Domain nur intern verwenden, was beachten?

[Don-DCH]

Guten Mittag zusammen,

ich habe mir eine Domain gekauft um diese ausschließlich intern zu verwenden, dass ich gültige SSL Zertifikate bekommen kann.
Dafür verwende ich ausschließlich die DNS Challenge, so dass keinerlei Portfreigaben von Nöten sind und mehrere VMs/Geräte ein Zertifikat abrufen können.

Nun ist die Frage ob ich bei Netcup auch in der DNS Verwaltung noch etwas anlegen muss?
Was passiert wenn ich mit meinem Endgerät PC/Smartphone im Mobilfunknetz oder fremden WLAN ohne VPN bin, wäre das ein Sicherheitsrisiko wenn anwendung1.meinedomain.de versucht wird zu erreichen?

Würde anwendung1.intern.meinedomain.de mehr Sinn ergeben oder kann ich mit .intern sparen?

Generell möchte ich dann von Unterwegs zugreifen ausschließlcih per VPN und die Anwendungen per DNS Rewrites per Router/Adguard erreichen, ich denke da spricht auch nichts dagegen?

Über eure Meinungen und Erfahrungen diesbezüglich würde ich mich freuen und wünsche euch einen guten Start in das Wochenende

 

[madmax2010]

https://www.computerbase.de/forum/t...ker-und-https-lan-only.2266112/#post-31333497
https://www.computerbase.de/forum/threads/dns-eintrag-auf-domain-lokal-setzen.2266269/#post-31335416
lies mal die 2 threads dann hast du alles

 

[tRITON]

Wenn du sie nur intern nutzt, warum kaufen? Ich kann mir alles selbst zertifizieren mit meiner CA, ich muss nur auf allen Geräten eben das Stammzert den Clients hinzufügen.

 

[marcel.]

ich muss nur auf allen Geräten eben das Stammzert den Clients hinzufügen.

Genau deswegen. Das ist für nicht zentral gemanagte Geräte keine schöne Lösung. Und eine Domain kostet ~1€/Monat, das ist für den Wegfall des manuellen Aufwand mehr als in Ordnung.

Setzt du auf die DNS-01 Challenge? Dann kannst du direkt die privaten IPs in die öffentlichen DNS Einträge mit aufnehmen. Das spart dir ein Split DNS Setup. Einen eventuellen DNS Rebind Schutz muss dennoch potentiell passend konfiguriert werden. In der FRITZ!Box bspw. in den erweiterten Netzwerk-Einstellungen.

Sicherheitstechnisch ist das alles absolut unkritisch 👍

 

[JumpingCat]

Setzt du auf die DNS-01 Challenge? Dann kannst du direkt die privaten IPs in die öffentlichen DNS Einträge mit aufnehmen.

Genau das sollte man nicht machen. Dann kann man sich auch den DNS Challenge sparen.

 

[marcel.]

Was meinst du damit?

 

[Don-DCH]

lies mal die 2 threads dann hast du alles

Danke dir, habe gerade mal geschaut.

Jetzt muss ich aber nochmal fragen zu deiner Antwort
https://www.computerbase.de/forum/t...cker-und-https-lan-only.2266112/post-31330907

Für was genau brauche ich den CNAME oder A Record beim Provider?

Ich habe testweise ein Zertifikat über die Netcup API bekommen ohne einen Record und über Adguard wurde auch weitergeleitet.
Oder ist das damit die Zertifikatswarnung weg ist, wenn ich die IP eingebe?

Genau deswegen.

Stimme ich dir zu, das ist mir zu viel hickhack und so kann niemand anderes meien Domain bekommen

Und eine Domain kostet ~1€/Monat, das ist für den Wegfall des manuellen Aufwand mehr als in Ordnung.

Da habe ich Glück ich zahle ich glaube 12 oder 13 Cent im Monat dafür

Setzt du auf die DNS-01 Challenge?

Was genau ist die 01 Challange? Ich kenne nur die per Port udn die DNS Challange, ich habe dafür die Netcup API genommen und den nginx proxy manager der ist klasse, damit hatte ich das ganze getestet und mein Zertifikat holen können.

