de-Domain und DynDNS

Dein CNAME scheint falsch zu sein, da fehlt noch ein Punkt am Ende: …myfritz.net.

Ansonsten wird der Eintrag als Subdomain betrachtet und der Domainname ergänzt.

https://de.wikipedia.org/wiki/CNAME_Resource_Record

Quote from Patrick0815

Dein CNAME scheint falsch zu sein, da fehlt noch ein Punkt am Ende: …myfritz.net.

Ansonsten wird der Eintrag als Subdomain betrachtet und der Domainname ergänzt.

Generell würde ich dir da Recht geben. Bei netcup spielt es allerdings keine Rolle, ob da ein Punkt am Ende steht oder nicht. Es wird immer als vollwertige Domain interpretiert.

Quote from NehCoy

Aber leider klappt der Zugriff damit nicht. Ist das überhaupt so richtig?

Wie sieht die Fehlermeldung denn genau aus? Hast du den DNS-Rebind-Schutz der Fritzbox berücksichtigt?

Hi,

ich bin nicht ganz sicher, ob ich zu 100% verstanden habe, was du final erreichen möchtest, daher formuliere ich mal in meinen Worten: Du möchtest einen Reverse Proxy, der wie z.B. alle *.domain.tld von extern über Port 80/443 entgegen nimmt, diesen Traffic ggf. TLS terminiert und dann nach innen weiterreicht, korrekt?

Wenn ja, dann müsste zumindest dieser Dienst aus Fritzbox (FB) Sicht von außen erreichbar sein, ich gehe mal davon aus, du weißt, wie du das für IPv6 Verkehr in der FB einträgst?

Es wird IMHO einfacher, wenn wir ab jetzt DNS und DynDNS thematisch entflechten, trennen: D

Erst mal DNS: Dein gefundener Weg über CNAME auf deine extern erreichbare MyFRITZ!-Adresse ist m.A. nach der einfachste. Ich nutze das schon seit Jahren, um über die (einfacher zu merkende :)) URL fritzbox.meinedomain.tld mein FB VPN etc. erreichen zu können. Mein CNAME ist daher aber nicht "*", sondern nur "fritzbox". Wildcard würde bei mir nicht passen, da z.B. http://www.meinedomain.tld nicht Richtung FB, sondern zu meinem VPS geroutet werden soll. Ich wüsste aber nicht, warum in deinem Szenario der Wildcard nicht passen sollte. Hast du evtl. doch was ähnliches, sei es Zuhause+VPS, oder Zuhause+Webhosting, dann könntest du ja den Wildcard für den CNAME auf z.B. "*.fritzbox" setzen.

Nächstes Thema LetsEncrypt (LE). Über welche Challenge und welchen ACME Client möchtest du dir die Zertifikate denn holen? Das Zusammenspiel RevProxy (-> INGRESS) und LE kann man sich sehr schön am Beispiel Kubernetes und cert_manager ansehen. Für einen allerersten Start würde ich das HTTP oder DNS Challenge einmalig manuell setzen, via myfritz oder direkt auf DHCPv6 Adresse / Privacy extensions oder was auch immer du von deinem ISP für deine FB dynamisch bekommst, und mit Damir damit für erste 90 Tage mit einem gültigen LE-Zertifikat Zeit zum weiteren basteln sichern

Dann anschließend zum Thema DynDNS, und was ich bei deinen Fragen nicht ganz verstehe:

- Myfritz tut ja genau das für dich, mehr brauchst du IMHO erst einmal nicht, keinen externen DynDNS Dienst. Für deine eigene Domain via CNAME, siehe oben.

- Die mir bekannten DynDNS Dienste hatten, als ich vor Jahren da mal eingetaucht bin, alle unpassende Einschränkungen. Entweder sie boten (gratis) nur begrenzte Anzahl Subdomains, nur gegen Abo überhaupt die Möglichkeit, eine eigene Haupt Domain nutzen zu können etc. Also z.B. konkret: nehcoy.dyndns.com war möglich (sofern nehcoy noch als Subdomain frei, natürlich). DynDNS für *.nehcoy.tld wenn nur gegen Zahlung.

- Bis auf eine Ausnahme, stand vor Urzeiten m.W. mal in einem entsprechenden c't Artikel: https://freedns.afraid.org/. Bei afraid.org kann man "gratis" eine eigene domain.tld einbringen, und bekommt die wie von dir selbst oben eingepastet über die FB verbunden und aktualisiert. "Gratis" hat aber hier eine IMHO fundamentale und für mich recht schnell inakzeptable Nebenbedingung: Möchtest DU als Eigentümer von domain.tld diese für DynDNS via afraid.org nutzen, dann darfst du das nur, wenn du zustimmst, dass ALLE ANDEREN afraid.org Nutzer das auch dürfen!! Bringst DU also domain.tld ein, weil du ja z.B. revproxyathome.domain.tld für dein Szenario nutzen willst, dann könnte ICH als anderer afraid.org Nutzer z.B. michaelof.domain.tld nutzen. Für was ich will Du kriegst dann zwar eine Email, wenn ich das eintrage, kannst das manuell löschen. Aber verhindern vorab nur als Sponsor. Mir ging das damals sehr auf den Sender, weil ich nicht 24/7 aufpassen will, was für dubiose Subdomain aus woher auch immer zu meinDomain.tld eingetragen wurden. Ich nutze nur doch eine Subdomain für eine allgemeine afraid.org DynDNS Domain, gibt unzählige. Klappt übrigens fehlerfrei für IPv4 und IPv6, auch wenn etwas tricky da man in FB Feld Custom Update URL zwei durch Leerzeichen getrennte URLs für IPv4 UND IPv6 eingetragen werden mussten. Ich nutze das als Fallback, was Myfritz mal nicht fkt. sollte.

Quote from Virinum

Generell würde ich dir da Recht geben. Bei netcup spielt es allerdings keine Rolle, ob da ein Punkt am Ende steht oder nicht. Es wird immer als vollwertige Domain interpretiert.

Schaut mal z.B. hier https://toolbox.googleapps.com/apps/dig/#CNAME/, speziell den RAW Mode:

die Punkte werden seitens Netcup offensichtlich sauber gesetzt. Im CCP muss man sie nicht setzen.

Ich verwende sowas schon lange. Ich verwende meine Domain auch noch für Netcup Webhosting, deswegen lasse ich nur meine Subdomain auf DynDNS zeigen. Z. B. sub.domain.de zeigt mit CNAME sub.dyndnsdienst.de. Dann gehts im Nginx Proxy Manager weiter. Ich lasse die Subdomain auf den bestimmten Dienst zeigen. Das SSL Zertifikat kann man entweder von einem Webhosting von Netcup nehmen und die Infos eintragen, oder direkt im Nginx Proxy Manager beantragen. Die SSL Zertifikate bei Netcup findet man im WCP unter SSL Zertifikate, dann aufs Einstellungs-Symbol, nun die Domain auswählen und dann sieht man die Daten. Man braucht .key .crt und -ca.crt Dateien für NPM, die Daten muss man einfach rauskopieren und im Editor oder ähnlichem in das Format bringen und speichern und schließlich in NPM hochladen. So hat es bei mir immer funktioniert. Bei Wildcard, also allen Subdomains, kann man bestimmt auch alle direkt aufs Heimnetz zeigen lassen.

Quote from NehCoy

Der Sync der DNS-Einstellungen ist wohl durch. Mit dem Ergebnis, dass keine IP(v6)-Adresse für meine aufgelöst Domain aufgelöst werden kann.
Irgendetwas stimmt also mit den cname Einstellungen (noch) nicht...

Wie meinst du das genau, bzw. wie hast du das verifiziert?

CNAME hat ja zunächst nichts mit einer IPv4 oder IPv6 zu tun.

Löst denn deine myfritz-Adresse nach v4 und v6 auf?

Quote from NehCoy

pasted-from-clipboard.png

Überprüfst du hier die Domain selber? Also keine Subdomain? Denn dort greift die Wildcard nicht. Für die Domain selber kannst du auch keinen CNAME-Eintrag setzen. Dafür müsstest du einen anderen Nameserver-Betreiber verwenden, der sowas wie "CNAME flattening" beherrscht.

Wenn ich es noch recht in Erinnerung hab, löst die asd123.myfritz.net bei IP6 nur zum Fritzbox Webinterface auf.

Wenn du ein https Dienst im Heimnetz über asd123.myfritz.net erreichen willst musst du eine MyFRITZ!-Freigabe erstellen.

Dabei wird dann eine neue myfritz Adresse generiert z.b. vm.asd123.myfritz.net mit der kannst dann versuchen den CNAME auf deine sub.domain.de zu setzen.

Hab's nur so selbst noch nicht getestet.

pasted-from-clipboard.png