DynDns für OpenVpn iVm. HTTPS?

[Benares]

Also das Anlegen der TXT-Records scheint ja zu klappen, auch der Entfernung - aber deren Abfrage wohl nicht.
Kannst du sehen, was duckdns während der dnssleep-Time daraus macht (nslookup -q=txt 08irgendwas.duckdns.org")?
Lass nochmal mit --debug laufen, ob man da mehr sieht.

 

[Kenji]

log und nslookup ist anbei:

acme.sh --issue --dns dns_duckdns -d 08xxx9.duckdns.org -d *.08xxx9.duckdns.org --dnssleep 900 --debug

 

[Benares]

Sorry, verstehe den Fehler auch nicht. Schick das Log mal an duckdns.

 

[Benares]

Probier's bitte nochmal mit einem zyklischen "nslookup -q=txt _acme-challenge.08xxx9.duckdns.org 8.8.8.8" während der dnssleep-Time. Ich hatte mich da vertan.
Irgendwann sollten die beiden TXT-Records auftauchen und irgendwann mal wieder verschwinden. Miss bitte etwa die Zeit bis zum Auftauchen, das gibt Hinweise auf die erforderliche Mindest-dnssleep-Zeit.

 

[Kenji]

Also ich habe es nun mit DuckDns aufgeben. Als Alternative habe ich nun dynv6.net genutzt und auf Anhieb wurde ein Zertifikat erstellt. Nun komme ich aber hier nicht weiter beim ausrollen des Zertfikats in DMS sozusagen das derzeitige Duckdns ersetzten.

lg.

 

[Benares]

Sieht doch schon mal viel besser aus
Mit SYNO_Certificate gibst du die Beschreibung des Zertifikats an, dass gesetzt/ersetzt werden soll. Existiert so eins nicht, landest du auf einem Fehler, wenn nicht auch SYNO_Create=1 gesetzt ist. Entweder du setzt SYNO_Certificate auf die richtige Beschreibung oder du setzt SYNO_Create=1. Dann wirst du ja sehen was dabei rumkommt.

 

[Kenji]

it´s done. Musste das Zertifikat nochmals umbennen, die Bezeichnugn war wohl zu lange.
dürfte doch so korrekt sein oder?

Vielen Dank und einen schönen Abend an alle!

 

[Benares]

Da steht aber immer noch was von duckdns. Geh mal auf bearbeiten und setze Beschreibung und SYNO_Certificate gleich.

 

[Kenji]

beim ersetzten des Zertifikates bleibt wohl die Bezeichnung die man gesetzt hat. Diese hab ich nun geändert.

- Weitere Frage noch bezüglich https Verbindung. Ich habe nun Paperlessngx soweit Konfiguriert, die Adresse richtig vergeben und auch im ReserveProxy im DMS die Einträge gesetzt.

Warum wird nun die Seite "https://paperlessngx.4xxxxxxx3.dynv6.net" nicht gefunden im Lan?
Ports muss ich hierbezüglich ja Intern eh nichts öffnen?



Einstellungen Paperless:
PAPERLESS_URL: https://paperlessngx.4xxxxxxx3.dynv6.net
PAPERLESS_CSRF_TRUSTED_ORIGINS: https://paperlessngx.4xxxxxxxxx3.dynv6.net


lg.

 

[Benares]

Dein Reverse-Proxy im 2. Screenshot triggert auf den Namen paperlessngx.435.., dein 1. Screenshot zeigt aber einen Zugriff auf 435... und landet auf der Demo-Seite der Web Station

 

[Kenji]

Wenn ich nun die ganze Adresse mit paperless.. Aufrufe, bekomme ich aber keinerlei Verbindung hin innerhalb des Lan oder außerhalb. Noch irgendwelche Vorschläge?

 

[Benares]

435443543.dynv6.net ist DNS-auflösbar, paperlessngx.435443543.dynv6.net aber nicht.
Dein Zertifikat muss auch zu dem Namen passen.

Edit: Eigentlich sollte bei dynv6.net auch Wildcard-DNS möglich sein. Vielleicht muss man das nur noch einschalten.

 

[Kenji]

Okay du meinst bestimmt in dynv6?

Habe da einen Post gefunden und nun per CNAME Wildcard per "*" hinzugefügt.
Da steht wohl das da bis zum 48 Stunden dauern kann. Ein direktes ändern hat noch keine Besserung gezeigt.
Siehe hier: delegate domain

 

[Benares]

Also momentan löst nun sowohl 435443543.dynv6.net als auch irgendwas.435443543.dynv6.net auf deine IP auf.
Wenn also auch dein Zertifikat für *.435443543.dynv6.net gilt, und sonst alles passt, sollte der Zugriff nun klappen.

 

[Kenji]

So nun hat es funktioniert bis zum Neustart der DS danach wieder keine Verbindung.. bisschen Verzweiflung.

Getan wurde davor folgendes und dann hat es auch geklappt:

- Web Station deinstalliert
- WebSocked neu gesetzt
- im dynv6 nun "*" und "paperless" als CNAME hinterlegt.

Den Port 443 habe ich in der Fritzbox ja eingetragen, nachdem ich Probeweise diese entfernt habe konnte ich keine Verbindung mehr herstellen. Beim Wiederherstellen der Einstellung war danach aber keine Verbindung mehr möglich.

Daher meine Frage noch zusätzlich, kann ich auch ohne den Port 433 innerhalb des Lan per HTTPS auf die Sachen Zugreifen, wenn ja was bräuchte ich?

Wildcard ist per traceroute erreichbar

Lg.

 

[Benares]

Also momentan löst 435443543.dynv6.net und auch irgendwas.435443543.dynv6.net, also auch paperlessngx.435443543.dynv6.net auf die IP 88.73.234.53 auf.
Keine Ahnung, wo jetzt nun diese 2.202er IP bei dir herkommt.

 

[Kenji]

Habe gerade testweise mir eine neue Router ip gegeben. Die ip mit .53 ist aktuell.

 

[Kenji]

Hab nun in der Firewall den Port 443 auf der Synology freigeben. Nun hatte ich sofort Zugriff.

Nun noch die Frage bezüglich https im LAN ohne die Freigabe Port 443 wäre dies möglich? Der Plan wäre ja das ich nur mit vpn Zugreifen aber trotzdem HTTPS nutzen könnte.

LG.

 

[Benares]

Wenn du über VPN zugreifst, ist das so, wie wenn aus deinem heimischen WLAN, also lokal, zugreifst. Das Problem dürfte dabei sein, dass dein Zertifikat nur für den (externen) Namen gilt, für das es einmal ausgestellt wurde, nicht für den internen. Der einfachste Weg ist es, dann einfach http anstatt https zu verwenden. Einen gewissen Schutz gibt es ja über den VPN-Tunnel.

 

[Kenji]

Das ist verständlich. Folgendes habe ich von plang.pl gefunden, leider finde ich die Anleitung oder Guideline nicht mehr.
"Über eigenen DNS-Server betreiben und deinen DynDNS im LAN auf die interne IP der DS zeigen lassen."

Das wäre die Richtung wo ich gerne gehen würde. Adguard und unbound wollte ich vom Asus Router auf die Synology umziehen