Eigener DynDNS Dienst

  • wieso dafür einen weiteren externen Dienst nutzen und nicht einfach im Netcup DNS ein cname auf die Fritz-Domain setzen?

    Vorteil der Weiterleitung ist wahrscheinlich, dass man ein gültiges Zertifikat bekommt, da die Fritzbox für ihre myfritz.net Subdomain ein Let's Encrypt Zertifikat zieht.
    Bei der CNAME-Variante muss man dann selber dafür sorgen, dass auf der Fritzbox ein gültiges Zertifikat installiert ist.
    Dazu habe ich mir übrigens mal ein PHP-Script geschrieben, was sich beim automatischen Erneuern des Zertifikats (Wildcard) auf meinem VPS zu allen Fritzboxen connected, die ich so verwalte, und dort das neue Zertifikat hochlädt.

  • Ja gut, auf der Adresse lauscht in meinem Fall zuhause ein nginx Proxy mit eigenem LE Zertifikat. Die Fritzbox-Adminoberfläche ist nur via lokalem Netz (und VPN) erreichbar. Je nach Anwendungsfall und Daten muss man eben selbst entscheiden welche Dienste man nutzt. :)

  • Danke für die Kommentare. Ich wollte allerdings eine Lösung ohne das ich Port 80 bei mir zuhause weiterleiten oder freigeben müsste zu dem Gerät auf dem ich die Zertifikate brauche (Node-RED-Instanz).

    Ich habe es jetzt anders, über die manuelle DNS-01 Challenge von LE gelöst:

    1. certbot installiert

    2. sudo certbot -d zuhause.domain.tld --manual --preferred-challenges dns certonly

    3. herauskommt das dns-challenge token und warten bis Schritt 6 komplett (certbot wartet selbständig auf "weiter")

    4. https://github.com/froonix/acme-dns-nc besorgt und für die netcup DNS api konfiguriert

    5. ./acme-dns-nc zuhause.domain.tld "<dns-challenge-token>"

    6. warten, wegen DNS-Aktualisierung (das ist natürlich nervig ...)

    7. certbot "Freigabe" erteilen (Fortsetzung Schritt 3)

    8. Zertifikate dort einbinden wo sie hinsollen

    9. Nicht vergessen mit " ./acme-dns-nc --del zuhause.domain.tld " den TXT-Eintrag wieder zu löschen (für das nächste mal)


    Mal gucken wie ich das besser automatisiert bekomme, aber zumindest bin ich erstmal glücklich ;)

  • Mal gucken wie ich das besser automatisiert bekomme, aber zumindest bin ich erstmal glücklich ;)

    Geht ohne Probleme automatisiert, mache ich auch so. Du kannst zumindest bei acme.sh mit --renew-hook "/opt/script/<dein_update_script>" arbeiten. So kannst nach jedem renew die Zertifikate automatisch irgendwo hochladen.


    Schaut bei mir so aus:


    Und halt dazu noch das Gegenpart auf dem jeweiligen Server, was eben passieren soll. Bei mir werden auf dem einen Server die Zertifikate noch in nen Docker Container kopiert, oder irgendwelche Container/nginx/etc neugestartet :)



    Edit: Da ich dort knapp 50 Domains für alle VPS/RS verwalte sind meine Scripte meist relativ allgemein ausgelegt. Du kannst natürlich auch die Angaben wie "server" oder "domain" direkt mit in das bashscript nehmen. Bei mir werden die halt auch noch mal weiter gereicht weil ich push notifications etc. bekomme.