Dienste im Heimnetzwerk mit domain/subdomain erreichbar machen, statt per IP

  • nslookup kennst du? Mach eine txt query auf die acme Challenge, optional mit Angabe eines DNS Servers.


    nslookup -type=txt _acme-challenge.<YOUR_DOMAIN>

    Das bekomme ich als Ausgabe:


  • Genau, du musst die Aufrufe machen, während das Lets Encrypt Script läuft. Mache den Aufruf am besten mehrfach, so einmal pro Minuten, und schaue, ob irgendwann der Text Eintrag auftaucht. Wo wir dabei sind: Du hast den Text Eintrag ja im Web-Portal von Netcup gesehen, wenn er vom Lets Encrypt Script eingetragen wurde. Wie war der Status des Eintrags? Gültig? Unbekannt? Ungültig? Das könnte auch noch Hinweise geben.


    Wenn der Eintrag nicht auftaucht, dann hast du ein Timing Problem, oder die API Aufruf klappen doch nicht so, wie du glaubst. Wenn der Eintrag auftaucht, und das Zertifikat kommt trotzdem nicht zustande, dann ist vermutlich der eingetragene Wert für cie Challenge falsch. Das ist durchaus denkbar, da es auch bei DuckDNS schiefgeht. Dann müsstest du die Konfiguration deiner Scripte überprüfen.

  • Danke für Eure Hilfe.


    Es hat jetzt funktioniert und zwar so:

    - Im NPM gibt es ein Eingabefeld für "Wait for DNS Propagation" => hab ich auf 1000 gestellt

    - Netcup API Daten eingetragen und Apply

    - In der Netcup DNS Verwaltung wurden automatisch 2x _acme-challenge TXT Einträge mit "unknown" angelegt

    - Warten und Warten

    - Irgendwann Fehlermeldung "Bad Gateway" im NPM

    - In 2. Browserfenster noch paar Mal im NPM auf "SSL" geklickt und irgendwann waren die Zertifikate da.

    - 2x _acme-challenge TXT Einträge in der Netcup DNS Verwaltung wurden wieder automatsich entfernt.


    Allerdings gibt es jetzt das Problem, dass für beide zum Test angelegte Proxy Hosts, trotz der richtigen Einstellungen immer "Heimdall" aufgerufen wird und außerdem die Browser über die Zertifikate meckern: "Warnung: Mögliches Sicherheitsrisiko erkannt"

    Screenshot 2024-07-26 001932.jpg

  • Allerdings gibt es jetzt das Problem, dass für beide zum Test angelegte Proxy Hosts, trotz der richtigen Einstellungen immer "Heimdall" aufgerufen wird ...

    Erkennt der NPM die aufgerufene Domain denn richtig?



    ... und außerdem die Browser über die Zertifikate meckern: "Warnung: Mögliches Sicherheitsrisiko erkannt"

    Über welche URL beschweren sich die Browser denn?


    Ich hab die Befürchtung, dass der Aufruf in deinem Browser nicht zu deinem Zertifikat und zur NPM Konfiguration passt.

  • Naja, ich kann beide Domains aufrufen. Allerdings werden die Zertifikate wohl nicht als gültig eingestuft. Also kommt immer die Browser Warnmeldung. Genau das wollte ich ja mit den Zertifikaten nicht mehr haben.

    UNd dann wie gesagt, dass für beide Domains Heimdall aufgerufen wird, was für 1 richtig ist, für die 2. aber falsch, s. Screenshot oben

  • Allerdings werden die Zertifikate wohl nicht als gültig eingestuft.

    Welche Fehlermeldung wird denn genau angezeigt? Der Browser zeigt sicher mehr an als "wohl nicht gültig". :)


    Und hast du dir das Zertifikat mal genau angeschaut, ist irgendwas auffällig?


    Beispiel Firefox:


    pasted-from-clipboard.png


    Ohne konkrete Infos wird es schwierig hier gezielte Tipps zu geben.


    Und die NPM Logs geben auch nicht mehr her?

  • Naja, ich kann beide Domains aufrufen.

    Das war nicht meine Frage. Was erkennt der NPM beim Aufruf? Hat er überhaupt eine Chance, die Anfrage richtig weiterzuleiten? Das müsstest du aus den Logs entnehmen können. Ich vermute, da geht beim Aufruf der Domains was schief.


    Wenn das Zertifikat für die Domain richtig ausgestellt ist und richtig eingebunden wurde, dann müsste es gültig sein. Der Umstand, dass es als ungültig eingestuft wird, ist für mich ein weiterer Hinweis, dass mit deinen Aufrufen auf die Domains etwas noch nicht stimmt.

  • Sonst könnte man auch den CF Argo Tunnel als reverse proxy nutzen, weiß aber nicht ob die DNS auch bei denen geführt werden muss oder ob den jeder nutzen kann.

    Das war das erste woran ich dachte, als ich die Themenüberschrift gelesen habe. Aber aus irgendeinem Grund will der TE ja kein Cloudflare.


    Wie einfach das geht, inkl. SSL-Zertifikat usw. Quasi nur 2 Klicks, fertig. Und das nach ungelogen fast 2 Jahren Recherche, wie ich das DS-Lite / die fehlende Public IP umgehen kann. Dauert übrigens immer noch an, VPN, etc. Alles nicht so wirklich zielführend.


    Trotzdem oder gerade deswegen würde mich die technische Umsetzung interessieren. Mein Aluhut ist zwar grad in der Reinigung, aber sollte ich das noch mehr absichern? Der Rechner auf dem das läuft ist nur "Spielplatz", da sind keine wichtigen Daten drauf. Und der läuft hier separat und getrennt von allen anderen in einem Gastnetzwerk, um es mal mit AVMs Worten zu beschreiben. Die Domain ist übrigens hier bei Netcup, man muss halt nur die CF Nameserver eintragen.


    Hier mal die Domain, falls jemand mit Ahnung mal Zeit hat. Würde mich echt interessieren was man da rausbekommen kann (Provider, Wohnort etc.?). Wenn ich die Domain anpinge, kriege ich nur eine IPv6 von Cloudflare.


    https://ai.kflan.de


    Gruß Kristian

    WH 8000 SE BF22, VPS Piko G11s, Nano G11s, Mikro G11s, VPS 1000 ARM US, VPS 1000 G11 JA24, RS2000 G11 JA24, RS4000 G11

  • Bildschirmfoto zu 2024-07-28 11-40-24.png


    Wovon soll man Ahnung haben und was soll elaboriert werden?

    Ob das wirklich so sicher ist, wie CF bewirbt. Wenn man nur CF IPs bekommt, scheint ja niemand zu wissen, wer da was treibt (außer CF selber).

    Da gibt es genügend Gründe für (siehe z. B. hier und hier), weswegen das meiner Meinung nach zu respektieren ist.

    Klar respektiere ich das. Wenn ich da vertrauliche Daten liegen hätte, würde ich das auch nicht nutzen, und auch nicht für öffentliche Homepages..

    Aber mir macht es halt das Leben leichter, wenn ich so bequem von überall Zugriff auf mein Home Assistant oder Unraid Server habe.


    Und da ich das in 2 Jahren nicht mit VPN/Wireguard hinbekommen habe, ist es gut so.

    WH 8000 SE BF22, VPS Piko G11s, Nano G11s, Mikro G11s, VPS 1000 ARM US, VPS 1000 G11 JA24, RS2000 G11 JA24, RS4000 G11

  • Aber mir macht es halt das Leben leichter, wenn ich so bequem von überall Zugriff auf mein Home Assistant oder Unraid Server habe.

    Sind aber zwei verschiedene Themen:

    Dein Thema ist von außen auf dein LAN zugreifen - das andere Thema ist im eigenen LAN TLS Dienste zu betreiben mit sauberem Zertifikat.

    Ob das wirklich so sicher ist, wie CF bewirbt. Wenn man nur CF IPs bekommt, scheint ja niemand zu wissen, wer da was treibt (außer CF selber).

    Kommt darauf an, wie Diszipliniert man ist.


    Die Domain hat historische DNS Daten von nur wenigen Tagen - ein alter A Record zeigt auf gamingcontrol, genau so wie der aktuelle MX Record.

    Als Nameserver waren mal mc-host24 hinterlegt.


    Soweit so unspecktakulär.


    Bei der Denic hingegen findet man die Angaben zum Domain Robot - dort sind als E-Mail kristian@nachname.cloud hinterlegt.

    Die Seite hat übrigens kein Impressum, was angesichts des Inhaltes jedoch sein sollte.


    Über die Domain und auch die Angabe über den "Hoster" auf der Seite kommt man entweder über den A Record oder aber über den Link auf dein gewerbliches Hostingangebot mit Angabe von Adresse, Handynummer, UStID. Stadt und Name passen zu deinem Forennamen und damit schließt sich das Bild innerhalb von 10 Minuten.


    Von hier aus könnte man weitere Nachforschungen betreiben.

  • Danke erstmal für Eure Hilfe.

    Irgendwas scheint bei der Zertifikaterstellung mit NPM wohl schiefzugehen.


    Ich mache jetzt in den nächsten Tagen folgendes:

    1. In NPM nochmal alle Zertifikate löschen und alles nochmal von vorne. Wenn`s geht, super. Wenn nicht:

    2. Ich kann doch auch Zertifikate in den NPM importieren. Habt Ihr einen guten Ansatz die DNS Challenge anderweitig durchzuführen, gerne mit automatischer Renewal. Diese Zertifikate schiebe ich dann dem NPM unter.

    3. Wenn das auch nciht geht, lebe ich weiter mit Heimdall, ist dann zwar kein direkter Aufruf der Dienste und auch kein SSL. Erfüllt aber mehr oder weniger auch sein Zweck, halt nicht so fancy...