ComputerBase Menü
Aktuelles

Domain nur intern verwenden, was beachten?

Don-DCH

Don-DCH

Captain
Registriert
Aug. 2009
Beiträge
3.470
Guten Mittag zusammen,

ich habe mir eine Domain gekauft um diese ausschließlich intern zu verwenden, dass ich gültige SSL Zertifikate bekommen kann.
Dafür verwende ich ausschließlich die DNS Challenge, so dass keinerlei Portfreigaben von Nöten sind und mehrere VMs/Geräte ein Zertifikat abrufen können.

Nun ist die Frage ob ich bei Netcup auch in der DNS Verwaltung noch etwas anlegen muss?
Was passiert wenn ich mit meinem Endgerät PC/Smartphone im Mobilfunknetz oder fremden WLAN ohne VPN bin, wäre das ein Sicherheitsrisiko wenn anwendung1.meinedomain.de versucht wird zu erreichen?

Würde anwendung1.intern.meinedomain.de mehr Sinn ergeben oder kann ich mit .intern sparen?

Generell möchte ich dann von Unterwegs zugreifen ausschließlcih per VPN und die Anwendungen per DNS Rewrites per Router/Adguard erreichen, ich denke da spricht auch nichts dagegen?

Über eure Meinungen und Erfahrungen diesbezüglich würde ich mich freuen und wünsche euch einen guten Start in das Wochenende :)
 
Wenn du sie nur intern nutzt, warum kaufen? Ich kann mir alles selbst zertifizieren mit meiner CA, ich muss nur auf allen Geräten eben das Stammzert den Clients hinzufügen.
 
  • Gefällt mir
Reaktionen: areiland, Braubär und blablub1212
tRITON schrieb:
ich muss nur auf allen Geräten eben das Stammzert den Clients hinzufügen.
Zum Vergrößern anklicken....
Genau deswegen. Das ist für nicht zentral gemanagte Geräte keine schöne Lösung. Und eine Domain kostet ~1€/Monat, das ist für den Wegfall des manuellen Aufwand mehr als in Ordnung.

Setzt du auf die DNS-01 Challenge? Dann kannst du direkt die privaten IPs in die öffentlichen DNS Einträge mit aufnehmen. Das spart dir ein Split DNS Setup. Einen eventuellen DNS Rebind Schutz muss dennoch potentiell passend konfiguriert werden. In der FRITZ!Box bspw. in den erweiterten Netzwerk-Einstellungen.

Sicherheitstechnisch ist das alles absolut unkritisch 👍
 
  • Gefällt mir
Reaktionen: Don-DCH
marcel. schrieb:
Setzt du auf die DNS-01 Challenge? Dann kannst du direkt die privaten IPs in die öffentlichen DNS Einträge mit aufnehmen.
Zum Vergrößern anklicken....

Genau das sollte man nicht machen. Dann kann man sich auch den DNS Challenge sparen.
 
madmax2010 schrieb:
lies mal die 2 threads dann hast du alles
Zum Vergrößern anklicken....
Danke dir, habe gerade mal geschaut.

Jetzt muss ich aber nochmal fragen zu deiner Antwort
https://www.computerbase.de/forum/t...cker-und-https-lan-only.2266112/post-31330907

Für was genau brauche ich den CNAME oder A Record beim Provider?

Ich habe testweise ein Zertifikat über die Netcup API bekommen ohne einen Record und über Adguard wurde auch weitergeleitet.
Oder ist das damit die Zertifikatswarnung weg ist, wenn ich die IP eingebe?

marcel. schrieb:
Genau deswegen.
Zum Vergrößern anklicken....
Stimme ich dir zu, das ist mir zu viel hickhack und so kann niemand anderes meien Domain bekommen :)

marcel. schrieb:
Und eine Domain kostet ~1€/Monat, das ist für den Wegfall des manuellen Aufwand mehr als in Ordnung.
Zum Vergrößern anklicken....
Da habe ich Glück ich zahle ich glaube 12 oder 13 Cent im Monat dafür :D

marcel. schrieb:
Setzt du auf die DNS-01 Challenge?
Zum Vergrößern anklicken....
Was genau ist die 01 Challange? Ich kenne nur die per Port udn die DNS Challange, ich habe dafür die Netcup API genommen und den nginx proxy manager der ist klasse, damit hatte ich das ganze getestet und mein Zertifikat holen können.
marcel. schrieb:
Dann kannst du direkt die privaten IPs in die öffentlichen DNS Einträge mit aufnehmen.
Zum Vergrößern anklicken....
Das klingt gut, wie geht das ich konnte da nur einen Domainnamen bzw. mit *ein Wildcard ZErtifikat bekommen.
Ich denke für daheim kann man bedenkenlos Wildcard Zertifikate verwenden oder?

marcel. schrieb:
Einen eventuellen DNS Rebind Schutz muss dennoch potentiell passend konfiguriert werden. In der FRITZ!Box bspw. in den erweiterten Netzwerk-Einstellungen.
Zum Vergrößern anklicken....
Da muss ich mal schauen wir haben Ubiquiti UniFi :)

marcel. schrieb:
Sicherheitstechnisch ist das alles absolut unkritisch 👍
Zum Vergrößern anklicken....
Das klingt schonmal gut.

JumpingCat schrieb:
Genau das sollte man nicht machen. Dann kann man sich auch den DNS Challenge sparen.
Zum Vergrößern anklicken....
Warum das?
 
  • Gefällt mir
Reaktionen: Don-DCH und JumpingCat
Don-DCH schrieb:
Warum das?
Zum Vergrößern anklicken....

Wenn man schon sich ein Wildcard holt um keine Dienste/ Subdomains bekannt zu geben, dann trage ich diese auch logischerweise in kein public DNS beim Hoster ein. Mir geht es hier un Privatsphäre/Sicherheit.
Ebenso das gleiche Split DNS Konstrukt ist auch wieder ein pihole der im lokalen DNS andere IP Adressen propagiert im Vergleich zu Public DNS.
Und beides bekommt man sauber und stabil zum laufen.
Ergänzung ()

madmax2010 schrieb:
Wozu eine domain, wenn dabei nichts auf adressen gemapped ist?
Zum Vergrößern anklicken....

Mail only oder es liegt nur ein Eintrag mit "vpn-6457" auf "kryptische Domain" + whois privacy. Du willst ja nicht unbedingt in einem Public WLAN/etc eine Verbindung zu mein-nachname .de aufrechthalten.
 
  • Gefällt mir
Reaktionen: Don-DCH
JumpingCat schrieb:
Wenn man schon sich ein Wildcard holt um keine Dienste/ Subdomains bekannt zu geben, dann trage ich diese auch logischerweise in kein public DNS beim Hoster ein.
Zum Vergrößern anklicken....
Die Wildcard wird hier vom TO erst später erwähnt. Mit Sicherheit hat das aber nichts zutun. Privatsphäre evtl., das kommt auf die konkreten Domains an die eingesetzt werden. Wenn *.meinedomain.de öffentlich auf 192.168.178.100 zeigt, gibt man nichts privates bekannt. Man spart sich aber das Split-DNS Setup und die DNS Auflösung über VPN, welche je nach Setup auch haarig sein kann. Bspw. wenn man in einem WLAN hängt, welches ebenfalls Split-DNS fährt gibt es nur ein entweder lokal oder VPN an funktionierenden Auflösungen.

Don-DCH schrieb:
Für was genau brauche ich den CNAME oder A Record beim Provider?
Zum Vergrößern anklicken....
CNAME brauchst du gar nicht, eventuell den A Record wie zwei Zeilen weiter oben beschrieben. Falls dein DNS Setup mit Adguard oder auch Unifi aber für deine Use-Cases läuft, braucht es nichtmal das.

Don-DCH schrieb:
Ich kenne nur die per Port udn die DNS Challange, ich habe dafür die Netcup API genommen und den nginx proxy manager
Zum Vergrößern anklicken....
Dann hast du ziemlich sicher die DNS-01 Challenge verwendet, die wurde oben von @madmax2010 auch schon verlinkt 👍

Don-DCH schrieb:
Ich denke für daheim kann man bedenkenlos Wildcard Zertifikate verwenden oder?
Zum Vergrößern anklicken....
Ja, kein Problem.

Don-DCH schrieb:
Oder ist das damit die Zertifikatswarnung weg ist, wenn ich die IP eingebe?
Zum Vergrößern anklicken....
Kannst du die Frage genauer erklären? Wenn du das Zertifikat hast und es vom Server auch verwendet wird, kannst du nach dem vornehmen der passenden DNS Einstellungen (beim Provider, in Adguard oder via Unifi) den Service ohne Zertifikatsmeldung erreichen.
 
  • Gefällt mir
Reaktionen: Don-DCH
madmax2010 schrieb:
Wozu eine domain, wenn dabei nichts auf adressen gemapped ist?
Zum Vergrößern anklicken....
Für ein leicht zu bekommendes, internes gültiges Zertifikat.
Intern würde ich dann records setzen. Aber beim Provider eigentlich nicht, weil ich nicht verstehe für was?

madmax2010 schrieb:
du meinst http-01?
Zum Vergrößern anklicken....
Ja genau :)

marcel. schrieb:
CNAME brauchst du gar nicht, eventuell den A Record wie zwei Zeilen weiter oben beschrieben. Falls dein DNS Setup mit Adguard oder auch Unifi aber für deine Use-Cases läuft, braucht es nichtmal das.
Zum Vergrößern anklicken....
Hmm sehe ich das richtig, dass wenn ich bei Netcup einen A Record für meine Interne subdomain oder wildcard eintrage das ich dann die geschichte mit Adguard nicht mehr brauche weil er auf die interne IP Verweist?

marcel. schrieb:
Kannst du die Frage genauer erklären?
Zum Vergrößern anklicken....
Wenn ich ein Zertifikat beziehe und per Name über den Browser auf den Dienst gehe bekomme ich keine Fehlermeldung wegen einem Selbstsignierten Zertifikat, gehe ich allerdings per IP auf den gleichen Dienst schon, würde das der A Record bei Netcup beheben? Eigentlich nicht, da ja die IP im Zertifikat stehen müsste oder?

Falls es aber keien Sicherheitsbedenken gibt, wenn ich einzelne Subdoamins mit interner IP bei Netcup eintrage um dann adguard regeln zu sparen klignt das auch gut.
Also das qusi der Name der subdomain dann weltweit mit der internen IP verknüpft ist, ist das der fall?
 
Über die IP bekommst du immer die Zertifikatswarnung, da das Zertifikat für die Domain und nicht für die IP ausgestellt ist.
Es gibt zwar auch Zertifikate die für IPs gültig sind, das bringt dir aber lokal bzw intern nichts. Da solltest du einfach immer über den Domainnamen gehen.

Ob du das DNS-Handling nun bei netcup oder bei Adguard machst, ist eigentlich völlig egal. Wenn die Dienste eh nur per VPN verfügbar sind, kommt es aufs gleiche raus
 
  • Gefällt mir
Reaktionen: Don-DCH und marcel.
Don-DCH schrieb:
Nun ist die Frage ob ich bei Netcup auch in der DNS Verwaltung noch etwas anlegen muss?
Zum Vergrößern anklicken....
Du kannst dort als Wildcard die IP deines lokalen Reverse Proxys hinterlegen, dann musst du dir das nicht lokal zusammenbauen.
Und es funktioniert auch dann, wenn der lokale DNS mal nicht so läuft wie er soll.

Irgendeine 192.168.x.x Adresse ist ja kein Geheimnis.


Don-DCH schrieb:
Würde anwendung1.intern.meinedomain.de mehr Sinn ergeben oder kann ich mit .intern sparen?
Zum Vergrößern anklicken....
Bringt nur unnötige Komplexität rein. Weglassen.
 
  • Gefällt mir
Reaktionen: Don-DCH
Funfare schrieb:
Über die IP bekommst du immer die Zertifikatswarnung, da das Zertifikat für die Domain und nicht für die IP ausgestellt ist.
Zum Vergrößern anklicken....
Alles klar :)

Funfare schrieb:
Ob du das DNS-Handling nun bei netcup oder bei Adguard machst, ist eigentlich völlig egal. Wenn die Dienste eh nur per VPN verfügbar sind, kommt es aufs gleiche raus
Zum Vergrößern anklicken....
Hmm gibt es keinerlei Unterschied?

h00bi schrieb:
Du kannst dort als Wildcard die IP deines lokalen Reverse Proxys hinterlegen, dann musst du dir das nicht lokal zusammenbauen.
Und es funktioniert auch dann, wenn der lokale DNS mal nicht so läuft wie er soll.
Zum Vergrößern anklicken....
Das klingt gut, nach außen geht ja eh nichts, da keine Portfreigabe da ist.
Dann wäre das die beste Lösung oder?

h00bi schrieb:
Bringt nur unnötige Komplexität rein. Weglassen.
Zum Vergrößern anklicken....
Ok, wenn es keinerlei Vorteile Bietet dann lasse ich das Weg :)

Danke euch!
 
Don-DCH schrieb:
Hmm gibt es keinerlei Unterschied?
Zum Vergrößern anklicken....
Für deinen Anwendungsfall: nein, nicht wirklich.
Generell gesehen, macht es schon einen Unterschied. Es ist nicht gerade Best Practice, private IPs über öffentliche DNS Server zu nutzen.
Es kann einiges über dein internes Netzwerk verraten, jenachdem was alles an DNS Einträgen angelegt ist. Für ein Wildcard-Eintrag oder ein paar interne VMs oder Container, ist das nicht wirklich wild. Vorallem wenn man von extern eh nicht in dein Netzwerk kommt. Sollte doch mal jemand ins Netzwerk eindringen, ist es aber eh egal, dann findet er die DNS Einträge auch schnell, das ist kein Hindernis.

Manche Router haben auch ein DNS Rebind Schutz (darunter auch ne FritzBox, pfsense, OPNsense). Das verhindert, dass Einträge von öffentlichen Domains die auf private IPs zeigen, weitergegeben werden. Da müsstest du also deine Domain whitelisten.
Hintergrund ist, dass Angriffe aufs interne Netzwerk verhindert werden sollen. Siehe https://en.wikipedia.org/wiki/DNS_rebinding
 
  • Gefällt mir
Reaktionen: JumpingCat
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Domi_bas
Wie internen Server über einen Domain von intern und extern erreichen?
Antworten
14
Aufrufe
13.622
Raijin
Raijin
T
Externe 3TB HDD intern verwenden?
Antworten
17
Aufrufe
2.012
Atlan3000
Atlan3000
Y
Externe Toshiba Intern verwenden?
Antworten
8
Aufrufe
1.575
yamyamyup
Y
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz