Strato Subdomains für Pakete nutzen

Bastelkollege

Benutzer
Mitglied seit
04. Jan 2024
Beiträge
15
Punkte für Reaktionen
9
Punkte
53
Vielleicht hat jemand eine ähnliche Situation und holt sich bei Strato eine Domain, weil man der Freundin/Frau und eventuell anderen Mitnutzern nichts von irgendwelchen Quickconnect.to-Adressen erzählen braucht, die sich die Leute sowieso nicht merken können.

Nach einem recht langen Kampf habe ich es hinbekommen, dass DSM über dsm.meinedomain.de, Synology Fotos über foto.meinedomain.de und so weiter erreichbar sind.
Leider bin ich dabei immer wieder auf "unfertige" Threads gestoßen und konnte im Netz auch keine wirklich hilfreiche bzw. endgültige Anleitung finden. Am Ende habe ich einfach etwa acht verschiedene Varianten probiert, bin schlafen gegangen und habe morgens getestet, ob eine der Varianten funktioniert.

Daher einmal hier meine Erfahrungen zum Thema Strato und Subdomains, bzw. eine kleine Anleitung hierzu.
Edit: Zitat @luddi
Der Domain-Name-Registrar in dem Fall Strato bekommt von uns die Information mit welcher IP Adresse unsere Domain verknüpft werden soll. Strato wird daraufhin unsere Domain mit der von uns gemeldeten IP Adresse an einen DNS Server übermitteln damit die Domain mit der von uns gemeldeten IP Adresse verknüpft ist.
Somit werden Anfragen zu einer Domain über den Domain Name Server (DNS) aufgelöst und man erhält die dazugehörige IP Adresse übermittelt mit welcher dann der Verbindungsaufbau zum Server eingeleitet wird.

Dafür wird DynDNS aktiviert:

dyndns.png

Im nächsten Schritt vergibt man das Passwort dafür. Im Bild oben zu finden unter dem Reiter (linke Seite) "Sicherheit".

In der Fritzbox wird im nächsten Schritt unter Internet -> Freigaben -> DynDNS folgendes in die vier Felder eingetragen:
https://<meinedomain.de>:<passwort>@dyndns.strato.com/nic/update?hostname=<domain>&myip=<ipaddr>,<ip6addr>.
meinedomain.de
meinedomain.de
passwort

Wieder zurück bei Strato können wir gleich sehen, ob das Ganze erfolgreich war:

domain.png

Hier wird nun DynDNS angezeigt, zusammen mit der aktuellen eigenen IP-Adresse. In der Domainverwaltung lassen sich mit einem Klick auf das Zahnrad auch gleich die Subdomains erstellen, die genutzt werden sollen.

Die übergeordnete Domain wird nun nach Hause umgeleitet. Damit die Subdomains dem folgen können, müssen wir hier noch eine Einstellung vornehmen:

cname.png

Es wird ein CNAME-Record angelegt, indem dort die Hauptdomain mit einem Punkt dahinter eingetragen wird.

cname2.png

Wieder zurück in der Übersicht der Subdomain sieht es dann so aus:

cnameerfolg.png

Jetzt haben wir die Domain und Subdomains zur Fritzbox umgeleitet. Die kann damit allerdings noch nicht wirklich etwas anfangen - und das eigentliche Ziel ist die DiskStation.
Außerdem nimmt die Fritzbox eventuelle Aufrufe über den Browser und das Internet noch nicht an. Hierfür müssen im nächsten Schritt folgende Ports freigegeben werden:

fritz ports.png

Damit es genau so aussieht, fügen wir erst das Gerät hinzu:

geräte freigabe.PNG

Dort wird die DS ausgewählt, sodass wir für diese eine Portweiterleitung einrichten können.
Neue Freigabe -> Portfreigabe -> Andere Anwendung -> TCP -> 443 -> Freigabe aktivieren -> OK.
Neue Freigabe -> Portfreigabe -> Andere Anwendung -> TCP -> 80 -> Freigabe aktivieren -> OK.

Den Port 80 brauchen wir, um auf der DS die SSL-Zertifikate für unser Vorhaben zu erstellen.
Jetzt werden die Ports für HTTP und HTTPS auf die DS umgeleitet.

Als nächstes können wir die SSL-Zertifikate erstellen, damit die HTTPS-Verbindung aufgebaut werden kann.
Dazu gehen wir im DSM in die Systemsteuerung und legen unter Sicherheit -> Zertifikate -> Hinzufügen -> Neues Zertifikat hinzufügen -> Zertifikat von Lets Encrypt abrufen -> subdomain.meinedomain.de + eigene Mailadresse -> Fertig ein neues Zertifikat an. Und das für jede einzelne Subdomain. Ob man für die Hauptdomain hier auch eines erstellen muss, weiß ich nicht genau. Hab ich aber gemacht und funktioniert. Sieht dann am Ende ungefähr so aus:


zertifikate.png

Der nächste Schritt ist, die einzelnen Anwendungen den Subdomains zuzuordnen. Für Synology-eigene Anwendungen geht das unter Systemsteuerung -> Anmeldeportal -> DSM/Anwendungen. Hier tragen wir unsere Subdomains und die HTTPS-Ports ein und aktivieren immer HSTS, damit auch wirklich nur HTTPS genutzt wird.

anwendungen.png

Für DSM:

dsm-einstellung.png

Für alle anderen Anwendungen, in diesem Beispiel den Passwortmanager von Bitwarden/Vaultwarden:
Systemsteuerung -> Anmeldeportal -> Erweitert -> Reverse Proxy -> Erstellen

reverse-einzeln.png

Erscheint dann in der Aufzählung so:

reverse.png


Damit weisen wir die Subdomain der Anwendung zu. Jetzt kann der Port 80 in der Fritzbox deaktiviert werden. Offen ist nur noch die 443 für gesicherte Verbindungen. Die Anmeldung in den Apps für Mobilgeräte funktioniert ebenfalls über die Subdomain statt der Quickconnect-Adresse.


Wenn ich irgendwas übersehen oder vergessen haben sollte, gern Bescheid geben.
Falls es nicht gleich funktioniert: Strato gibt bei jeder Änderung den Hinweis, dass es bis zu 24 Stunden dauern kann, bis Umleitungen etc. übernommen werden. Zur Not einfach eine Nacht drüber schlafen und dann nochmal schauen, ob alles geklappt hat. Vielleicht erspart die Anleitung dem einen oder anderen etwas Zeit.
 
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Cool. Danke für die Infos. Man muss nur bedenken, dass wenn man das mit IPv6 machen will, muss das Update die DS und nicht der Router machen, da bei IPv6 jedes Gerät eine eigene IPv6 Adresse nach extern hat
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Also mir wäre das viel zu viele Zertifikate/Subdomains. Außerdem sieht doch jeder dem Zertifikat schon an, was es sonst noch so gibt.
Wildcard-Domain/-Zertifikate finde ich irgendwie schöner.

Ich habe inzwischen viel bei ipv64.net als Zwischendomain und frühstücke IPv6 über Suffix-Updates ab. Da man in seiner Haupt-Domain (bei mir netcup) mit CNAMEs arbeiten und hat nur ein Zertifikat für alles.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Allgeimein sehr schön zusammengefasst. Aber eines möchte ich bitte korrigieren sonst entsteht bei vielen der falsche Eindruck über die tatsächlche Funktionsweise.

Als erstes wollen wir, dass Strato unsere Domain an unsere Fritzbox weiterleitet. Dafür aktiviert man DynDNS:
Strato leitet nicht unsere Domain an unsere Fritzbox weiter.

Der Domain-Name-Registrar in dem Fall Strato bekommt von uns die Information mit welcher IP Adresse unsere Domain verknüpft werden soll. Strato wird daraufhin unsere Domain mit der von uns gemeldeten IP Adresse an einen DNS Server übermitteln damit die Domain mit der von uns gemeldeten IP Adresse verknüpft ist.
Somit werden Anfragen zu einer Domain über den Domain Name Server (DNS) aufgelöst und man erhält die dazugehörige IP Adresse übermittelt mit welcher dann der Verbindungsaufbau zum Server eingeleitet wird.

