DNS Anfragen zu NAS im internen Netzwerk halten über letsencrypt Adresse

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
191
Punkte für Reaktionen
15
Punkte
18
Hallo zusammen,

ich habe meiner DS920+ ein letsencrypt Zertifikat für eine eigene Domain verpasst und diese ist von außen per DynDNS erreichbar.
Jetzt verwende ich intern im Netzwerk den Synology Drive Client zur Synchronisation.
Ich kann dort entweder die interne IP Adresse der NAS angeben, damit der Traffic im Netzwerk bleibt, dann erhalte ich aber Zertifikatswarnungen und muss alle 2-3 Monate die Verbindung neu einrichten.
Wenn ich die DDNS Adresse angebe, dann geht der Datenverkehr immer über den Router mit DNS Anfrage nach außen und ich muss ein Port Forwarding für die passenden Ports einrichten.
Ich würde den Datenverkehr aber gerne intern halten mit gültigen Zertifikaten.

Welche Möglichkeiten habe ich die DNS Anfragen entweder direkt intern zu beantworten oder für die lokale IP/lokale Hostname ein Root Zertifikat zu erstellen, welches ich auf allen Clients hinterlege?

Im Nerzwerk dient eine FritzBox als DNS Server und Internet Zugangspunkt.

Danke
shirocko
 

MattCB

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
382
Punkte für Reaktionen
71
Punkte
28
Dazu brauchst du einen internen DNS-server, allerdings nicht die Fritzbox, da du dort keine eigenen Einträge machen kannst. Entweder den DNS-server der Synology für die Auflösung im internen Netz nutzen oder einen anderen DNS-server.

Ich persönlich habe mir interne Einträge im Pihole angelegt. Anfragen auf die (Sub)Domains werden also auf die internen IPs aufgelöst, wenn ich mich im internen Netz befinde. Das geht auch über VPN von aussen, wenn ich den Pihole in der Wireguardkonfig als DNS setze.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ich würde es wie @MattCB machen. Bzw mache ich das bereits. Aber nicht mit pihole, sondern mit AdGuard und unbound. Da schlägt man 2 Fliegen mit einer Klappe: erhöhte Privacy und Domains intern nutzen.
Selbst, wenn man in der Fritte den Rebind Schutz aktiviert, gehen die DNS-Anfragen nach draußen.
Alternativ kann man unter Windows ja auch die Hosts Datei nutzen.
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
191
Punkte für Reaktionen
15
Punkte
18
Ich denke der Rebind Schutz bringt mir hier nichts, da er ja nur DNS Antworten auf Domains unterdrückt, die auf das interne Netz zeigen.
Da der DDNS Name aber grundsätzlich auf eine öffentliche IP zeigt, wird das hier vermutlich nichts bringen.
Außerdem habe ich dort die Werte bereits seit längerem gesetzt.

Ich hatte früher PiHole auf einem Raspi dafür im Betrieb, aber dort fiel die Namensauflösung zu oft aus.
Ein eigenes Root Zertifikat kann ich mit Hilfe der Syno nicht erzeugen, oder?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.882
Punkte für Reaktionen
1.156
Punkte
288
ja, bei mir geht es mit hosts, bin aber Gruftie aus vergangenen Zeiten, habe es diesmal weggelassen...
 
  • Haha
Reaktionen: MattCB

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
191
Punkte für Reaktionen
15
Punkte
18
Aber nicht mit pihole, sondern mit AdGuard und unbound.
Wenn ich es online korrekt lese ist AdGuard aber nur als Browser Addon kostenlos und kostet für den netzwerkweiten Einsatz Geld, korrekt?
Welchen Vorteil hat es denn gegenüber PiHole, welcher ja quasi das gleiche bietet.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nein, ist ebenfalls kostenlos als Docker-Container betreibbar.
Ich finde den AdGuard einfach besser, weil mehr Übersicht und moderner. Ist aber Geschmackssache.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Bevor ein DNS eingerichtet wird, kann man es auch einfach mit der Hosts-Datei versuchen.
Wobei man Pi-hole / Adguard tatsächlich empfehlen kann.
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
191
Punkte für Reaktionen
15
Punkte
18
Bevor ein DNS eingerichtet wird, kann man es auch einfach mit der Hosts-Datei versuchen.
Mit der Hosts Datei wird es schwierig, da der Client mal im Netzwerk sein kann, mal außerhalb und von außen zugreift.
Außerdem gibt es dann noch die Mobilen Geräte, wo eine Hosts Datei schlicht nicht funktionieren wird. Wie beim iPhone.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Dann wird es wohl der DNS-Server werden.
Wobei ich da nicht einfach irgendeinen einsetzen würde. Sondern wenn ich es schon mache, gleich auf AdGuard oder pihole + unbound setzen
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
191
Punkte für Reaktionen
15
Punkte
18
Besten Dank für die Tipps und Erläuterungen. Dann werde ich mir bei Gelegenheit einmal AdGuard anschauen ggf. installieren.
Da meine Syno nicht 24/7 läuft, wird es wohl der Raspi als Grundlage werden.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

MattCB

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
382
Punkte für Reaktionen
71
Punkte
28
@plang.pl : Adguard habe ich auch mal getestet. Sieht schon deutlich moderner aus. Aber mal ehrlich, wie oft ruft man die Weboberfläche eines Werbeblockers auf? ;-)

Aber bei Adguard Home fehlt mir irgendwie die Möglichkeit, den Blocker mal eben über einen Link für z.B. 30 Sekunden auszuschalten (wenn sich die Freundin mal wieder aufregt, wenn sie eine Seite nicht aufrufen kann -> und nein, den Link zum Deaktivieren bekommt sie nicht mitgeteilt). Bei Pihole kann man über eine URL die Blockierung für eine gewissen Zeit deaktivieren, danach wird er wieder aktiv. Aber bei Adguard habe ich eine solche Funktion noch nicht gesehen.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ich ruf die schon manchmal auf, wenn wieder Seite xy nicht funktioniert. Und da sind die Logs schön übersichtlich.
Das von dir genannte ist der einzige Nachteil in meinen Augen am AdGuard. Hatte ich aber vorhin nicht im Kopf, da ich das nicht brauche. Weiß aber, dass ich mich darüber vor einiger Zeit mal schlau gemacht hatte und keine Lösung fand. Vielleicht hat sich das mittlerweile geändert. Ich weiß es nicht.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Aber bei Adguard Home fehlt mir irgendwie die Möglichkeit, den Blocker mal eben über einen Link für z.B. 30 Sekunden auszuschalten (wenn sich die Freundin mal wieder aufregt, wenn sie eine Seite nicht aufrufen kann -> und nein, den Link zum Deaktivieren bekommt sie nicht mitgeteilt).
Das Problem kenne ich.. Allerdings sperre ich mir oftmals selbst Seiten, die ich dann doch mal besuchen möchte.
Bei mir ist das über eine PowerShell gelöst, die ich in der Taskleiste abgelegt habe.
Allerdings bilde ich mir ein, dass mir ein Forenuser ins Ohr geflüstert hätte, dass AdGuard hierfür derweil auch eine API anbieten täte.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat