Subdomains mit DynDNS

[Fusion]

@appel2000 - nein.
meinedomain.de oder http://meinedomain.de oder eine Subdomain sub.meinedomain.de oder http://sub.meinedomain.de landen alle auf Port 80 im Standard.
Wenn du verschlüsselt verbinden willst MUSST du https:// vorne ansetzen, IMMER.
Dein Vorschlag mit 80 -> 443 weiterleitung funktioniert auch nicht, da der Aufruf meinedomain.de im Hintergrund praktisch auf http://meinedomain.de lautet, er versucht also unverschlüsselt bei einem verschlüsselnden Dienst auf 443 auf der DS zu landen.

Für solche Ansprüche gibt es dann HSTS oder Umleitung per .htaccess bzw nginx Directive. HSTS teilt dem anfragenden Browser mit, dass nur auf https Kommunikation gewünscht ist. Fragt der browser also z.B. sub.meinedomain.de (port 80 muss trotzdem offen sein, auch wenn dort keine Verbindungen zu Stande kommen am Ende) an, dann sagt die DS, ne ne bitte via https anfragen. Der Browser wiederholt dann seine Anfrage automatisch mit https://sub.meinedomain.de
Willst du auf anderen Ports als 80/443 zugreifen müssen diese immer angegeben werden.
Bei einer Umleitung via .htaccess oder nginx-Directive läuft es ein wenig anders. Die Anfrage kommt z.B. auch via http rein, der Server sagt dann, moment ich leite dich weiter, bitte schalte dafür auf https um. Das Resultat ist am Ende dasselbe, du landest automatisch auf https://(sub.)meinedomain.de


Das mit deiner Umleitung geht einfacher.
Die Photo Station läuft ja normal schon auf 80/443
Du machst also eine Subdomain photo.meinedomain.de und stellt dort dynDNS aktiv (dein Router oder deine DS müssen natürlich immer dafür sorgen, dass die aktuelle IP an Strato gemeldet wird)
Auf der DS gibt es dann mehrere Möglichkeiten.
In der Photo Station stellst du auf jeden Fall mal photo.meinedomain.de als Hostname ein.
Jetzt ist die Photo Station ja ein Sonderfall unter den Stations. Bin mir gerade nicht sicher (und kann es frühestens morgen testen), ob der Hosteintrag schon reicht, oder ob man noch einen Reverse Proxy definieren muss.
Bei den anderen hätte ich jetzt einfach unter Systemsteuerung > Anwendungsportal bei dem Dienst eine benutzerdefinierte Domain eingetragen.

 

[appel2000]

Guten Morgen!
Danke für die ausführliche Erklärung!

Nochmal zur Umleitung:

Ich kann doch gar nicht mehrere dynDNS Adressen verwenden.
Ich habe doch nur EINMAL eine dynDNS, die sagt, meinedomain.de ist unter der ip 0815.4711 zu erreichen.

Wenn ich dann also diese dynDNS mit der photo.meinedomain.de verknüpfe, dann kann das ja klappen.
aber ich möchte ja mehrere subdomains nutzen......wie soll ich dann das der technik beibringen...

Ich hoffe es ist verständlich was ich versuche zu erklären.....

 

[Fusion]

Also meinedomain.de bei Strato, gehst auf Verwalten und sagst subdomain anlegen.
Das machst dann für photo.meinedomain.de, video.meinedomain.de, dienstX.meinedomain.de ...
Danach gehst du auf die Subdomain unter Verwalten und schaust dir die DNS Einstellungen an.
Dort gibt es dnyDNS und das setzt du auf aktiv.
Den Link dazu hatte ich dir ja schon geposted https://www.strato.de/faq/article/671/So-einfach-richten-Sie-DynDNS-für-Ihre-Domains-ein.html
Das kannst du für JEDE Subdoman machen.

Das Resultat ist dann
photo.meinedomain.de > 80.81.01.02
video.meinedomain.de > 80.81.01.02
DienstX.meinedomain.de > 80.81.01.02
usw

Es können beliebig viele Namen auf eine IP zeigen. Du musst eben nur für jede Subdomain dynDNS aktivieren und auch für jede Subdomain im dynDNS Updater (auf der DS, weil die im Router meist auf einen Eintrag beschränkt sind) einen Eintrag hinterlegen.

Das geht natürlich nicht, wenn du meinedomain.de selber schon auf dynDNS gesetzt hast, weil dann keine DNS Verwaltung mehr für Subdomains existiert bei Strato.
Was ich immer mal testen wollte ist, ob Strato dann Wildcards setzt und subdomain.meinedomain.de trotzdem an die dynDNS IP umgeleitet wird. Nur dann würde es so auch funktionieren.
Ich probier das mal Richtung Wochenende zu testen.
Was aber auf jeden Fall funktioniert ist der oben beschriebene Weg für jede Subdomain dynDNS aktiv zu schalten.

 

[appel2000]

Ich glaube so wird ein Schuh draus!
Ich nutze also die DS um die dynDNS zum updaten.....,
Fritzbox kann das nömlich nur mit einer Adresse!

Super, werde ich heute mal testen und berichten!

Danke!

 

[appel2000]

Nabend Allerseits!

Habe getestet...eins vorneweg....kam nicht wirklich weiter.

Folgende Schritte durchgeführt:

1.) Bei Strato diverse Subdomains eingerichtet, und jeweils die dynDNS Funktion der Subs aktiviert.

2.) In der DS, Unterpunkt externe Zugriff->DDNS den Updater eingerichtet.
Kann Strato als Anbieter aus der Liste auswählen, Zugangsdaten eingeben, verbindet. Alles gut für die erste Subdomain.
3.) Scheinbar kann man aber nur einen Anbieter einmal auswählen, denn für die nächste Subdomain tauchte Strato in der Auswahlliste nicht mehr auf.

4.) Im Reiter DDNS auf anpassen geklickt, und versucht, einen weiteren Strato Zugang "anzulegen", nennen wir ihn mal Strato_Photo
Query URL: https://dyndns.strato.com/nic/update (von der Homepage/Hilfe von Strato, oben bereits verlinkt)

5.) Strato_Photo aus der Liste ausgewählt, die passenden Zugangsdaten der Sub Photo.meinedomain.de eingetragen --->Fehler bei der Serververbindung.

Das also zu diesem Punkt.....was läuft da falsch?

Geht aber noch weiter

6.) Diskstation Anwendungsportal, Audio Station:
Bearbeiten:
Alias: aktiviert --> audio
Ports: http---> 8800, https-->8801
benutzerdefinierte Domain: audio.meinedomain.de ---> Fehlermeldung, würde schon existieren (Meine Subdomain bei Strato oder was?)

7.) 8800 und 8801 in der Fritzbox freigeschaltet

8.) Im Browser -> audio.wunschdomain.de --> Fehler, Verbidnung unterbrochen
audio.wunschdomain.de:8800 --> funktioniert
audio.wunschdomain.de:8801 ---> funktioniert nicht, er mosert das ich mittels http bei https angefragt habe.....


Eigentlich möchte ich doch "nur" 2 Sachen.....

a) ... meine Dienste über die jeweilige Subdomain erreichen
b) ... aus Gründen der Benutzerfreundlichkeit auf die Eingabe von https verzichten und trotzdem eine sichere Verbindung bekommen......

Also entweder bin ich ganz weit weg oder ich seh den Wald vor lauter Bäumen nicht.......

Würe mich sehr freuen, wenn mich einer von Euch erleuchten könnte....

Danke!

 

[Fusion]

Zu DDNS. Dann mußt du wohl auf den DDNS Updater 2 ausweichen, der kann das. Dafür mußt du im Paketzentrum > Einstellungen > Paketquellen den Community Package Hub http://www.cphub.net/ hinzufügen.
Nach einer Aktualisierung sollte der DDNS Updater 2 unter der Rubrik Community zu finden und zu installieren sein.

Zu den Ports, das wiederhole ich jetzt nicht nochmal. Aber hier einmal in Bildern am Beispiel der File Station.


Einzige Voraussetzung ist jetzt, dass die customized Domain im DNS System auf die IP deines Routers zeigt und dass Port 80/443 an die DS weitergeleitet ist.
Du kannst dann via file.domain.tld oder https://file.domain.tld oder http://file.domain.tld zugreifen und wirst automatisch immer auf https://file.domain.tld umgeleitet.
Habe es bei mir gerade nochmal getestet. Beim Register Reverse Proxy sind keine Einstellungen zu treffen, einfach leer lassen.
Wenn du die customized ports verwendest, dann führt kein Weg an der Eingabe von z.B. :8801 vorbei.
Die vier Optionen in dem Bild funktionieren alle parallel, deshalb habe ich nur eine Option gewählt (die für dich passend ist)

Den Fehler mit "existiert schon" kann ich mir nur erklären, wenn du wirklich irgendwo auf der DS schon einmal die audio.meinedomain.de irgendwo eingetragen hast.

 

[appel2000]

Moin,

also das Thema sprengt meinen Rahmen....

Strato eingerichtet


DDNS Updater läuft


Fritzbox eingestellt


und im Anwendungsportal auch wie angezeigt


Es klappt einfach nicht....

Noch jemand Ideen?
Fusion?

Danke Euch!

 

[TACiboy]

Hast du deine DS Firewall geprüft, ob 80 und 443 auch freigegeben sind?
Dann solltest du auch mal deine FritzBox prüfen. Die hört selbst auf Port 443,und leitet ihn nicht automatisch weiter. Schau dir den Artikel mal an: https://thomas-leister.de/fritzbox-leitet-anfragen-auf-https-port-nicht-weiter/

Und noch was: du musst nicht jede Subdomain per DynDNS aktualisieren. Es reicht eine einzelne Subdomain per DynDNS und alle anderen Sub's kannst du per CNAME DNS Eintrag auf deine DynDNS Subdomain ummappen (CNAME findest du bei Strato unter den DNS Einstellungen)

 

[Fusion]

Hast recht Fritzbox Port kann noch reinhauen, hatte ich nicht mehr dran gedacht. Allerdings dachte ich die Fritte meckert rum, wenn sie den selbst noch belegt hat und man versucht ihn weiter zu leiten.

Subdomains alle per dyn oder ein per dyn und Rest mit CNAME. Ja , geht beides.

@appel2000 - danke für die Bilder. "Es klappt einfach nicht..." das sagt mir gar nix, was soll man darauf antworten? Bitte Fehlermeldungen etc. die man auswerten kann.
Aus deinen Bildern:
Dind bei den Domains in der Übersicht bei Strato inzwischen die IPs aufgetaucht? Zumindest bei file. war noch kein A-Record in der Übersicht zu sehen.
Bei audio und photo waren zudem zwei verschiedene IPs (26 und 174) zu sehen. Welches ist denn die aktuelle öffentliche IP der Fritzbox? Nur der Eintrag kann funktionieren.

 

[appel2000]

Hallo Zusammen!

Ich weiss nicht warum, aber es klappt....
Manchmal sollte man die Sachen vielleicht einfach mal ruhen lassen....

Ich habe nichts geändert im Vergleich zu meinen Screenshots, aber es läuft..
genau so wie es sollte....

Evtl. hat Strato und die DS einfach mal ein bisschne Zeit gebraucht um sich zu finden....keine Ahnung!

@ Fusion:
ehemalige Fehlermeldungen: Verbindung fehlgeschlagen
die IPs bei Strato sind jetzt alle gleich, evtl. war das alles ein bisschen verwirrt

Eine Bitte habe ich aber trotzdem noch:

Filestation klappt
Audiostation ebenfalls
Was nicht klappt ist die Photostation, Verbding schlägt fehl....
Was muss ich denn da einstellen? Weil die PS ist ja der Exot unter den Diensten...

Und was genau hat es mit der Thematik CNAME auf sich?
Ich meine es läuft ja jetzt im Prinzip, aber lernen würde ich trotzdem gerne etwas

Danke Euch!!!

 

[Fusion]

CNAME, canonical name bzeichnet gleichwertige Hostnamen. Zeigt host1.domain.de per CNAME auf host2.domain.de dann wird der Browser bei einer Anfrage auf host1 die IP die sich hinter host2 verbirgt für die Verbindung benutzen. Praktisch wie ein Alias
https://de.wikipedia.org/wiki/CNAME_Resource_Record

 

[appel2000]

Also in der Praxis:

meinedomain.de wird mittels dynDNS weitergeleitet.
alle meine Subdomains leite ich mittels CNAME auf meinedomain.de um
ich muss dann nur meinedomain.de in der DS oder der Fritzbox einbinden und kann aber alle meine Subdomains nutzen.

Richtig verstanden?!

 

[TACiboy]

Genau so!!

 

[appel2000]

Sind aber beides Wege zum gleichen Ziel.
Das eine ein bisschen mehr, das andere ein bisschen weniger Aufwand, oder?

Jemand noch Tipps für die Photostation?

 

[Paulihh1910]

Moin Moin,

Ich habe mir am Samstag diesen Thread schon einmal durchgelesen und dachte nur "WOW!".

Also man kann sich das Leben auch ziemlich unnötig gestalten.
Willst du eine Unverschlüsselte Verbindung mit deiner PhotoStation auf deiner Domain erreichen dann einfach Http://deine-Domain.de/photo der zusatz /photo sorgt dafür das auf der DS der passende port für die Photostation angesprochen wird.
Audiostation, Filestation und Videostation können unter Systemsteuerung -> Anwendungsportal direkt Aliasse vergeben werden es gibt dort sogar die Möglichkeit eine eigen Domain anzugeben.


Verschlüsselt halt mit angabe von Https und dem Port https://deine-Domain.de:8001 für die Audiostaiton als Standard


So das ganze geht natürlich auch ziemlich komplizierter wenn man das möchte.

für die Menschen die dazu auch noch Tippfaul sind und immer die Ports vergessen hier nun eine sehr umständliche Lösung


Erstellen einer Third level Domain (oder eben Sub domain). "Audio.deine-Domain.de"
erstellen einer 2ten Sub domain "a.deine-domain.de"
erstellen eines DynDns eintrages auf "a.deine-domain.de"
erstellen einer Umleitung von "audio.deine-domain.de" nach "https://a.deine-domain.de:8001"

das setup funktioniert du benötigst nur " thirdleveldomains (subdomains) dafür.
ich benutz immer A-Record weil das als Standard vorgabe definiert ist bei Selfhost.
Aber das sollte auch mit CNAME'S funktionieren.

 

[Fusion]

@Paulihh1910 - und was schreibst du uns jetzt neues?
Steht doch alles schon da, und dass der Zugriff ohne Portangabe erfolgen soll ebenfalls.
Und dass es dienst.meinedomain.tld und nicht meinedomain.tld/dienst sein sollte auch.
Wobei ich zugeben muss, dass ich diesmal stillschweigend davon ausgegangen bin, dass dem TE diese Mögleichkeit bekannt war (/Alias), spätestens im Verlauf des Threads.

 

[Paulihh1910]

Und dass es dienst.meinedomain.tld und nicht meinedomain.tld/dienst sein sollte auch.
Wobei ich zugeben muss, dass ich diesmal stillschweigend davon ausgegangen bin, dass dem TE diese Mögleichkeit bekannt war (/Alias), spätestens im Verlauf des Threads.

Es wurde noch nach einer Lösung mit der Photostation gefragt.
Diese habe ich niedergeschrieben mit dem bsp. an der Audiostation.
Dies ist dann per Umleitung möglich.
eine Verschlüsselt Verbindung zur Photstation ist mir nicht bekannt.
Und das dem TE die Möglichkeit mit (/photo) bekannt ist ist aus diesen Thread leider nicht hervorgegangen.

dennoch die Lösung mit der Umleitung funktioniert und ist was gewünscht worden ist.

 

[Fusion]

Ah, ok, so ergibt es einen Schuh. War nicht bös gemeint.

Aber wieso soll das mit https nicht funktionieren?
Zumindest unter DSM 5.2 geht bei mir https://sub.domain.de/photo, wenn sub.domain.de der Hostname ist, der unter Systemsteuerung > Externer Zugriff eingetragen ist und als Hostname in den Einstellungen der PS selbst.
DSM 6 hab ich grad nicht angeschaltet.

Bezüglich Umleitung. Ja, http-redirect geht auch auf ein Ziel mit Port. Allerdings ändert sich dort beim Aufruf die URL im Browser und das Zertifikat muss auf das Ziel a.meinedomain.de ausgestellt sein und der Port muss offen sein.
Wenn man CNAME benutzt kann das Zertifikat auf dienst.meinedomain.de lauten und das bleibt auch oben in der URL stehen. Zudem muss nur Port 80/443 offen sein, wenn man benutzerdefinierte Domains im Anwendungsportal einsetzt oder einen Reverse Proxy Eintrag.

 

[Paulihh1910]

Ah, ok, so ergibt es einen Schuh. War nicht bös gemeint.

Hmm. Von mir auch nicht. Aber um ehrlich zu sein bei geht heut der ganze Tag den Bach runter. ILO updates die nicht laufen weil der Browser eine zu neu Version hat und so weiter und so fort.

Aber wieso soll das mit https nicht funktionieren?
Zumindest unter DSM 5.2 geht bei mir https://sub.domain.de/photo, wenn sub.domain.de der Hostname ist, der unter Systemsteuerung > Externer Zugriff eingetragen ist und als Hostname in den Einstellungen der PS selbst.
DSM 6 hab ich grad nicht angeschaltet.

OK. wusste ich nicht. Nie getestet. Wahrscheinlich einfach falsch ausgedrückt. Mit "ist mir nicht bekannt" war einfach "ich hab keine Ahnung obs geht gemeint".

Bezüglich Umleitung. Ja, http-redirect geht auch auf ein Ziel mit Port. Allerdings ändert sich dort beim Aufruf die URL im Browser und das Zertifikat muss auf das Ziel a.meinedomain.de ausgestellt sein und der Port muss offen sein.
Wenn man CNAME benutzt kann das Zertifikat auf dienst.meinedomain.de lauten und das bleibt auch oben in der URL stehen. Zudem muss nur Port 80/443 offen sein, wenn man benutzerdefinierte Domains im Anwendungsportal einsetzt oder einen Reverse Proxy Eintrag.

OK NEUES KONZEPT.

Erstellen einer Domain "deine-domain.de"
Erstellen einer Third level Domain (oder eben Sub domain). "Audio.deine-Domain.de"
erstellen eines DynDns eintrages auf "deine-domain.de"
erstellen einer Umleitung von "audio.deine-domain.de" nach "https://deine-domain.de:8001"

Damit brauchst auch wieder nur ein Zertifikat weil du auf die Hauptseite verweist und kannst dein SSL Zertifikat weiter verwenden ohne ein neues nutzen zu müssen.

damit fällt der Reverse Proxy halt weg aber du musst eben die Ports dafür öffnen.

Eigentlich ist deine Methode sinnvoller aber weil sie weniger Angriffsmöglichkeiten bietet.
Dafür ist meine Methode ziemlich simpel.
Wenn hier schon über port 80/443 philosophiert wird ob man den mit angeben muss. Dann halte ich simple Lösungen für besser. Ausserdem sollte man wenn es geht eh nie die Standard Ports benutzen sondern Lieber benutzerdefiniert.

Egal!
Ich habe nur versucht zu helfen und NICHT irgendwelchen Streit vom Zaun zu brechen.

 

[Fusion]

Dann wünsche ich dir wenigstens einen hoffentlich angenehmen Feierabend nachher.

Touché, so sollte sich das Zertifikatsproblem mit Umleitung lösen lassen.

Das ist ja hier eine Diskussion und kein Streit. Ich bin nur etwas vorsichtig geworden bei reiner Text-Kommunikation. Mimik, Gestik und Tonfall sind wahrlich nicht zu unterschätzen.
Ich finde es gut andere Sichtweisen zu lesen, das hilft bei der Reflexion.
Und es spiegelt auch ein wenig den Grad an Komplexität und der Anzahl Lösungswege wieder mit der man heutzutage an einer Syno schraubt.