DNS Server mit Domain erstellen & Zertifikat

[SvensenDE]

Moin moin,
Bin grade das erste mal dabei DNS Server selbst zu erstellen, Und hätte da mal paar fragen.

1. Wenn ich eine Primäre Zone mit Domain xy.de erstelle ist die nicht mehr erreichbar obwol die auf die IP weiter geleitet ist.
Ist das Normal? wenn ja wie kann man das trotzdem xy.de erreichbar machen ohne Subdomain draus zumachen?

(1) Edit: das Problem konnte ich lösen in dem A Record noch mal von der Domain auf die IP gesetzt habe.

2. Wie Löst ihr das Problem mit Zertifikaten weil wenn sie von außen nicht erreichbar sind kann man über letsencrypt zertifikat ja keins erstellen.

das sind bis dato die erste Probleme fragen die habe

Viele Grüße

Sven

 

[plang.pl]

Zu 1: Wie meinst du das?
Wenn du einem Eintrag eine IP-Adresse zuweist, antwortet der DNS-Server bei der Anfrage eines Clients nach dieser Domain eben mit der von dir festgelegten IP-Adresse.
- hattest du ja gelöst. Zu spät gelesen
2. Das kann man machen, indem man Zertifikate entweder via DNS-Challenge anfragt (dafür müssen keine Ports offen sein - du musst nur der Inhaber der Domain sein). Das geht derzeit mit acme.sh als Docker-Container. Ich persönlich mache ich das mit dem NGINX Proxy Manager in Docker. Der macht das auch so ähnlich. In beiden Fällen kannst du ein Wildcard-Cert erhalten. Dritte Option ist, du nutzt eine Synology.me Domain. Dort erhälst du auch ein Wildcard-Cert ohne Portöffnung. Alternativ kann man sich auch via PowerShell self-signed Certs ausstellen. Muss man aber auf jedem Gerät importieren. Ist eher unschön

 

[SvensenDE]

Sorry für die späte Antwort

NGINX Proxy Manager hab ich zum laufen bekommen funktioniert auch alles mit Wildcard und co von außen.
Jetzt hab ich DNS Server auf Server installiert um Traffic vom Internet nicht zu überlasten nur nimmt er dann nicht mer die Zertifikate von NGINX Proxy Manager sondern muss die über Synology nehmen..

DNS Server kann man ja glaube ich nur IP adressen weiterleiten ohne Ports oder?

 

[plang.pl]

um Traffic vom Internet nicht zu überlasten

Was meinst du damit?

Zertifikate von NGINX Proxy Manager sondern muss die über Synology nehmen..

Musst du nicht. Wenn du den Rerverse Proxy ansprichst, werden auch dessen Zertifikate genommen.

DNS Server kann man ja glaube ich nur IP adressen weiterleiten

DNS hat nichts mit Ports zu tun, sondern übersetzt nur Namen / Hosts in IP-Adressen

 

[SvensenDE]

Was meinst du damit?

Arbeiten ca 50 Leute im Netzwerk und sind voher immer über Domain aus dem Internet auf Server drauf

Musst du nicht. Wenn du den Rerverse Proxy ansprichst, werden auch dessen Zertifikate genommen.

Rerverse Proxy von Synology nimmt automaisch bei mir stander zertifikate von der Synology

DNS hat nichts mit Ports zu tun, sondern übersetzt nur Namen / Hosts in IP-Adressen

Ich weiß aber einige Domains sollen auf Ports gehen weil ich nur ein Server betreibe



Ich werde jetzt versuchen MACVLAN einzurichten und dem NGINX Proxy Manager Feste IP zu geben die nix mit der Syno zu tun hat mal schauen ob mein plan so funktioniert

 

[alexhell]

Dein DNS Server muss die Domain doch nur auf die IP vom Nginx Proxy Manager auflösen. Mit Macvlan wirst du nur mehr Probleme bekommen

 

[plang.pl]

Rerverse Proxy von Synology

Wenn du die Zertifikate im NGINX erstellst, muss dieser auch der Reverse Proxy sein und nicht der des DSM.

aber einige Domains sollen auf Ports gehen

Wie jetz? Um einen FQDN auf eine IP und Custom Port "zeigen" zu lassen (in dem Falle trifft es das Wort "Weiterleiten" wohl eher) braucht man eben den Reverse Proxy. Ich habe vor kurzem hier eine Anleitung erstellt: https://www.synology-forum.de/threa...e-unbound-um-domain-lokal-aufzuloesen.127925/
Lies dir das mal komplett durch. Dann verstehst du die Sache vielleicht klarer.

MACVLAN einzurichten und dem NGINX Proxy Manager Feste IP zu geben

Eigentlich rate ich immer von MACVLAN ab. Aber in dem Falle geht es nicht anders, da die DS bereits Port 80/443 fest belegt. Alternative wäre eine VM mit Linux drauf und darin den RP. Wenn die DS mit dem Container sprechen soll, bedenke dass du einen Workaround anwenden musst: https://www.synology-forum.de/threa...guard-problem-openvswitch.117355/post-1016794

 

[SvensenDE]

Dein DNS Server muss die Domain doch nur auf die IP vom Nginx Proxy Manager auflösen. Mit Macvlan wirst du nur mehr Probleme bekommen

Die IP Nginx Proxy Manager war die Selber wie der DNS-Server oder die Synology

Eigentlich rate ich immer von MACVLAN ab. Aber in dem Falle geht es nicht anders, da die DS bereits Port 80/443 fest belegt. Alternative wäre eine VM mit Linux drauf und darin den RP. Wenn die DS mit dem Container sprechen soll, bedenke dass du einen Workaround anwenden musst: https://www.synology-forum.de/threa...guard-problem-openvswitch.117355/post-1016794

Ich hab es mit MACVLAN gemacht wieso würdest du davon abraten?

Jetzt hat der NGINX Proxy Manager auf jeden fall eigene feste IP Adresse die auch Router gespeichert habe
Jetzt wird auch über DNS Server das Zertifikat von NGINX Proxy Manager raus gegeben wie das haben wollte.

 

[plang.pl]

wieso würdest du davon abraten?

1. Wegen dem Problem mit der Host Kommunikation
2. Weil da keine Firewall mehr greift

 

[SvensenDE]

Ok wie würdest du das sonst umgehen wenn nicht über MACVLAN?

Mit dem Rerverse Proxy von Synology hat es leider nicht funktionier

hab sie Discord vielleicht haben sie ja zeit lust mit mir da drüber zu sprechen?

 

[plang.pl]

wie würdest du das sonst umgehen wenn nicht über MACVLAN?

Mit einer schlanken Linux VM, wie oben geschrieben. Für den rein internen Betrieb (bzw wenn nur Port 443 nach außen offen ist) kannst du das aber so machen mit MACVLAN, wenn es funktioniert.

drüber zu sprechen?

Prinzipiell habe ich nix gegen einen kurzen Plausch.
Und ich habe sogar Discord. Hab das aber zuletzt vor vielen Jahren benutzt. Hab ehrlich gesagt auch keine Ahnung (mehr), wie man das bedient
Mit ein bisschen Einlesen bekommst du das schon hin!

 

[SvensenDE]

Mit einer schlanken Linux VM, wie oben geschrieben. Für den rein internen Betrieb (bzw wenn nur Port 443 nach außen offen ist) kannst du das aber so machen mit MACVLAN, wenn es funktioniert.

Ja das wäre noch ne idee gewesen hätte das mit Docker MACVLAN jetzt nicht funktioniert.

Da ich aber mich total Docker Verliebt habe und die ressourcen dokcer nicht gleich geblockt werden nutze ich sehr gerne docker Container...

Dito geht mir auch so mit Discord bin glaub ich noch einer von letzten die Teamspeak benuten ^^

 

[plang.pl]

Also läuft jetz dein Setup so wie du es willst?
Was meinst du mit

die ressourcen dokcer nicht gleich geblockt werden

?
Vor nicht allzu langer Zeit war Docker für mich noch ein Buch mit 7 Siegeln. Mittlerweile möchte ich aber nicht mehr ohne.

 

[SvensenDE]

Ja mit MACVLAN und einer eigenen IP Adresse für Nginx Proxy Manager geht es jetzt das im Lokalen Netzwerk die Domain über DNS Server auf Nginx Proxy Manager sich das Wildcard Zertifikat bezieht.

Ja für mich auch bin nur IT Systemelektroniker.. sehr vieles was mit Server zutun hat hab ich mir selbst beigebracht durch Foren und das Internet

Docker war am anfang für mich total schrecklich grade das von Synology weil ja klein bisschen anders ist als das Normale

Aber bin ehrlich hab mir auch schon Unraid angeschaut und war auch von diesen OS System schon sehr begeistert und wird auf jeden fall auch noch Server von folgen in meiner Sammlung

 

[plang.pl]

das von Synology weil ja klein bisschen anders ist als das Normale

Naja Docker unter DSM ist schon teils sehr verbastelt von Synology. Das Stock Docker ist das jedenfalls nicht. Zudem ist die Synology Docker-Version um einiges älter, als das native Docker. Auch der Kernel der meisten DSen ist steinalt. Das gibt teils Probleme mit gewissen Containern, sodass diese nicht mal starten oder zumindest einen veralteten Kernel loggen.
Deshalb bin von der DS als Docker-Host weggegangen. Ein, zwei Kleinigkeiten laufen da zwar noch (paperless-ngx, jdownloader im Groben). Alles andere läuft auf 2 Proxmox Hosts (siehe Signatur) in lubuntu-VMs.
Die DS ist eben primär ein File-Server und kein Hypervisor.