Zugriff über Internet welche Weg ist sinnvoll?

[Benares]

Strato unterstützt m.W. kein Wildcard-DNS und hat auch keine DNS-API für acme.sh. Deshalb bin ich weg von von denen und auch zu netcup gewechselt.

 

[EDvonSchleck]

Man kann aber ohne Probleme den Alias-Mode incl. Wildcard bei acme.sh nutzen. Ich hatte mehrmals die Ehre mit der Einrichtung bei Strato, ich fand es sehr kompliziert und unübersichtlich. IONOS ist da auch nicht besser. Ich würde auch zu Netcup raten, wobei die Aktualisierung der IP bei Netcup über einen DynDNS, Script oder Docker realisiert werden muss. Netcup will da aber nachbessern und haben sich da angenommen, so die Aussage vom Kundenservice. Ob und wann es kommt, ist aber nicht bekannt.

 

[Swp2000]

So der erste Schritt ist erfolgreich gewesen, danke an Ed von Schleck für die Unterstützung.
Nun noch eine weitere Kleinigkeit. Lege ich nun weitere Subdomains an, bspl:

DSM.meinedomain.de (im Router hinterlegt)
Bitwarden.meinedomain.de
Photos.meinedomain.de

Und weise der jeweiligen Anwendung diese Subdomain zu, wie ist das bei Strato einzurichten.
Muss ich hierzu bei jeder Subdomain auch DynDns aktivieren oder kann dies aus bleiben?
Gehe ich stattdessen über einen CNAME Eintrag welcher auf die im Router hinterlegte DynDNS (dsm.meinedomain.de) verweist?
Oder muss bei der jeweiligen Subdomain DynDns und der cname Eintrag auf die im Router hinterlegte DynDns verweisen?

 

[EDvonSchleck]

Einfach weitere Subdomains anliegen wie bei der ersten. Gleiches vorgehen. Anschließend diese Subdomains in der App, Reverse Proxy oder Webstation zuweisen. Eintrag im Router nicht vergessen Fertig

Einen anderen DynDNS brauchst du nicht. Eine Weiterleitung (CNAME) reicht aus.

 

[Swp2000]

Ich hoffe wir reden nun nicht aneinander vorbei, jedoch nach dem anlegen einer Subdomain kommt die Abfrage ob DynDns auch aktiviert werden soll von dieser Subdomain im Strato Portal. Das brauch ich nicht?

2.) Die Subdomain auch im Router als DynDns eintragen? Also alle die ich anlege müssen auch im Router unter DynDNS anlegen? Nein oder?

3.) Ich hatte es so verstanden, verschiedene Subdomains anlegen, jede davon als cname Eintrag verweisend auf die erste (Haupt Domain) welche im Router als DynDns hinterlegt ist anlegen?

 

[EDvonSchleck]

1. Das ist bei jedem Anbieter unterschiedlich, somit kann ich dir nicht sagen, ob du da richtig bist. Eigentlich gibst du unter DNS > Records einen neuen Namen ein und gut.

2. Die DynDNS wird nicht im Router eingetragen, nur die URL wegen dem Rebind-Schutz.

3. Richtig. kann aber auch der @ oder * Eintrag sein, wenn das durch deine DynDNS upgedatet wird.

 

[Swp2000]

Ich denke ich muss das probieren, eine URL im Router kann ich nur für die Updateurl anlegen, da gibt es kein weiteres Feld für die Subdomains.
Ich poste mal Screenshots wenn ich soweit bin.

 

[EDvonSchleck]

Den Eintrag für den Rebind-Schutz findest du unter Netzwerk > Netzwerkeinstellungen ganz unten.

 

[Swp2000]

In der FritzBox ja, aber in der UDM SE hab ich bisher nichts davon gesehen.

 

[EDvonSchleck]

Muss ja nicht unbedingt einen Rebind-Schutz haben. Völlig überbewertet, die Hardware.
Das wirst du sehne, ob du von intern auf die Subdomain kommst oder nicht, Wenn nicht erst extern testen z.B. Handy.

 

[Swp2000]

So nun die Frage:
Als DynDns ist ja die dsm.strato.de hinterlegt welche den Zugang gibt. Das funktioniert wunderbar.
Nun habe ich eine weitere Subdomain angelegt und der Anwendung Photos im Anwendungsportal zugewiesen (nicht Reverse Proxy)
Ich bin nun gerade in strato, hab die Subdomain "photos.strato.de angelegt und kann nun folgendes einstellen:
1.) Ich kann für die Subdomain auch DynDns aktivieren, muss ich das?
2.) Unter dem Punkt CNAME Eintrag kommt dann die Dyndns Adresse die den Zugang herstellt hinein, in meinem Fall dsm.strato.de richtig?
3.) Muss ich dann hierzu auch ein Lets Encrypt Zertifikat anlegen oder braucht es das nicht?


[2. Screenshot entfernt]

 

[EDvonSchleck]

Du brauchst eigentlich nur einen CNAME: Photo > DSM
Die Einstallung in der Fritz!Box musst du nicht ändern, diese ist nicht interessant, weil sie ja die gleiche IP liefert.
Natürlich benötigst du ein weiteres Zertifikat. Das kannst du entweder einzeln beantragen, als Erweiterung zu deinem jetzigen Zertifikat oder mit Umweg und acme.sh. Damit bekommst du ein Wildcard-Zertifikat und somit sind alles Subdomains abgesichert. Letzteres würde ich einsetzen, weil damit keine Ports benötigt werden, Wildcard ausgestellt und die Zertifikate automatisch nach 60 Tagen erneuert werden. Wer sich die Arbeit machen will, kann das aber auch manuell machen, alle 90 Tage. Das habe ich dir aber auch schon gesagt.

 

[NASSucher]

Muss es ein Wildcard Zertifikat sein oder langt auch ein Lets Encrypt?

 

[EDvonSchleck]

Ein Wildcard-Zertifikat ist auch von Lets Encrypt. Diese deckt nur automatisch alle Subdomains ab. Ansonsten muss man bei jeder neuen Subdomain ein neues beantragen. Die Synology Dienste nutzen auch ein Wildcard. Es ist aber nicht möglich, dieses über die GUI zu beantragen.

Man kann auch für jede Subdomains ein einzelnes Zertifikat nutzen, muss aber immer aufpassen mit der Laufzeit. Da kann man sehr schnell die Übersicht verlieren. Ich rate lieber ein aktuelles Zertifikat zu erweitern. Dazu kann es aber nötige sein, die Ports 80/443 zu öffnen. Acme.sh ist da deutlich bequemer. Mit 4 Befehlen incl. Installation ist man dauerhaft durch und muss sich um nicht mehr kümmern incl. Ports.

 

[Benares]

Auch Wildcard-Zertifikate sind Lets Encrypt Zertifikate. Der Unterschied ist eben, dass sie für alle Subdomains einer Domain gelten (*.example.com) und nicht nur für die als "Alternative Namen" aufgeführten. Leider kann man mit DSM-Bordmitteln Wildcard-Zertifikate nur in Verbindung mit einer Synology-Domain bekommen (s. Screenshot). Aber z.B. mit acme.sh geht das.




Edit: @EDvonSchleck war schneller

 

[Swp2000]

Du brauchst eigentlich nur einen CNAME: Photo > DSM
Die Einstallung in der Fritz!Box musst du nicht ändern, diese ist nicht interessant, weil sie ja die gleiche IP liefert.
Natürlich benötigst du ein weiteres Zertifikat. Das kannst du entweder einzeln beantragen, als Erweiterung zu deinem jetzigen Zertifikat oder mit Umweg und acme.sh. Damit bekommst du ein Wildcard-Zertifikat und somit sind alles Subdomains abgesichert. Letzteres würde ich einsetzen, weil damit keine Ports benötigt werden, Wildcard ausgestellt und die Zertifikate automatisch nach 60 Tagen erneuert werden. Wer sich die Arbeit machen will, kann das aber auch manuell machen, alle 90 Tage. Das habe ich dir aber auch schon gesagt.

So als Rückmeldung. mit dem CNAME Eintrag funktioniert es perfekt und genauso wie beschrieben.
Zertifikat habe ich auch von Lets Encrypt abgerufen und läuft. Mich stört das nicht mit der Aktualisierung manuell alle 3 Monate. Von daher besten Dank an Alle und vorallem an Ed von Schleck für seine großartige Unterstützung.

Eins vielleicht noch am Ende. Die App DS File funktioniert ja über WebDAV. Ich habe hierzu den WebDAV Server installiert und wollte den HTTPS Port (5006) auch gegen den 443 ersetzen, das lässt er aber nicht zu. Auch gibt es im Anmeldeportal keine Web DAV Anwendung welche ich eine Subdomain zuweisen kann. Muss ich das hier anders machen?

 

[EDvonSchleck]

Richte doch einfach acme.sh ein und du hast von den Zertifikaten Ruhe!

 

[Swp2000]

Unter Anmeldeportal für Drive und Fotos, für WebDAV im entsprechenden Paket.

Für WebDAV brauch ich den Reverse Proxy? Da ich im WebDAV Server nicht den HTTPS Port von 5006 auf 443 ändern kann.

 

[Benares]

Funktioniert hier einwandfrei mit Reverse-Proxy von z.B. https://webdav.example.com (443) auf https://localhost:5006

 

[Swp2000]

Danke, dann muss ich es für diesen Dienst über Reverse Proxy laufen lassen, da der Port 5006 sich nicht auf 443 ändern lässt.