Subdomains mit DynDNS

Status
Für weitere Antworten geschlossen.

deb10042

Benutzer
Mitglied seit
07. Mrz 2011
Beiträge
243
Punkte für Reaktionen
22
Punkte
18
Ja, Zertifikat mit allen anderen sub-Domains funktioniert und ich kann sie auch aufrufen, ohne Fehlermeldungen zu erhalten.

Vielleicht habe ich noch nicht richtig beschrieben, was ich noch nicht verstanden habe...ich versuch's nochmal:

Wenn wir z.B. über die Audio Station sprechen, dann
- ist diese in meinem Strato via CNAME auf "Domäne.de" eingestellt
- bei Aufruf gibt es im DSM unter Anwendungsportal > Anwendung einen zugehörigen Eintrag, der der DS sagt, dass "audio.Domain.de" = Audio Station
- im Zertifikat ist die Audio Station auch eingetragen
-> funktioniert

Wenn ich mir das gleiche für den Aufruf des DSM überlege
- in meinem Strato ist DSM aös "xyz-01.Domäne.de" via CNAME auf "Domäne.de" eingestellt
- bei Aufruf muss es doch nun im DSM auch irgendwo einen Eintrag geben, der der DS sagt, dass "xyz-01.Domain.de" = DSM-Oberfläche
-> das fehlt mir irgendwie und dadurch kann ich offenbar natürlich auch "xyz-01.Domäne.de" nicht im Zertifikat eingetragen, weil der Aufruf nicht erfolgreich ist

Besser erklärt?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.169
Punkte für Reaktionen
920
Punkte
424
xyz.domain.de gehört unter Systemsteuerung > Netzwerk > DSM Einstellungen > Benutzerdefinierte Domain. Aber da hattest du das meines Wissens doch schon drin stehen, oder nicht?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.169
Punkte für Reaktionen
920
Punkte
424
Aber vielleicht liegt das Problem auch mal wieder bei der Konstellation mit den zwei Webservern (Web/Photo Station laufen auf einem zweiten webserver) auf der DS. Da bekomme ich auch jedesmal Knoten im Gehirn.

Benutzerdefinierte DSM Domain.
Dann antwortet zwar der DSM unter dsm.domain.de, aber dsm.domain.de/photo funktioniert nicht, da dies der falsche Webserver ist.
Die ganzen Stations laufen aber auch auf demselben, deshalb funktioniert audio.domain.de etc.

Müsste ich bei Gelegenheit nochmal die ganzen dyn/redirects anschauen und sehen, ob da nicht doch vielleicht eine Umleitung so nicht funktioniert wie sie gerade eingetragen ist bei dir.
 

deb10042

Benutzer
Mitglied seit
07. Mrz 2011
Beiträge
243
Punkte für Reaktionen
22
Punkte
18
Ich begreif's echt nicht...
Hier nochmal, wie ich es jetzt drin habe und was passiert. Überall, wo zwei farbige Kästchen nebeneinander zu sehen sind, steht darunter "xyz-01.Domäne.de"::

Fritzbox
Fritz.jpg

Strato
Strato.png

DSM
DSM-Einst.png

Aufruf URL (hier nur Platzhalter)
Browser1.png

Browser nach Aufruf
Browser2.jpg
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.169
Punkte für Reaktionen
920
Punkte
424
Aber das ist doch normal. Wenn der Browser https:// xyz-01.domain.de aufrufen will und dort kein Zertifikat mit dem Namen kommt, dann gibt es diese Warnung. Du kannst ja unter Weitere Informationen oder irgendwo (kenne mich beim IE nicht so aus) nachschauen, welches Zertifikat er vom Server angeboten bekommen hat.
 

deb10042

Benutzer
Mitglied seit
07. Mrz 2011
Beiträge
243
Punkte für Reaktionen
22
Punkte
18
Keine Ahnung, warum es so ist, aber es ist mir beim "Rumprobieren" auf einmal gelungen, ein zusätzliches Zertifikat einzustellen, bei dem unter "Betreff Alternativer Name" jetzt "xyz-01.Domäne.de" (und automatisch zusätzlich auch "Domäne.de") drin ist. Ich habe dann in der Konfiguration alle Stations auf das ursprüngliche Zertifikat und den Rest (Standard, WebDAV...) auf das neue Zertifikat gestellt.
Damit funktionieren jetzt auch die Zugriffe auf die Stations.

Komisch ist nur:
Anschließend wollte ich ein "Sammel-Zertifikat" erstellen, in dem alle Einträge, inkl. "xyz-01.Domäne.de" drin stehen, aber sobald ich diese Sub dazu nehme, erhalte ich immer eine Fehlermeldung. Blöderweise habe ich nun also zwei verschiedene Zertifikate konfiguriert, die sich nicht zu einem zusammenfassen lassen. Grrrrr

Egal wie, damit bin ich wenigstens einen guten Schritt weiter gekommen, da die Aufrufe der "normalen" Stations jetzt gesichert erfolgen können.

Jetzt kommt noch der dicke Brocken "Photo Station". Bei dem scheitere ich derzeit immer noch mit allem, was ich mache.
Sämtliche Umleitungs-Einträge bei Strato funktionieren hierfür nicht. Sobald ich die Subdomain, also z.B. "foto.Domäne.de" eingebe, setzt der Browser einzig und allein ein "https://" davor und das war's - "Die Seite kann nicht angezeigt werden".
Dabei scheint mir, dass es ganz egal ist, was man in der Photostation als Hostname im Bereich Router-Port einträgt.

@Fusion
Auf alle Fälle mal ein ganz DICKES DANKESCHÖN bis hierher an Dich!!! Ohne Deine Hilfe wäre ich erst gar nicht so weit gekommen! Hoffentlich gibst Du (oder andere) mir auch für die Photostation noch gute Ratschläge!?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Habs nur kurz überflogen und vermutlich wird wieder irgendwer rumstänkern, habe aber keine Zeit das nun alles nochmal zu lesen, daher: sei's drum:

<nasname>.domain.tld / DynDNS

Wildcard-DNS-Eintrag setzen:

*.domain.tld (oder mit Subdomain *.home.domain.tld) ---(CNAME)--> <name>.dyndnsdomain.tld

damit werden schon alle Anfragen weiter an die DynDNS-Adresse weiterleitet und somit eben zum Heimnetzwerk/NAS. Ab da sortiert der Webserver anhand der vHost-Einträge (photo... video...usw.... s. DSM) dann schon richtig weiter.

Was die Zertifikate angeht, natürlich wäre dann (als Beispiel "DSM") sowohl unter <name>.dyndnsdomain.tld:5001 erreichbar, als auch unter <nasname>.domain.tld:5001, allerdings gibt es einen entsprechenden Fehler, wenn die genutzte URL nicht zur angegebenen Namen im Zertifikat passt.

Beispiel: Zertifikat läuft auf <nasname>.domain.tld:

<name>.dyndnsdomain.tld:5001 -> Zertifikatsfehler
<nasname>.domain.tld:5001 -> Kein Fehler

Ist beides das gleiche, wird nur anders angesprochen... da der Name beim ersten Beispiel nicht passt, wird entsprechend der Fehler generiert.

Als Alternative zu dem ganzen Gemurkse hier sei noch das "Wildcard-Zertifikat" genannt, welches direkt alle Subdomains einer Domain abdecken kann ("*.domain.tld"), allerdings wird das ein eher teurer Spass und da ist dann auch nichts mehr mit kostenlosem let's encrypt.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.169
Punkte für Reaktionen
920
Punkte
424
Rumstänkern hatte ich nicht vor, aber so passiv aggressive Erwartungsäußerungen wie "vermutlich wird wieder irgendwer rumstänkern" würde ich mir sparen. Darfst mir gerne auch vorhalten, wenn ich mich so ausdrücke.
Danke für dein Beitrag @blurrrr.

Ein Wildcard CNAME für *.domain.tld läßt sich bei Strato im Domain Tarif leider nicht einrichten.
Hast du vielleicht für die Photo Station passende nginx conf Edits parat?

@deb10042 - an verschiedenen Domainnamen kann es nicht liegen, das hatte ich auch schon. Hast du vielleicht mehr als 10 oder so im Auftrag? Ich weiß die genauen Zahlen nicht mehr, aber LE begrenzt auch die Zertifikate pro email-Adresse und pro Tag etc. Müsste man dort nochmal nachschauen.
Was stört dich an mehreren Zertifikaten, kann man unter Konfigurieren doch flexibel zuweisen?

Die Photo Station ist leider ein Spezialfall, da sie wie die Web Station auf einem webserver läuft, während die anderen Stations und der DSM auf dem zweiten webserver laufen.
Die Domain/Hostname den du in der Photo Station selber angibst nimmt er z.B. für die URL, wenn du die Photo Station aus dem DSM Menü heraus aufrufst. Nach einer Änderung musst du dich einmal vom DSM ab/anmelden.
Wenn dann der Hostname photo.domain.de
Ein funktionierender und schöner Weg via GUI ist mir nicht bekannt.
Wenn ich photo.domain.de bei Strato auf sub.domain.de/photo per http-extern umleite (das ist mein dynDNS Einträg, jedoch nicht identisch mit der Domain die ich aktuell bei DSM und den Stations einsetze) komme ich mit Cert auf die Photo Station aber halt mit sub.domain.de/photo in der URL Anzeige, während die anderen station.domain2.de sind.
Wenn ich photo.domain.de auf photo.domain2.de/photo umleite (*.domain2.de ist ein Wildcard CNAME der ebenfalls auf mein dynDNS zeigt) klappt es ebenfalls, aber mit Cert Warnung, weil dieses auf sub.domain.de lautet (weil sub.domain.de als default cert (Standard) konfiguriert ist und bei allem nicht anders spezifizierten Aufrufen zum Zuge kommt.
Ist halt alles nicht was man eigentlich haben will, nämlich photo.domain.de, fertig. Wäre schön gewesen, wenn Syno das direkt als konfigurierbaren vHost im DSM unterbracht hätte.

Eigentlich wollte ich das mit nginx-conf, vhost, photo in den Weihnachtsferien anschauen, hatte aber keine Zeit dafür.
Vielleicht hat es ja schon jemand gemacht, und kann uns erleuchten. Irgendwann komme ich auch mal dazu dann....
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Sorry Fusion, einfach nur Erfahrungswerte hier aus dem Forum und wie man sieht wird man ja auch nicht enttäuscht :p;)

Wenn Strato so etwas nicht anbietet (und es sind schon keine grossartigen "Sonderlocken") wäre es definitiv ratsam den Domainverwalter zu wechseln. Sofern ein Webpaket bei Strato existiert, kann dies ja durchaus weiter bestehen (ggf. mit anderer Domain, oder wie auch immer), aber solche starken Einschränkungen gehen mal garnicht... die 6,60€ (oder was auch immer) für die Domain zahlt man woanders auch, allerdings ist man dann weniger eingeschränkt. Mag sein, dass man es selbst mit Strato noch "irgendwie" gedreht bekommt, aber mal ehrlich... Wildcard-DNS vs. stunden-/tagelanges rumbasteln... Ich mein... das sind 6,60€/Jahr (ggf. einfach für eine neue zusätzliche Domain)... das ist nix, selbst für H4-Empfänger nicht... da wäre mir meine Zeit eindeutig zu schade für. Wenn der Bastlertrieb geweckt ist - keine Frage - wenn es aber einfach nur "funktionieren" soll, würde ich da wirklich einen Wechsel (Hoster oder Domain) in Betracht ziehen.

Alternativ eben jede Subdomain nochmal extra im DNS beim Domainverwalter anlegen und via CNAME-Record auf die DDNS-Adresse verweisen lassen. So hätte man allerdings Arbeit auf 2 Seiten (Syno+Domainverwaltung) für jede Subdomain.
 

deb10042

Benutzer
Mitglied seit
07. Mrz 2011
Beiträge
243
Punkte für Reaktionen
22
Punkte
18
@Fusion

Hast du vielleicht mehr als 10 oder so im Auftrag? Ich weiß die genauen Zahlen nicht mehr, aber LE begrenzt auch die Zertifikate pro email-Adresse und pro Tag etc. Müsste man dort nochmal nachschauen.
Was stört dich an mehreren Zertifikaten, kann man unter Konfigurieren doch flexibel zuweisen?

Nein, mehr als 10 habe ich nicht. Und Ja, Du hast Recht, im Prinzip stört es nicht, zwei Zertifikate zuzuweisen. Das war halt nur das „Nichtverstehen“… :eek:

… Die Domain/Hostname den du in der Photo Station selber angibst nimmt er z.B. für die URL, wenn du die Photo Station aus dem DSM Menü heraus aufrufst. Nach einer Änderung musst du dich einmal vom DSM ab/anmelden.

Und auch nur dafür?

Wenn dann der Hostname photo.domain.de

Genau dieser Aufruf funktioniert ja aber leider bei mir nicht :(?

Ein funktionierender und schöner Weg via GUI ist mir nicht bekannt.

Das habe ich nicht verstanden. Was meinst Du mit „funktionierender Weg via GUI“?

Wenn ich photo.domain.de bei Strato auf sub.domain.de/photo per http-extern umleite (das ist mein dynDNS Einträg, jedoch nicht identisch mit der Domain die ich aktuell bei DSM und den Stations einsetze) komme ich mit Cert auf die Photo Station aber halt mit sub.domain.de/photo in der URL Anzeige, …

Das wäre ja schon prima. Die URL-Anzeige ist mir egal. Mir geht es lediglich darum, zum Ziel zu gelangen, indem ich nur „fotos.Domäne.de“ oder „photo.Domäne.de“ eintippe.

Genau den von Dir genannten Umleitungs-Eintrag habe ich ja bei Strato gemacht.
Aber im Weiteren verstehe ich Deine Aussage „…jedoch nicht identisch mit der Domain die ich aktuell bei DSM und den Stations einsetze“ nicht. Hast Du denn zwei Domänen-Einträge auf DynDNS gesetzt? Das würde ja wieder im Router nicht funktionieren…hmmm

Könntest Du vielleicht einfach mal einen Screenshot Deiner aktuell funktionierenden Strato-Konfiguration (mit ein paar nötigen Schwärzungen) zeigen?

…während die anderen station.domain2.de sind.
Wenn ich photo.domain.de auf photo.domain2.de/photo umleite (*.domain2.de ist ein Wildcard CNAME der ebenfalls auf mein dynDNS zeigt) klappt es ebenfalls, aber mit Cert Warnung, weil dieses auf sub.domain.de lautet (weil sub.domain.de als default cert (Standard) konfiguriert ist und bei allem nicht anders spezifizierten Aufrufen zum Zuge kommt.

Habe ich zwar hier auch irgendwie nicht verstanden, aber eine Zertifikats-Warnung beim Aufruf der Photo Station will ich ja gerade eben verhindern.


@blurrrr

… und wie man sieht wird man ja auch nicht enttäuscht :p;)

Ist ein bisschen schwer zu bewerten, wie Du diese allgemeine Aussage meinst. Wenn Du mich meinst, sag es bitte (auch wenn ich mir keiner Schuld bewusst bin).

Wenn Strato so etwas nicht anbietet (und es sind schon keine grossartigen "Sonderlocken") wäre es definitiv ratsam den Domainverwalter zu wechseln.

Das will ich ja gerade vermeiden, denn ich hatte aus allen bisher gelesenen Beitragen das Gefühl, dass es schon funktioniert, nur eben ich bei mir irgendetwas falsch mache.

Wenn der Bastlertrieb geweckt ist - keine Frage - wenn es aber einfach nur "funktionieren" soll, würde ich da wirklich einen Wechsel (Hoster oder Domain) in Betracht ziehen.

Ist ja nicht ganz verkehrt, was Du sagst. Ein wenig „Basteltrieb“ ist mittlerweile sicher auch dabei. Aber im Übrigen bin ich halt ein relativ unerfahrener Anwender, der geglaubt hat, mit Strato den richtigen Provider gefunden zu haben und jetzt feststellt, dass manches halt doch nicht geht. Ein guter Hinweis auf einen alternativen Anbieter, bei dem das alles problemlos funktioniert, ohne gleich ein Vielfaches zu kosten, wäre sicher hilfreich (…und ist sicherlich auch keine Schleichwerbung).

Alternativ eben jede Subdomain nochmal extra im DNS beim Domainverwalter anlegen und via CNAME-Record auf die DDNS-Adresse verweisen lassen. So hätte man allerdings Arbeit auf 2 Seiten (Syno+Domainverwaltung) für jede Subdomain.

Aber ist das nicht genau das, worüber hier die ganze Zeit diskutiert wird?
Ich hätte ja nichts gegen die „Arbeit auf 2 Seiten“, wenn es dann funktionieren würde…
 

appel2000

Benutzer
Mitglied seit
05. Aug 2013
Beiträge
327
Punkte für Reaktionen
9
Punkte
18
Moin,

bin jetzt nicht so ganz auf dem laufenden hier,
aber @deb10042....Du hast im Prinzip alles so eingestellt wie ich es auch habe (zumindest beim überfliegen)

nur bei den Zertifikaten hab ich das anders gemacht.
Für jeden Dienst ein eigens Zertifikat

Zertifikate.jpg


Hängt es evtl. daran?!
 

appel2000

Benutzer
Mitglied seit
05. Aug 2013
Beiträge
327
Punkte für Reaktionen
9
Punkte
18
Okay, erst lesen hilft.
Grundsätzlich biste ja bereits eine Stufe weiter...

Habs bei mir eben nochmal mit der Photo Station getestet...
und es geht mir extremst auf den kittel, dass es nicht klappt.....

und es hat funktioniert....es hat alles geklappt wie gewünscht, und jetzt wieder nicht.....ich könnt in den tisch beissen
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.169
Punkte für Reaktionen
920
Punkte
424
Ich habe sowohl mit sub.domain.de (einmal 4 subs, einmal 9 subs, nach Domain.de getrennt, weil ich nicht zu viele Certs auf die email laufen lassen wollte (und ich will für alle meine DS certs auf 5 Maschinen diesselbe email, ich weiß irrational)) keine Probleme gehabt jeweils in einem Cert und auch sub.domain1.de und sub2.domain2.de in einem Cert kein Problem.
Sehe auch gerade keines der Rate-Limits verletzt
https://letsencrypt.org/docs/rate-limits/
Kanns mir also auch immer noch nicht zusammen reimen wieso es bei @deb10042 so nicht funktioniert hatte.
 

appel2000

Benutzer
Mitglied seit
05. Aug 2013
Beiträge
327
Punkte für Reaktionen
9
Punkte
18
Fehlermeldung bei mir:

Fehler: Gesicherte Verbindung fehlgeschlagen

Jetzt muss ich mal blöd fragen.
Bin mir recht sicher, dass bei der Zertifikatsübersicht "früher" auch irgendwo mal meine Subdomain für die Photostation oder zumindest die Photostation als Name aufegtaucht ist.
Ist jetzt aber weg, siehe Bild oben....

Das hängt doch damit zusammen....
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.169
Punkte für Reaktionen
920
Punkte
424
Die Photo Station gibt es nicht als "Dienst". Jedenfalls war die auch "früher" nicht (von alleine) dort als Dienst aufgeführt. Einzig wenn du ein vhost oder reverse proxy ala photo.domain.de ist ein Dienst mit diesem Namen in der Liste aufgetaucht, so wie die benutzerdefinierten Domains für die anderen Stations
 

appel2000

Benutzer
Mitglied seit
05. Aug 2013
Beiträge
327
Punkte für Reaktionen
9
Punkte
18
Okay,
dann stand das nicht da drin, einverstanden.

Aber ich weiss zu 100 %, dass die Aufrufe von fotos.domain.de und photo.domain.de funktioniert haben.
Ohne Sicherheitswarnung.

Und jetzt kommt

Fehler: Gesicherte Verbindung fehlgeschlagen

Bei Strato hab ich seit Monaten nichts mehr angefasst.
Konfiguration der DS auch nicht.
Kann das an einem Update der PS liegen??
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.169
Punkte für Reaktionen
920
Punkte
424
Wo zeigen denn fotos.domain.de oder photo.domain.de von wo aus hin? Ist das eine http Weiterleitung? Oder ist das ein Proxy? Ändert sich die URL beim Aufruf?

Steht bei der Fehlermeldung dran, welches Zertifikat der Server angegeben hat (eventuell unter "erweitert" oder ähnlich?
 

appel2000

Benutzer
Mitglied seit
05. Aug 2013
Beiträge
327
Punkte für Reaktionen
9
Punkte
18
fotos.domain.de --> Umleitung (Extern | HTTP ): http://domain.de/photo
Was anderes lässt strato ja nicht zu (also, nur http, nicht aber https)

Wenn ich domain.de/photos aufrufe, dann klappt alles.
Inkl Zertifikat von Lets encrypt (für die domain.de)

Also müsste es an der weiterleitung von Strato hängen, oder?

Link einzeln aufrufen geht
Link umleiten lassen geht nicht....


Fehlermeldung Browser bemängelt kein falsches Zertifikat oder ähnliches, einfach nur

Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit fotos.....de aufgetreten. Die SSL-Gegenstelle hat kein Zertifikat für den angeforderten DNS-Namen. Fehlercode: SSL_ERROR_UNRECOGNIZED_NAME_ALERT

Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Weitere Informationen…


und bei weitere infos kommt allgemeines blabla

https://support.mozilla.org/de/kb/sichere-verbindung-fehlgeschlagen
 
Zuletzt bearbeitet von einem Moderator:

appel2000

Benutzer
Mitglied seit
05. Aug 2013
Beiträge
327
Punkte für Reaktionen
9
Punkte
18
Ich schnall ab.....

versuche ich

fotos.domain.de
photo.domain.de

beim Firfox, klappts nicht, siehe oben.

Nutze ich Safari...klappt!
Nutze ich Chrome ...klappt!

Warum weiss ich nicht, aber zumindest bin ich nicht ganz senil...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.169
Punkte für Reaktionen
920
Punkte
424
Und wenn du dein domain.de cert noch um fotos.domain.de erweitern würdest, so dass beide beinhaltet wären?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat