Weil bei den meisten der Router auch DNS-Server ist und dieser wiederum aus Sicherheitsgründen lokale IPs aufgrund des Rebind Schutzes nicht erreichbar macht. Glaube sogar auch der DNS von Google wird dir das nicht auflösen. Aber wie gesagt das war nur eine Info am Rande und hat nichts mit dem Vorgang zum Anfordern des Zertifikats zu tunSkudrinka schrieb:
kieleich
Commander
- Registriert
- Apr. 2020
- Beiträge
- 2.762
Ja bei 6 Tagen muss man wirklich automatisiern. Aber sowas ist noch nicht fest, oder?Tornhoof schrieb:
Wundert mich ehrlich gesagt ein wenig, es wurde (in der Client Dev) so viel Wert drauf gelegt die Intervalle Zeiten alle Zufällig zu verteilen und nicht früher als nach 60 Tagen zu erneuern, weil, das ja massive Last ist wenn die ganze Welt ihre Zertifikate bei Letsencrypt holt.
Mit einer brutalen Verkürzung von 90 auf 6 Tage, muss ja die Last auf den Letsencrypt Servern, entsprechend massiv ansteigen.
Und hat Trump nicht die Finanzierung von denen mit abgesägt?
RedPanda05
Lieutenant
- Registriert
- Nov. 2024
- Beiträge
- 858
@Skudrinka es gibt 3 Möglichkeiten.
1. Man hat einen eigenen DNS Server und trägt diesen in den Clients ein / dhcp und schreibt die Domain -> lokaler IP, funktioniert.
2. Man hat keine lokalen DNS und gibt als A Record die lokale IP an, blockt die Fritzbox https://fritz.com/service/wissensda...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/.
3. Man hat einen lokalen DNS Server, gibt ihn aber nicht an jedes Gerät einzeln weiter, sondern lässt die Fritzbox ihn nutzen. Auch hier geht es wegen rebind nicht.
1. Man hat einen eigenen DNS Server und trägt diesen in den Clients ein / dhcp und schreibt die Domain -> lokaler IP, funktioniert.
2. Man hat keine lokalen DNS und gibt als A Record die lokale IP an, blockt die Fritzbox https://fritz.com/service/wissensda...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/.
3. Man hat einen lokalen DNS Server, gibt ihn aber nicht an jedes Gerät einzeln weiter, sondern lässt die Fritzbox ihn nutzen. Auch hier geht es wegen rebind nicht.
B
Babula
Gast
Ich spiele das ganze aktuell schon einmal durch mit einer alten Domain und noch Privaten Kabel Internet. Wenn ich den HTTP und HTTPS kurz öffne erhalte ich das Zertifikat und kann auch die Domain verwenden, aber auch nur die Domain nicht Lokale IP.
Und die Domain läuft auch nur wenn HTTP und HTTPS freigeschaltet bleiben, aber ich habe hierzu keine Lust das bleibt alles via VPN Privat. Die Endgültige Domain wollte ich bei IONOS nehmen, da hier auch ein Mailpostfach in dem Preis enthalten ist. So wie ich das lese auch ein Zertifikat wenn nicht haben die diese API Funktion ?
Tarifwechsel von Home nach Business Kabel ist heute durch gegangen die Hardware ist unterwegs und dann auch eine feste IP. Nur wie kann ich in der Fritzbox das ganze so einstellen das die Domain eventuell IONOS nur mit VPN verwendet werden kann ?
Und die Domain läuft auch nur wenn HTTP und HTTPS freigeschaltet bleiben, aber ich habe hierzu keine Lust das bleibt alles via VPN Privat. Die Endgültige Domain wollte ich bei IONOS nehmen, da hier auch ein Mailpostfach in dem Preis enthalten ist. So wie ich das lese auch ein Zertifikat wenn nicht haben die diese API Funktion ?
Tarifwechsel von Home nach Business Kabel ist heute durch gegangen die Hardware ist unterwegs und dann auch eine feste IP. Nur wie kann ich in der Fritzbox das ganze so einstellen das die Domain eventuell IONOS nur mit VPN verwendet werden kann ?
RedPanda05
Lieutenant
- Registriert
- Nov. 2024
- Beiträge
- 858
@Skudrinka Okay dann macht das natürlich Sinn 
Ich habe in meinem Fall eben einen tatsächlichen Record für xy.beispiel.net angelegt, der auf die lokale IP meines Nginx zeigt. Und das wird eben aus Sicherheitsgründen Standardmäßig nicht aufgelöst. Du hast halt einfach eine lokale Umschreibung bei deinem eigenen DNS-Server gemacht, da greift das natürlich nicht
Ich habe in meinem Fall eben einen tatsächlichen Record für xy.beispiel.net angelegt, der auf die lokale IP meines Nginx zeigt. Und das wird eben aus Sicherheitsgründen Standardmäßig nicht aufgelöst. Du hast halt einfach eine lokale Umschreibung bei deinem eigenen DNS-Server gemacht, da greift das natürlich nicht
Skudrinka
Fleet Admiral
- Registriert
- Sep. 2008
- Beiträge
- 11.585
Ich bin der Meinung, dass es am einfachsten ist sich bei cloudflare für ein paar wenige Euros im Jahr irgendeine Domain zu Kaufen.Babula schrieb:
Dieser zertifizieren, in nginx einzutragen mit der Domain und über einem lokalen DNS (pihole/adguard oder was anderes) die IP umzuschreiben.
Das bleibt so alles lokal und du musst keine Ports öffnen.
Wireguard an der Fritte einrichten und schon kannst du unterwegs auf dein Heimnetzwerk zugreifen.
Beispiel.deinedomain.org welche auf dein vaultwarden verweist.
Aber, das ist wohl eine von mehreren Möglichkeiten.
RedPanda05
Lieutenant
- Registriert
- Nov. 2024
- Beiträge
- 858
+1 für @Skudrinka
Eventuell als Anmerkung. Man kann die Adresse auch in den Rebind Settings des Routers hinterlegen (dann braucht es keinen eigenen DNS Server) und man kann auch eine ovh Domain nehmen (sind meinem Kenntnisstand nach etwas günstiger und bieten auch API access). Um 3€ im Jahr zu sparen würde ich keinen Port öffnen.
Eventuell als Anmerkung. Man kann die Adresse auch in den Rebind Settings des Routers hinterlegen (dann braucht es keinen eigenen DNS Server) und man kann auch eine ovh Domain nehmen (sind meinem Kenntnisstand nach etwas günstiger und bieten auch API access). Um 3€ im Jahr zu sparen würde ich keinen Port öffnen.
+1 für DNS Challenge
Netcup bietet auch regelmäßig de-Domains für unter 2€/Jahr an. Man kann dann einfach deren Domain API nutzen oder die Domain auf einen anderen Nameserver binden und dessen aPI nutzen, alles möglich, auch ohne Cloudflare.
Netcup bietet auch regelmäßig de-Domains für unter 2€/Jahr an. Man kann dann einfach deren Domain API nutzen oder die Domain auf einen anderen Nameserver binden und dessen aPI nutzen, alles möglich, auch ohne Cloudflare.
B
Babula
Gast
Das Problem wäre nicht einmal nur das Zerti zu beziehen, das habe ich ja nun weil ich kurz HTTP und HTTPS geöffnet habe. Es ist ohne die Ports überhaupt nicht möglich trotz Wireguard Fritzbox Verbindung die Seite zu öffnen.
RedPanda05
Lieutenant
- Registriert
- Nov. 2024
- Beiträge
- 858
Kannst du uns nochmal kurz beschreiben, was du bis jetzt genau gemacht hast und was geht und was nicht?
B
Babula
Gast
Ich kenne mich local überhaupt nicht aus, betreibe das ganze zum ersten mal in keinem Rechenzentrum.
Auf der Fritzbox ist aktuell Myfritz eingerichtet, hat sich aber ab Morgen erledigt da feste IP auch mit RDNS.
In der Fritzbox ist VPN über Wire eingerichtet und komme von unterwegs auf die Fritzbox und locale Weboberflächen.
Sagen wir ich habe nun eine Anwendung auf 192.178.0.0 so komme ich mit dem Port auch auf die Seite. Nur der Passwort Manager erfordert eine Domain mit Zerti und habe in meiner Domain beim Hoster die IP eingetragen. Komme dann auch auf den Manager aber eben nur mit open HTTP / HTTPS in NGINX Manager ist die Domain mit locale IP
ort eingetragen.
Auf der Fritzbox ist aktuell Myfritz eingerichtet, hat sich aber ab Morgen erledigt da feste IP auch mit RDNS.
In der Fritzbox ist VPN über Wire eingerichtet und komme von unterwegs auf die Fritzbox und locale Weboberflächen.
Sagen wir ich habe nun eine Anwendung auf 192.178.0.0 so komme ich mit dem Port auch auf die Seite. Nur der Passwort Manager erfordert eine Domain mit Zerti und habe in meiner Domain beim Hoster die IP eingetragen. Komme dann auch auf den Manager aber eben nur mit open HTTP / HTTPS in NGINX Manager ist die Domain mit locale IP
ort eingetragen.RedPanda05
Lieutenant
- Registriert
- Nov. 2024
- Beiträge
- 858
ich frage jetzt sicherheitshalber nochmal. Du hast in den A Record der Domain die IP Adresse deines Hausanschlusses angegeben, korrekt?
Und du erreichst den Proxy nur, wenn Port Forwarding auf Port 80 und 443 angeschaltet sind.
Falls ja, ergibt es Sinn, da deine Fritzbox die Domain nicht auflösen kann und bei seinem DNS Server nachfragt, dieser liefert nun die öffentliche IP deines Internetanschlusses und darauf läuft mit geschlossener Firewall kein Dienst.
Und du erreichst den Proxy nur, wenn Port Forwarding auf Port 80 und 443 angeschaltet sind.
Ergänzung ()
Falls ja, ergibt es Sinn, da deine Fritzbox die Domain nicht auflösen kann und bei seinem DNS Server nachfragt, dieser liefert nun die öffentliche IP deines Internetanschlusses und darauf läuft mit geschlossener Firewall kein Dienst.
B
Babula
Gast
Richtig beim Domain Hoster liegt ein A auf die IP von meinem Anschluss und diese stimmt auch noch hat sich bisher nicht geändert, ab Morgen ist das aber auch egal aufgrund einer festen.
Und ich erreiche den NGINX ProxyManager mit eingeschaltetem VPN mit der Localen IP von unterwegs. Bei Vaultwarden funktioniert das ganze aber nicht über die IP ohne Domain. Nur ist die Domain bzw. Vaultwarden eben nicht mehr von unterwegs zu erreichen wenn Port HTTP / HTTPS geschlossen ist.
@RedPanda05 genau so sieht das auch aus nur wie lösen ohne die Budde zu öffnen ?
Und ich erreiche den NGINX ProxyManager mit eingeschaltetem VPN mit der Localen IP von unterwegs. Bei Vaultwarden funktioniert das ganze aber nicht über die IP ohne Domain. Nur ist die Domain bzw. Vaultwarden eben nicht mehr von unterwegs zu erreichen wenn Port HTTP / HTTPS geschlossen ist.
@RedPanda05 genau so sieht das auch aus nur wie lösen ohne die Budde zu öffnen ?
RedPanda05
Lieutenant
- Registriert
- Nov. 2024
- Beiträge
- 858
Das Problem ist, dass du nun irgendwie eine Verbindung zwischen IP Adresse und der Domain schaffen musst. Hostdatei geht oder DNS Server Settings.
Ergibt aber alles keinen Sinn, da du es wahrscheinlich eh über die DNS Challenge automatisieren möchtest und da würdest du einfach: A Record auf Private IP. In Fritzbox die Rebind Settings für diese Domains / IPs ändern. Und per API dir automatisiert das Zert alle X Tage holen.
Ach und per Fritzbox Wireguard darauf zugreifen von extern.
Ergibt aber alles keinen Sinn, da du es wahrscheinlich eh über die DNS Challenge automatisieren möchtest und da würdest du einfach: A Record auf Private IP. In Fritzbox die Rebind Settings für diese Domains / IPs ändern. Und per API dir automatisiert das Zert alle X Tage holen.
Ergänzung ()
Ach und per Fritzbox Wireguard darauf zugreifen von extern.
Zuletzt bearbeitet:
B
Babula
Gast
@RedPanda05 genau das Problem ist nicht das beziehen von Zerti, dass wäre auch über ein kurzes öffnen gelöst. Ist eben denke ich normal das wenn HTTP / HTTPS geschlossen ist die Domain nicht verwendet werden kann, auch wenn in der Fritzbox ein Wireguard Verbindung steht.
Aber wie gesagt mit sowas habe ich mich noch nie auseinander gesetzt, einfach wäre es wenn Vaultwarden nur über locale IP verwendet werden kann. Weil das funktioniert ja alles Prima mit dem Fritzi VPN, bei anderen Oberflächen die nicht Domain und Zerti brauchen.
Aber wie gesagt mit sowas habe ich mich noch nie auseinander gesetzt, einfach wäre es wenn Vaultwarden nur über locale IP verwendet werden kann. Weil das funktioniert ja alles Prima mit dem Fritzi VPN, bei anderen Oberflächen die nicht Domain und Zerti brauchen.
RedPanda05
Lieutenant
- Registriert
- Nov. 2024
- Beiträge
- 858
Du kannst auch die Domain dafür verwenden, aber diese muss dann auf die IP Adresse des Proxy / Vaultwarden zeigen.
Da du ja eh einen Server bei dir zuhause installiert hast, könntest du theoretisch einen adguard/pi-hole/dns Server verwenden und in diesen eine Umleitung von MusterDomain.de -> ip von Vaultwarden machen, das müsste auch gehen.
Da du ja eh einen Server bei dir zuhause installiert hast, könntest du theoretisch einen adguard/pi-hole/dns Server verwenden und in diesen eine Umleitung von MusterDomain.de -> ip von Vaultwarden machen, das müsste auch gehen.
B
Babula
Gast
Also ich denke nicht das die Locale IP im A funktionieren würde, weil wie sollte das bei mir nach Hause auflösen zick Menschen haben diese locale IP. Wie gesagt oder ich verstehe etwas falsch, weil die Domain zeigt auf den Hausanschluss und der NGINX Proxy auf die locale IP vom Vaultwarden, mit open Port alles im Butter ohne ist Schicht im Schacht.
Ähnliche Themen