Bitte streicht das aus euren Köpfen, dass ein Domain-Name-Registrar wie Strato unsere Domain bei Anfragen an unsere Fritzbox weiterleitet.
 
  • Like
Reaktionen: Bastelkollege

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Wenn du für jeden Dienst ein Zertifikat bei LE beantragst, dann wirst du viele Besucher haben. Die Domains die bei LE ein Zertifikat beantragt haben sind nämlich öffentlich (siehe hier und hier). Daher ist es keine so gute Idee alle Zertifikate einzeln abzurufen. Mit einem Wildcard Zertifikat weiß man immer noch nicht welche Subdomains existieren. Vor allem solche Listen werden einfach von Bots durchgegangen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
@luddi, verstehe ich ja, aber was machst du, wenn hinter deiner Fritzbox sagen wir mal 5 Geräte hängen, alle mit Portweiterleitungen erreichbar über die die externe IPv4 der Fritzbox, und über Portfreigaben für IPv6 mit jeweils ihrer eigenen IPv6?
Da finde ich die Idee mit einer Zwischendomain, die sich erstmal um die ganzen Namensauflösungen kümmert, ganz gut.

Edit: Man hat dann ein Zertifikat für example.com und *.example.com und landet dann, je nach Konfiguration irgendwo.
 
Zuletzt bearbeitet:

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
@Benares Ich wollte keinesfalls irgendein Konzept mit einer oder mehreren Geräten hinter einer Fritz!Box und Zertifikaten ansprechen oder hinterfragen. Mir persönlich ging es nur darum die Funktionsweise der Auflösung der Domain über einen DNS-Server richtigzustellen. Damit sollte nur gesagt werden, dass nicht Strato die Domain an unsere Fritz!Box (IP-Adresse) weiterleitet.
Jede Anfrage über eine Domain wird über einen DNS-Server erfolgen, um eine zugehörige IP-Adresse zu erhalten.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Wenn du für jeden Dienst ein Zertifikat bei LE beantragst, dann wirst du viele Besucher haben. Die Domains die bei LE ein Zertifikat beantragt haben sind nämlich öffentlich (siehe hier und hier). Daher ist es keine so gute Idee alle Zertifikate einzeln abzurufen. ..............
Vollkommen irrelevant, weil ich immer zu jeder Domain öffentlich abfragen kann, welche Subs es dazu gibt. Das geht schneller als über LE.
Das ist also definitiv KEIN Sicherheitsrisiko.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Ich weiß nicht wieso mir das Forum deinen Beitrag anzeigt....aber ich antworte mal....

Wenn du aber nur *.example.de als Subdomain hast, dann viel Spaß beim abfragen. Dann bringt dir diese Liste eben doch was.

Edit: und komisch, dass Fail2Ban mir genau diese Domains angezeigt hat, als ich mal paar mehr Zertifikate hatte. Die Subdomain existierten nicht als DNS Record...
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.946
Punkte für Reaktionen
777
Punkte
134
Ich habe inzwischen viel bei ipv64.net als Zwischendomain und frühstücke IPv6 über Suffix-Updates ab. Da man in seiner Haupt-Domain (bei mir netcup) mit CNAMEs arbeiten und hat nur ein Zertifikat für alles.
Das klingt interessant. Kannst du das vielleicht mal näher beschreiben, gerne auch als pm?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Das ist relativ einfach. Man besorgt sich eine kostenlose (Sub-)Domain bei ipv64.net und aktualisiert diese über die Fritzbox ganz normal z.B. mit
Code:
https://ipv64.net/update.php?key=[key]&domain=example.ipv64.net&ip=<ipaddr>&ip6=<ip6addr>&ipv6prefix=<ip6lanprefix>
Den [Key] bekommt dort. Dann hat man schonmal einen (auf Wunsch Wildcard-)DNS-Namen für die IPv4 und IPv6 seiner Fritzbox.

Für weitere Geräte legt man dann weitere AAAA-Records an, z.B. "ds1522" mit dem Ziel "::<InterfaceID>" also z.B. "::9209:d0ff:fe19:xyzz", die ja immer fest ist. Bei der Namensauflösung von ds1522.example.ipv64.net baut der DNS-Server dann die vollständige IPv6 aus LAN-Prefix und InterfaceID zusammen.

Diese ganzen Namen kann man dann in seiner Hauptdomäne auf Wunsch als CNAMEs nutzen und muss dort mit DynDNS & Co gar nichts machen.
 
  • Like
Reaktionen: Kachelkaiser

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.946
Punkte für Reaktionen
777
Punkte
134
Danke sehr. Das teste ich mal aus. Mir fehlt bisher der IPv6- Eintrag für meine DS.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Bei MyFritz geht so was ähnliches übrigens auch, falls du MyFritz im Einsatz hast, aber nur in Verbindung mit einer MyFritz-IPv6-Portfreigabe anstatt der normalen Portfreigabe. Dann würde die IPv6 deiner DS auch registriert und über ds.<MyFritzID>.myfritz.net DNS-auflösbar.
 
  • Like
Reaktionen: Kachelkaiser

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.946
Punkte für Reaktionen
777
Punkte
134
ok interessant. Muss ich mal sehen, wie ich das am besten machen kann.
 

monline

Benutzer
Mitglied seit
02. Apr 2019
Beiträge
68
Punkte für Reaktionen
2
Punkte
8
Vielen Dank für die Anleitung!
Ich habe auch eine Strato-Domain mit DynDNS ohne Subdomains. In der Domainverwaltung steht bei mir allerdings "Umleitung Intern"; was ist der Unterschied zum Screenshot aus #1 ("Umleitung extern")?
Hängt es mit den fehlenden Suddomains zusammen?
Und wie hoch ist der Sicherheitsvorteil, dass Port 5001 im Router nicht mehr weitergeleitet wird aber DSM trotzdem über die Subdomain-Adresse im Internet aufgerufen werden kann, wenn ich das fragen darf.
 

Bastelkollege

Benutzer
Mitglied seit
04. Jan 2024
Beiträge
15
Punkte für Reaktionen
9
Punkte
53
Und wie hoch ist der Sicherheitsvorteil, dass Port 5001 im Router nicht mehr weitergeleitet wird aber DSM trotzdem über die Subdomain-Adresse im Internet aufgerufen werden kann, wenn ich das fragen darf.
Kann ich dir nicht genau sagen, aber bisher habe ich genau null Anmeldeversuche von irgendwem, der da nicht hingehört. Scheint momentan also so, als wäre das insgesamt ganz sinnvoll.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Der Vorteil des Weges über Subdomains und den Reverse Proxy ist halt, dass man nach außen nur einen Port (443) öffnen muss und trotzdem intern mehrere Apps ansprechen kann. Der Reverse-Proxy verteilt das anhand des angesprochenen Namens weiter. Ein Angreifer mit Portscanner sieht am offenen Port 443 eigentlich nur, dass da wohl ein Webserver läuft, aber nicht mehr. Bei offenem Port 5001 weiß er sofort, dass es wohl eine Diskstation ist.
Ich würde Port 5001 niemals in Internet stellen.
 

monline

Benutzer
Mitglied seit
02. Apr 2019
Beiträge
68
Punkte für Reaktionen
2
Punkte
8
Danke für die Erklärung, habe ich verstanden. Sind im Anwendungsportal die Angaben für die alternativen Ports notwendig (7001, 10003 usw.), wenn für die Anwendungen die jeweilige Subdomain definiert ist? Danke.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Ich denke schon, weiß es aber nicht sicher, denn im Hintergrund entsteht ja da auch ein Reverse-Proxy-Konfiguration für z.B.
https://file.example.com[:443] -> https://localhost:7001
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat