ComputerBase Menü
Aktuelles

Domain nur intern verwenden, was beachten?

Don-DCH

Don-DCH

Captain
Registriert
Aug. 2009
Beiträge
3.447
Guten Mittag zusammen,

ich habe mir eine Domain gekauft um diese ausschließlich intern zu verwenden, dass ich gültige SSL Zertifikate bekommen kann.
Dafür verwende ich ausschließlich die DNS Challenge, so dass keinerlei Portfreigaben von Nöten sind und mehrere VMs/Geräte ein Zertifikat abrufen können.

Nun ist die Frage ob ich bei Netcup auch in der DNS Verwaltung noch etwas anlegen muss?
Was passiert wenn ich mit meinem Endgerät PC/Smartphone im Mobilfunknetz oder fremden WLAN ohne VPN bin, wäre das ein Sicherheitsrisiko wenn anwendung1.meinedomain.de versucht wird zu erreichen?

Würde anwendung1.intern.meinedomain.de mehr Sinn ergeben oder kann ich mit .intern sparen?

Generell möchte ich dann von Unterwegs zugreifen ausschließlcih per VPN und die Anwendungen per DNS Rewrites per Router/Adguard erreichen, ich denke da spricht auch nichts dagegen?

Über eure Meinungen und Erfahrungen diesbezüglich würde ich mich freuen und wünsche euch einen guten Start in das Wochenende :)
 
Wenn du sie nur intern nutzt, warum kaufen? Ich kann mir alles selbst zertifizieren mit meiner CA, ich muss nur auf allen Geräten eben das Stammzert den Clients hinzufügen.
 
  • Gefällt mir
Reaktionen: Braubär und blablub1212
tRITON schrieb:
ich muss nur auf allen Geräten eben das Stammzert den Clients hinzufügen.
Zum Vergrößern anklicken....
Genau deswegen. Das ist für nicht zentral gemanagte Geräte keine schöne Lösung. Und eine Domain kostet ~1€/Monat, das ist für den Wegfall des manuellen Aufwand mehr als in Ordnung.

Setzt du auf die DNS-01 Challenge? Dann kannst du direkt die privaten IPs in die öffentlichen DNS Einträge mit aufnehmen. Das spart dir ein Split DNS Setup. Einen eventuellen DNS Rebind Schutz muss dennoch potentiell passend konfiguriert werden. In der FRITZ!Box bspw. in den erweiterten Netzwerk-Einstellungen.

Sicherheitstechnisch ist das alles absolut unkritisch 👍
 
  • Gefällt mir
Reaktionen: Don-DCH
marcel. schrieb:
Setzt du auf die DNS-01 Challenge? Dann kannst du direkt die privaten IPs in die öffentlichen DNS Einträge mit aufnehmen.
Zum Vergrößern anklicken....

Genau das sollte man nicht machen. Dann kann man sich auch den DNS Challenge sparen.
 
madmax2010 schrieb:
lies mal die 2 threads dann hast du alles
Zum Vergrößern anklicken....
Danke dir, habe gerade mal geschaut.

Jetzt muss ich aber nochmal fragen zu deiner Antwort
https://www.computerbase.de/forum/t...cker-und-https-lan-only.2266112/post-31330907

Für was genau brauche ich den CNAME oder A Record beim Provider?

Ich habe testweise ein Zertifikat über die Netcup API bekommen ohne einen Record und über Adguard wurde auch weitergeleitet.
Oder ist das damit die Zertifikatswarnung weg ist, wenn ich die IP eingebe?

marcel. schrieb:
Genau deswegen.
Zum Vergrößern anklicken....
Stimme ich dir zu, das ist mir zu viel hickhack und so kann niemand anderes meien Domain bekommen :)

marcel. schrieb:
Und eine Domain kostet ~1€/Monat, das ist für den Wegfall des manuellen Aufwand mehr als in Ordnung.
Zum Vergrößern anklicken....
Da habe ich Glück ich zahle ich glaube 12 oder 13 Cent im Monat dafür :D

marcel. schrieb:
Setzt du auf die DNS-01 Challenge?
Zum Vergrößern anklicken....
Was genau ist die 01 Challange? Ich kenne nur die per Port udn die DNS Challange, ich habe dafür die Netcup API genommen und den nginx proxy manager der ist klasse, damit hatte ich das ganze getestet und mein Zertifikat holen können.
marcel. schrieb:
Dann kannst du direkt die privaten IPs in die öffentlichen DNS Einträge mit aufnehmen.
Zum Vergrößern anklicken....
Das klingt gut, wie geht das ich konnte da nur einen Domainnamen bzw. mit *ein Wildcard ZErtifikat bekommen.
Ich denke für daheim kann man bedenkenlos Wildcard Zertifikate verwenden oder?

marcel. schrieb:
Einen eventuellen DNS Rebind Schutz muss dennoch potentiell passend konfiguriert werden. In der FRITZ!Box bspw. in den erweiterten Netzwerk-Einstellungen.
Zum Vergrößern anklicken....
Da muss ich mal schauen wir haben Ubiquiti UniFi :)

marcel. schrieb:
Sicherheitstechnisch ist das alles absolut unkritisch 👍
Zum Vergrößern anklicken....
Das klingt schonmal gut.

JumpingCat schrieb:
Genau das sollte man nicht machen. Dann kann man sich auch den DNS Challenge sparen.
Zum Vergrößern anklicken....
Warum das?
 
  • Gefällt mir
Reaktionen: JumpingCat
Don-DCH schrieb:
Warum das?
Zum Vergrößern anklicken....

Wenn man schon sich ein Wildcard holt um keine Dienste/ Subdomains bekannt zu geben, dann trage ich diese auch logischerweise in kein public DNS beim Hoster ein. Mir geht es hier un Privatsphäre/Sicherheit.
Ebenso das gleiche Split DNS Konstrukt ist auch wieder ein pihole der im lokalen DNS andere IP Adressen propagiert im Vergleich zu Public DNS.
Und beides bekommt man sauber und stabil zum laufen.
Ergänzung ()

madmax2010 schrieb:
Wozu eine domain, wenn dabei nichts auf adressen gemapped ist?
Zum Vergrößern anklicken....

Mail only oder es liegt nur ein Eintrag mit "vpn-6457" auf "kryptische Domain" + whois privacy. Du willst ja nicht unbedingt in einem Public WLAN/etc eine Verbindung zu mein-nachname .de aufrechthalten.
 
JumpingCat schrieb:
Wenn man schon sich ein Wildcard holt um keine Dienste/ Subdomains bekannt zu geben, dann trage ich diese auch logischerweise in kein public DNS beim Hoster ein.
Zum Vergrößern anklicken....
Die Wildcard wird hier vom TO erst später erwähnt. Mit Sicherheit hat das aber nichts zutun. Privatsphäre evtl., das kommt auf die konkreten Domains an die eingesetzt werden. Wenn *.meinedomain.de öffentlich auf 192.168.178.100 zeigt, gibt man nichts privates bekannt. Man spart sich aber das Split-DNS Setup und die DNS Auflösung über VPN, welche je nach Setup auch haarig sein kann. Bspw. wenn man in einem WLAN hängt, welches ebenfalls Split-DNS fährt gibt es nur ein entweder lokal oder VPN an funktionierenden Auflösungen.

Don-DCH schrieb:
Für was genau brauche ich den CNAME oder A Record beim Provider?
Zum Vergrößern anklicken....
CNAME brauchst du gar nicht, eventuell den A Record wie zwei Zeilen weiter oben beschrieben. Falls dein DNS Setup mit Adguard oder auch Unifi aber für deine Use-Cases läuft, braucht es nichtmal das.

Don-DCH schrieb:
Ich kenne nur die per Port udn die DNS Challange, ich habe dafür die Netcup API genommen und den nginx proxy manager
Zum Vergrößern anklicken....
Dann hast du ziemlich sicher die DNS-01 Challenge verwendet, die wurde oben von @madmax2010 auch schon verlinkt 👍

Don-DCH schrieb:
Ich denke für daheim kann man bedenkenlos Wildcard Zertifikate verwenden oder?
Zum Vergrößern anklicken....
Ja, kein Problem.

Don-DCH schrieb:
Oder ist das damit die Zertifikatswarnung weg ist, wenn ich die IP eingebe?
Zum Vergrößern anklicken....
Kannst du die Frage genauer erklären? Wenn du das Zertifikat hast und es vom Server auch verwendet wird, kannst du nach dem vornehmen der passenden DNS Einstellungen (beim Provider, in Adguard oder via Unifi) den Service ohne Zertifikatsmeldung erreichen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Domi_bas
Wie internen Server über einen Domain von intern und extern erreichen?
Antworten
14
Aufrufe
13.521
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz