SEC_ERROR_INADEQUATE_KEY_USAGE nach wechsel von Vodafone zu o2 Cable

[wjavixxassuj]

Hallo Zusammen,

ich habe meinen Internetanbieter gewechselt (von Vodafone Cable zu o2 Cable). Grundsätzlich hätte ich erwartet, dass sich erst einmal nichts ändert. o2 benutzt aber DS-Lite Technik, sodass ich hier einiges umstellen muss, damit mein Homelab und einige Applikationen via Reverse Proxy erreichbar sind.

Ich habe in der FritzBox unter "Internet" -> "Permit Access" -> "DynDNS" meine Update URL angepasst, indem ich den IPv6 Teil ergänzt habe (rot markiert)
http://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv4=<ipaddr> http://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv6=<ip6addr>&ipv6prefix=<ip6lanprefix>

Beim Aufruf einer nicht Synology App (zB Homepage [ist eine Art Dashboard wie Heimdall]) über dashboard.meinedomain.de bekomme ich die Meldung "SEC_ERROR_INADEQUATE_KEY_USAGE". Aktuell weiß ich noch nicht, woran das liegt und wie ich das gelöst bekomme. Hat hierzu jemand eine Idee? Wie viele andere nutze ich ACME und ein von Let’s Encrypt signiertes zertifikat. Muss ich das Zertifikat neu erstellen oder ggf. anpassen??

Der Status wurde auf jedenfall bei dynv6 geupdated und die Records sind auch angepasst.





Wenn ich bspw. synologydrive.meinedomain.de aufrufe erhalte ich diese Meldung

 

[plang.pl]

Um die Domain intern zu nutzen, musst du in der FritzBox eine Ausnahme im Rebind Schutz setzen. Zwar musst du hier deine Domain eintragen:


Zudem musst du Folgendes beachten:
Bei IPv6 gibt es kein NAT mehr. Die IPv6 muss also auf den Reverse Proxy (bei dir wahrscheinlich die DS - also muss die DS das DDNS Update machen) zeigen und nicht auf die Fritte. Auf der Fritte müssen dann speziell Portfreischaltungen für IPv6 vorgenommen werden.

 

[wjavixxassuj]

@plang.pl
Danke für deine Rückmeldung. Zwei Rückfragen:

1. Kann ich die Domain im DNS-Rebind-Schutz als Wildcard eintragen bspw. *.meinedomain.de?
2. Wenn ich bspw. drive.meinedomain.de hinterlege und diese dann im Browser aufrufe, lande ich auf der Startseite der Fritzbox ?!
3. Wenn ich meinedomain.de hinterlege, dann kommt die Nachricht für den DNS-Rebind-Schutz trotzdem.

4. Wenn ich unbound + adguard nutze spielt der DNS-Rebind-Schutz an dieser Stelle trotzdem eine Rolle oder läuft das dann alles über unbound + adguard?
5. Den Teil mit dem Reverse Proxy habe ich nicht ganz verstanden. Meine Fritzbox macht das DynDNS Update, dort ist bei DynDNS entsprechend der dynv6 Anbieter hinterlegt. Wie kriege ich raus welche Portfreischaltungen ich brauche? Bisher hatte es gereicht 443 für https freizuschalten. Wird der Reverse Proxy in der aktuellen Form dann nicht mehr genutzt?

 

[ctrlaltdelete]

Du musst für DYNDNS die IPv6 der DS nehmen nicht die des Routers und im Router den Port 443 IPv6 auf die DS weiterleiten.

 

[plang.pl]

Zu 1: Da bin ich überfragt. Ich glaube aber nicht. Teste es doch mal. Mit der IPv6 kannst du es auch erstmal ohne die Eintragung versuchen. Manchmal "checkt" die Fritte das auch nicht. Ich würde es aber trotzdem gleich eintragen, sonst musst du bei Problemen an diesen Punkt denken.
Zu 2: Genau so ist es. Weil die IPv6 auf die Fritte zeigt und nicht auf die DS. Wie gesagt: Bei IPv6 muss der DDNS auf die IP des Geräts selbst zeigen und nicht auf die der Fritte.
Zu 3: Das dürfte eigentlich nicht sein. Hast du da tatsächlich alles hinterlegt? Also inkl. Subdomain?
Zu 4: Nein, dann spielt der eigentlich keine Rolle, da die Fritte nix mehr mit der Namensauflösung am Hut hat. Dies gilt aber tendenziell nur dann, wenn du interne A-Records auf die IP (hier kannst du ja die IPv4 nehmen) angelegt hast, sodass die Anfrage intern an die private IP geht. Das ist eigentlich die Ideallösung (Anleitung).
Zu 5: Doch das bleibt alles genau so. Portfreischaltung in der Fritte auf die DS. WIe gesagt, muss das DDNS Update aber die DS machen, da die DDNS Adresse bei IPv6 auf die DS und nicht auf die Fritte zeigen muss. Hint: Bei IPv6 hat jedes Gerät eine eigene externe IPv6 Adresse.

 

[ctrlaltdelete]

2. Nutze doch das DDNS von der DS und aktualisiere darüber die IPv6 zu deiner Domain

 

[wjavixxassuj]

2. Nutze doch das DDNS von der DS und aktualisiere darüber die IPv6 zu deiner Domain

Ich nutze zusätzlich noch das Wireguard meiner FritzBox, ich glaub das wird dann nicht gehen wenn die DS auch die IPv6 zu meiner Domain aktualisieren will oder kann ich das doppelt einrichten? Außerdem klappt die Einrichtung der dynv6 nicht. Muss ich hier irgendwas beachten beim Eintragen?



Das interessante ist, dass er bei externer Adresse die IPv4 nimmt und nicht die IPv6. Sollte er hier nicht die IPv6 nehmen?



Mit der Synology DDNS scheint er aber die IPv6 zu nehmen

Zu 1: Da bin ich überfragt. Ich glaube aber nicht. Teste es doch mal. Mit der IPv6 kannst du es auch erstmal ohne die Eintragung versuchen. Manchmal "checkt" die Fritte das auch nicht. Ich würde es aber trotzdem gleich eintragen, sonst musst du bei Problemen an diesen Punkt denken.
Zu 2: Genau so ist es. Weil die IPv6 auf die Fritte zeigt und nicht auf die DS. Wie gesagt: Bei IPv6 muss der DDNS auf die IP des Geräts selbst zeigen und nicht auf die der Fritte.
Zu 3: Das dürfte eigentlich nicht sein. Hast du da tatsächlich alles hinterlegt? Also inkl. Subdomain?
Zu 4: Nein, dann spielt der eigentlich keine Rolle, da die Fritte nix mehr mit der Namensauflösung am Hut hat. Dies gilt aber tendenziell nur dann, wenn du interne A-Records auf die IP (hier kannst du ja die IPv4 nehmen) angelegt hast, sodass die Anfrage intern an die private IP geht. Das ist eigentlich die Ideallösung (Anleitung).
Zu 5: Doch das bleibt alles genau so. Portfreischaltung in der Fritte auf die DS. WIe gesagt, muss das DDNS Update aber die DS machen, da die DDNS Adresse bei IPv6 auf die DS und nicht auf die Fritte zeigen muss. Hint: Bei IPv6 hat jedes Gerät eine eigene externe IPv6 Adresse.

Zu 3: Ich hab ja ein paar Subdomains bei dynv6 als CNAME und im Reverse Proxy der DS hinterlegt. Muss ich die dann aus dem Reverse Proxy der DS entfernen und alle Subdomains (vielleicht klappt es auch mit dem Wildcard, mal probieren) in der FritzBox unter DNS-Rebind-Schutz eintragen?

Zu 5: Wie kann ich dann eine VPN Verbindung zur FritzBox aufbauen oder kann ich an beiden Geräten die DDNS hinterlegen, ohne das ich probleme bekomme?

Es deutet ja erstmal alles darauf hin, dass ich in der Synology den DDNS eintrage. Ich würde hier gerne weiterhin dynv6.com nutzen, bekomme aber eine Fehlermeldung, wenn ich das in der DS eintragen möchte.


Update:
Ich hab zufällig diese Anleitung im Netz gefunden und bin nach ihr vorgegangen
https://nocksoft.de/tutorials/dyndns-fuer-ipv6-server-hinter-fritzbox-konfigurieren/

Ich kann jetzt ohne Rebind Schutz die ganzen Subdomains erreichen bspw. Vaultwarden.meinedomain.de oder Jellyfin.meinedomain.de

Dabei habe ich in der FritzBox folgende Update URL eingetragen:
https://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv6=::xxx:xxxx:xxxx:xxxx&ipv6prefix=<ip6lanprefix>&trash=<ip6addr>

Ich vermute das ich keinen Rebind Schutz brauche weil ich hier direkt die Interface ID der DS eingetragen habe?

Das einzige was jetzt nicht mehr funktioniert ist mein Wireguard auf der FritzBox. Ich überlege gerade aber ob ich entweder OpenVPN auf der DS oder Wireguard auf meinem Raspberry Pi einrichte. Das sollte ja dann auch funktionieren. Bequemer wäre es mir natürlich über die FritzBox, wenn es da einen Weg gibt.

Problem ist, dass er (wahrscheinlich wegen der Update URL) die IPv4 nimmt statt der IPv6 für den Verbindungsaufbau




Update 2:
https://kb.synology.com/de-de/SRM/help/SRM/NetworkCenter/internet_quickconnect_ddns?version=1_3

Anmerkung:​

• Nur Synology DDNS-unterstützt den IPv6-Dienst.

Dann werde ich den Weg wählen das ich Wireguard auf meinen Raspberry Pi installiere und von dort via VPN mich einwähle.

 

[plang.pl]

Wireguard meiner FritzBox

Lass die Fritte auf eine Subdomain zeigen. Zum Beispiel, indem du bei dynv6 eine Subdomain erstellst und die per CNAME auf die MyFritz Adresse zeigen lässt. Oder du nutzt gleich die MyFritz für WireGuard. Da ist die Domain ja eigentlich egal, weil die ja im Profil hinterlegt ist und du sie nicht manuell eingeben muss.

Muss ich hier irgendwas beachten beim Eintragen?

Bei externe Adresse nicht die interne Adresse auswählen, sonst bringt dir das gar nix. Denn der DNS löst dann auf die interne IPv4 auf, auch von extern. Aber der Fehler bei dir muss noch woanders liegen, denn der Status müsste trotzdem ok sein.

Sollte er hier nicht die IPv6 nehmen?

Hatte ich ja geschrieben. Das musst du selbst im Dropdown ändern.

Zu 3: Nein, die musst du im Reverse Proxy UND im Rebind Schutz eintragen. Der Rebind Schutz verhindert DNS-Antworten auf interne Ressourcen.
Zu 5: Habe ich bereits geschrieben. MyFritz Adresse nutzen. Etweder direkt oder per CNAME via Subdomain von dynv6

Update:

Boah keine Ahnung. So tief bin ich in IPv6 nicht drin.

Nur Synology DDNS-unterstützt den IPv6-Dienst.

Das ist mir neu. Aber ist auch nicht so wild. Man kann das Update bei den meisten Anbietern auch via Script lösen.
Was du aber auch machen kannst: Einfach den Synology DDNS nutzen und in deiner Domain dann via CNAME auf den zeigen. Hast ja keine Nachteile von. Irgendwie musst du halt nur das Thema mit den Zertifikaten noch hinbekommen. Vielleicht mit acme.sh oder du nutzt den NGINX Proxy Manager im Docker.

 

[wjavixxassuj]

Also ich bin jetzt doch etwas verwirrt. Können wir das ganze Schritt für Schritt durchgehen? Ich will das mit IPv6 auch so aufbauen, dass es nachhaltig und logisch ist. Lassen wir das VPN im ersten Schritt außen vor. Ich möchte, dass meine Subdomains über das Internet erreichbar sind.

1. Bei dynv6 habe ich eine Domain. Diese Domain möchte ich mit dem IPv6 der DS verknüpfen, nicht mit der von der FritzBox.
Da ich über die UI kein IPv6 im DDNS der DS auswählen kann, erstelle ich eine DDNS von Synology. Wie verknüpfe ich die DDNS der DS mit der Domain bei IPv6?

Ich verstehe hier den Zusammenhang noch nicht richtig bzw. die Umsetzung.

 

[Janüscht]

Zu deinem Wechsel zu O2: manchmal ist weniger doch nicht mehr. Nicht immer ist Geiz wirklich Geil!

Das ändert jetzt nichts an deinem Problem, aber eventuell passt man vorher besser auf, besonders wenn man noch eine externe IPv4 aktuell hat!

Weil du Dienste von der Diskstation aber auch WireGuard von der Fritz!Box nutzen willst, musst du anders vorgehen. Mit deiner verlinkten Anleitung wirst du so nicht weiterkommen. Dadurch überträgst du die zwar die IP der Diskstation, ABER die Fritz!Box ist dadurch nicht mehr extern erreichbar! EDvonSchleck hat das hier mehrfach beschrieben wie es funktioniert und auch in den Kommentar deines Links hinterlegt.

Richtig ist: du überträgst die IPv6 mit der Update-URL welche in Dynv6 hinterlegt ist und du hast somit einen Zugang zu der Fritz!Box. Jetzt sollte das VPN wieder funktionieren.

Damit jetzt die Diskstation wieder erreichbar ist, legst du einfach einen weiteren AAAA-Record an. Als Ziel definierst du die IPv6 Adresse der Diskstation (letzten 4 Blöcke), damit die funktioniert und der Präfix der Fritz!Box übernommen wird, musst du dieser Adresse noch zwei : hinzufügen. Das sollte danach wie folgt aussehen: ::aaaa:bbbb:cccc:dddd (mit 2x Doppelpunkt am Anfang). Jetzt musst du nur noch deine Umschreibungen (CNAME) unter „Data“ angeben, dass sich diese sich auf den Diskstation-AAAA-Record beziehen. Dazu gibst du einfach die Subdomain an welche du beim Diskstation-AAAA-Record hinterlegt hast.

Das wars auch schon und es sollte jetzt die Fritz!Box als auch die Diskstation über IPv6 erreichbar sein! Den A-Record (ipv4) kannst du getrost löschen, dieser wird nicht mehr benötigt. Die Update-IPv4-URL kann auch aus der Fritz!Box entfernt werden, sofern diese nicht extern erreichbar ist.

Alternativ kannst du auch nur den Präfix von der Fritz!Box übertragen lassen und die Fritz!Box wie die Diskstation manuell in Dynv6 hinterlegen. Dazu gibst du einfach nach Erstellen des AAAA-Records als Subdomain ein @ ein. Auch das Nutzen unterschiedlicher (Dynv6)Domains für beide Geräte sind problemlos möglich. Du hast also genügend Auswahl, um dein Problem zu lösen.

In Verbindung mit Adguard, Pi-Hole und/oder Unbound benötigst du keinen Rebind-Schutz in der Fritz!box.

Die externe Kommunikation wir ja dabei nicht mehr von der Fritz!Box gesteuert, ansonsten würde das filtern ja nicht funktionieren. Der Rebind-Schutz ist als eher etwas für User die diese genannte Software nicht einsetzen. Außerdem ist es nicht notwendig, weil die Anfrage nicht erst nach extern gehen muss. Du kannst eine Umschreibung einrichten wodurch die Anfrage dein Netzwerk nicht verlässt und somit „theoretisch“ auch der Rebind-Schutz nicht greifen würde.

Nutze die Suche im Forum, dort findest du auch weitere Infos von EDvonSchleck zu diesem Thema.

 

[wjavixxassuj]

Ich habe jetzt eine Lösung gefunden, die für mich soweit erstmal zu funktionieren scheint.

Current status​

IPv4 Address not configured
IPv6 Prefix 2a02:3102:4c21:ff8d:211:xxxx:xxxx:xxxx-> Das ist die IPv6 der DS
Last update 6 hours ago

Wenn ich dann die URL
https://[2a02:3102:4c21:ff8d:211:xxxx:xxxx:xxxx]:8100 oder
http://[2a02:3102:4c21:ff8d:211:xxxx:xxxx:xxxx]:2283
aufrufe komme ich auch auf die entsprechenden Applikationen drauf.

Resource Records​

AAAA

meinedomain.de

2a02:3102:4c21:ff8d:211:xxxx:xxxx:xxxx

CNAME

vaultwarden.meinedomain.de

not set

CNAME

jellyfin.meinedomain.de

not set

Dann habe ich das AAAA und CNAME Record entsprechend erstellt und komme auch über die URL auf die Applikationen drauf.


Für Wireguard habe ich eine extra Subdomain subdomain.dns.navy genommen.

Current status​

IPv4 Address not configured
IPv6 Prefix 2a02:3102:xxxx:xxxx:: -> Das ist die öffentliche IPv6 der FritzBox
Last pdate 6 hours ago

So in der Form funktioniert es auf jedenfall

Lediglich die Firewall in der DS muss ich noch anpassen und in Docker die IPv6 unterstützung aktivieren.
Kann ich hier IPv6 Adressen eintragen oder wie funktioniert das genau?



EDIT: mal funktioniert der Zugriff über das Internet und mal nicht. Bekomme, wenn es nicht funktioniert, folgende Fehlermeldung im Browser (Firefox / Chrome).

 

[Janüscht]

Was du da gemacht hast, ist einfach falsch bzw. nicht richtig:

1. Funktioniert so kein Zertifikat, wenn du dich über die IP verbindest, egal ob IPv4 oder IPv6.
2. Wirst du nicht langer etwas davon haben, wenn sich der Präfix (externe IP vom Provider ändert, wird diese bei einer Domain nicht übernommen werden. Deshalb auch die Umleitung auf eine andere Domain, muss man aber nicht machen, weil es alles über eine Domain funktioniert.
3. IPv6 benötigst du für Docker & Co nicht, weil es hierbei nur um die Anfragen von extern > intern geht. Alles andere kann ganz normal über IPv4 laufen. Du hast ja auch eine IPv4, nur ist diese nicht von extern erreichbar. Auch bei der Firewall ist keine Änderung notwendig. Über den Reverse Proxy leitet die DS die Anfrage an den entsprechenden Port weiter. Ich würde auch alles über den Port 443 laufen lassen. Das erspart die Porteingabe im Browser und andere Ports sind kein Sicherheitsfeature! Nutze Liebe die Blocklist von Geimist und oder fail2ban.

Ich nutze selbst eine IPv6 und habe es genauso wie angeben mit ED damals 1:1 einrichtet. Ex funktioniert seitdem ohne Wartung mit Watchtower, Adguard und Unbound. Eventuell solltest du etwas Zeit mit den Basics und IPv6 beschäftigen, dazu hat EDvonSchleck viel geschrieben und mit Dynv6 vorgezeigt. Das, was du da machst, ist raten in der Hoffnung, dass es irgendwie funktioniert. Das wird langfristig nicht richtig funktionieren.

Letztendlich musst du nur einen zusätzlichen AAAA- Record für die DS erstellen und die CNAME auf diesen verweisen. Der bereits erstelle,AAAA-Record ist für die Fritz!Box. Somit funktioniert beides