Dann kannst du direkt die privaten IPs in die öffentlichen DNS Einträge mit aufnehmen.

Das klingt gut, wie geht das ich konnte da nur einen Domainnamen bzw. mit *ein Wildcard ZErtifikat bekommen.
Ich denke für daheim kann man bedenkenlos Wildcard Zertifikate verwenden oder?

Einen eventuellen DNS Rebind Schutz muss dennoch potentiell passend konfiguriert werden. In der FRITZ!Box bspw. in den erweiterten Netzwerk-Einstellungen.

Da muss ich mal schauen wir haben Ubiquiti UniFi

Sicherheitstechnisch ist das alles absolut unkritisch 👍

Das klingt schonmal gut.

Genau das sollte man nicht machen. Dann kann man sich auch den DNS Challenge sparen.

Warum das?

 

[madmax2010]

Für was genau brauche ich den CNAME oder A Record beim Provider?

Wozu eine domain, wenn dabei nichts auf adressen gemapped ist?

Ergänzung (Gestern um 14:45)

Ich kenne nur die per Port

du meinst http-01?

https://duckduckgo.com/?q=letsencrypt+challenge+types&t=newext&atb=v430-1
->
https://letsencrypt.org/docs/challenge-types/

 

[JumpingCat]

Warum das?

Wenn man schon sich ein Wildcard holt um keine Dienste/ Subdomains bekannt zu geben, dann trage ich diese auch logischerweise in kein public DNS beim Hoster ein. Mir geht es hier un Privatsphäre/Sicherheit.
Ebenso das gleiche Split DNS Konstrukt ist auch wieder ein pihole der im lokalen DNS andere IP Adressen propagiert im Vergleich zu Public DNS.
Und beides bekommt man sauber und stabil zum laufen.

Ergänzung (Gestern um 16:35)

Wozu eine domain, wenn dabei nichts auf adressen gemapped ist?

Mail only oder es liegt nur ein Eintrag mit "vpn-6457" auf "kryptische Domain" + whois privacy. Du willst ja nicht unbedingt in einem Public WLAN/etc eine Verbindung zu mein-nachname .de aufrechthalten.

 

[marcel.]

Wenn man schon sich ein Wildcard holt um keine Dienste/ Subdomains bekannt zu geben, dann trage ich diese auch logischerweise in kein public DNS beim Hoster ein.

Die Wildcard wird hier vom TO erst später erwähnt. Mit Sicherheit hat das aber nichts zutun. Privatsphäre evtl., das kommt auf die konkreten Domains an die eingesetzt werden. Wenn *.meinedomain.de öffentlich auf 192.168.178.100 zeigt, gibt man nichts privates bekannt. Man spart sich aber das Split-DNS Setup und die DNS Auflösung über VPN, welche je nach Setup auch haarig sein kann. Bspw. wenn man in einem WLAN hängt, welches ebenfalls Split-DNS fährt gibt es nur ein entweder lokal oder VPN an funktionierenden Auflösungen.

Für was genau brauche ich den CNAME oder A Record beim Provider?

CNAME brauchst du gar nicht, eventuell den A Record wie zwei Zeilen weiter oben beschrieben. Falls dein DNS Setup mit Adguard oder auch Unifi aber für deine Use-Cases läuft, braucht es nichtmal das.

Ich kenne nur die per Port udn die DNS Challange, ich habe dafür die Netcup API genommen und den nginx proxy manager

Dann hast du ziemlich sicher die DNS-01 Challenge verwendet, die wurde oben von @madmax2010 auch schon verlinkt 👍

Ich denke für daheim kann man bedenkenlos Wildcard Zertifikate verwenden oder?

Ja, kein Problem.

Oder ist das damit die Zertifikatswarnung weg ist, wenn ich die IP eingebe?

Kannst du die Frage genauer erklären? Wenn du das Zertifikat hast und es vom Server auch verwendet wird, kannst du nach dem vornehmen der passenden DNS Einstellungen (beim Provider, in Adguard oder via Unifi) den Service ohne Zertifikatsmeldung erreichen.