noch die Mobilen Geräte, wo eine Hosts Datei schlicht nicht funktionieren wird. Wie beim iPhone.

 

[plang.pl]

Dann wird es wohl der DNS-Server werden.
Wobei ich da nicht einfach irgendeinen einsetzen würde. Sondern wenn ich es schon mache, gleich auf AdGuard oder pihole + unbound setzen

 

[shirocko]

Besten Dank für die Tipps und Erläuterungen. Dann werde ich mir bei Gelegenheit einmal AdGuard anschauen ggf. installieren.
Da meine Syno nicht 24/7 läuft, wird es wohl der Raspi als Grundlage werden.

 

[plang.pl]

Schau dir auch unbound an und richte es bestenfalls gleich hinter AdGuard ein
Und noch was:
https://mariushosting.com/synology-adguard-vs-pi-hole/
EDIT:
https://schroederdennis.de/allgemein/pihole-vs-adguard-home-welcher-dns-blocker-gewinnt-ist-besser/

 

[MattCB]

@plang.pl : Adguard habe ich auch mal getestet. Sieht schon deutlich moderner aus. Aber mal ehrlich, wie oft ruft man die Weboberfläche eines Werbeblockers auf? ;-)

Aber bei Adguard Home fehlt mir irgendwie die Möglichkeit, den Blocker mal eben über einen Link für z.B. 30 Sekunden auszuschalten (wenn sich die Freundin mal wieder aufregt, wenn sie eine Seite nicht aufrufen kann -> und nein, den Link zum Deaktivieren bekommt sie nicht mitgeteilt). Bei Pihole kann man über eine URL die Blockierung für eine gewissen Zeit deaktivieren, danach wird er wieder aktiv. Aber bei Adguard habe ich eine solche Funktion noch nicht gesehen.

 

[plang.pl]

Ich ruf die schon manchmal auf, wenn wieder Seite xy nicht funktioniert. Und da sind die Logs schön übersichtlich.
Das von dir genannte ist der einzige Nachteil in meinen Augen am AdGuard. Hatte ich aber vorhin nicht im Kopf, da ich das nicht brauche. Weiß aber, dass ich mich darüber vor einiger Zeit mal schlau gemacht hatte und keine Lösung fand. Vielleicht hat sich das mittlerweile geändert. Ich weiß es nicht.

 

[Ulfhednir]

Aber bei Adguard Home fehlt mir irgendwie die Möglichkeit, den Blocker mal eben über einen Link für z.B. 30 Sekunden auszuschalten (wenn sich die Freundin mal wieder aufregt, wenn sie eine Seite nicht aufrufen kann -> und nein, den Link zum Deaktivieren bekommt sie nicht mitgeteilt).

Das Problem kenne ich.. Allerdings sperre ich mir oftmals selbst Seiten, die ich dann doch mal besuchen möchte.
Bei mir ist das über eine PowerShell gelöst, die ich in der Taskleiste abgelegt habe.
Allerdings bilde ich mir ein, dass mir ein Forenuser ins Ohr geflüstert hätte, dass AdGuard hierfür derweil auch eine API anbieten täte.