Certbot für eigene Nextcloud mit DynDns

[DerLeon33]

Hallo, erstmal hoffe ich das ich in diesem Teil des Forums richtig bin

Derzeit versuche ich seit einigen Tagen vergeblich eine HTTPS-Zertifikat mit einer DynDns zum Laufen zubekommen.
Folgendes ist bei mir gegeben.
Meine Domäne wird auf die DynDns weitergeleitet die auf meine FritzBox und somit die Öffentliche IP meines Routers zeigt. Meine Nextcloud läuft innerhalb eines Ubuntu Container auf meiner QNAP Nas mit einer eigenen IP als eigenständiger "PC" im Netzwerk. Diesem Container bzw. seiner IP sind die Ports 443 und Port 80 in der FritzBox freigegeben.
Wenn ich bei meiner Domäne den A-Record auf meine Öffentliche IP setze funktioniert es, dann lässt sich das SSL-Zertifikat installieren und ich komme von außen ganz normal auf meine Cloud. Allerdings funktioniert das natürlich nicht dauerhaft da sich die IP meines Routers nachts wie üblich ändert.

Gibt es also eine Möglichkeit das der Certbot trotzdem das SSL-Zertifikat installieren kann ohne den A-Record?

Ich hoffe ihr könnt mir helfen
LG

 

[Hancock]

Wenn ich bei meiner Domäne den A-Record auf meine Öffentliche IP setze funktioniert es, dann lässt sich das SSL-Zertifikat installieren und ich komme von außen ganz normal auf meine Cloud.

Dann funktioniert es ja schon mal wie vorgesehen.

Allerdings funktioniert das natürlich nicht dauerhaft da sich die IP meines Routers nachts wie üblich ändert.

Daher das "Dyn" in DynDNS.

Gibt es also eine Möglichkeit das der Certbot trotzdem das SSL-Zertifikat installieren kann ohne den A-Record?

Der A-Record muss auf den Server zeigen, auf dem das Zertifikat drauf sein soll. Eine 301-Weiterleitung geht nicht. Ein echter Proxy geht (z.B. nginx Reverse Proxy).

Üblicherweise verwendet man dann ein Programm (z.B. ddclient), welches alle paar Minuten die (eigen öffentliche) IP checked, und bei einer Änderung den A-Record aktualisiert.

Ergänzung (4. Juni 2022)

BTW: Du kannst auch aus dem Heimnetzwerk mit deiner öffentlichen IP auf den Server dann zugreifen, die Fritzbox ist so intelligent, dass das nicht übers DSL geschickt sondern direkt weitergeleitet wird.

 

[madmax2010]

Spricht was dagegen einfach deine v6 adresse zu nehmen? In der Regel kannst du dir dann dieses ganze DynDNS gefuckel sparen.
Wenn du vom Provider kein festes prefix bekommst, schreinb ihnen ne mail. Sowas kostet i.d.r nix

Gibt es also eine Möglichkeit das der Certbot trotzdem das SSL-Zertifikat installieren kann ohne den A-Record?

einen a record hast du doch? das ist der eintrag, der deine Subdomain auf eine IP adresse mapped. Der 301 wirft dir da halt Steine in den weg.
Alternativ eine eigene Domain kaufen, DynDNS so einrichten: https://dns.he.net/
DNS Challenge nutzen und entsprechend den TXT Record setzen

 

[Rickmer]

Ich hatte das bei mir gelöst, indem ich die Domain auf einen Registrar migriert hatte, welcher DynDNS unterstützt. Damit konnte ich das 'Domain auf DynDNS umleiten' vermeiden.

Meine Domain liegt aktuell bei Strato.

 

[DerLeon33]

Dann funktioniert es ja schon mal wie vorgesehen.

Daher das "Dyn" in DynDNS.

Der A-Record muss auf den Server zeigen, auf dem das Zertifikat drauf sein soll. Eine 301-Weiterleitung geht nicht. Ein echter Proxy geht (z.B. nginx Reverse Proxy).

Üblicherweise verwendet man dann ein Programm (z.B. ddclient), welches alle paar Minuten die (eigen öffentliche) IP checked, und bei einer Änderung den A-Record aktualisiert.

Ergänzung (4. Juni 2022)

BTW: Du kannst auch aus dem Heimnetzwerk mit deiner öffentlichen IP auf den Server dann zugreifen, die Fritzbox ist so intelligent, dass das nicht übers DSL geschickt sondern direkt weitergeleitet wird.

Das mit dem ddclient hört sich ganz interessant an, hab mir das eben mal angeschaut. Blicke da allerdings nicht ganz durch wie ich das mit meiner Strato-Domäne und einem DynDns-Dienst einrichte. Kann mir da einer von euch helfen?

Edit: meinen DynDns-Dienst ist nicht bei Strato, den habe ich irgendwo anders aber das sollte kein Problem sein oder?

 

[madmax2010]

kommt drauf an welchen dienst du nutzt
Die unterstuetzen finden sich in der readme

 

[Hancock]

Also deine "Strato-Domäne", du hast dir ne .de-Domain be Strato gekauft. Also ein Paket von https://www.strato.de/domains/ ?

Bei mir sieht die /etc/ddclient.conf wie folgt aus:

ssl=yes
daemon=3600
protocol=dyndns2
server=dyndns.strato.com
login=<domainname>
password='<dyndns password>'
use=web <domainname>

Für die Strato-Seite https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihre-domains-ein/

Ergänzung (5. Juni 2022)

DynDns-Dienst

PS: Was meinst du damit? Dein Registrar?

 

[DerLeon33]

Also deine "Strato-Domäne", du hast dir ne .de-Domain be Strato gekauft. Also ein Paket von https://www.strato.de/domains/ ?

Bei mir sieht die /etc/ddclient.conf wie folgt aus:

ssl=yes
daemon=3600
protocol=dyndns2
server=dyndns.strato.com
login=<domainname>
password='<dyndns password>'
use=web <domainname>

Für die Strato-Seite https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihre-domains-ein/

Ja richtig.

So wie ich es verstanden habe aktualisiert ddclient ja den A-Record bei meiner Domäne richtig?
Was muss ich dann bei meinem Certbot eintragen bzw. verändern das er das SSL-Zertifikat richtig installieren kann?

 

[madmax2010]

So wie ich es verstanden habe aktualisiert ddclient ja den A-Record bei meiner Domäne richtig?

ja, wobei der AUfwand wirklich heutzutage eig. kaum noich notwendig ist.

Was muss ich dann bei meinem Certbot eintragen bzw. verändern das er das SSL-Zertifikat richtig installieren kann?

Nichts. Domain eintragen und laufen lassen.
Hier findest du alles dazu wie du certbot mit Webserver X auf OS Y laufen lassen kannst
https://certbot.eff.org/instructions

 

[DerLeon33]

ja, wobei der AUfwand wirklich heutzutage eig. kaum noich notwendig ist.

Nichts. Domain eintragen und laufen lassen.
Hier findest du alles dazu wie du certbot mit Webserver X auf OS Y laufen lassen kannst
https://certbot.eff.org/instructions

Habe ich gemacht, hab bei dem ddclient alles eingetragen. Dennoch zeigt der Certbot mir Challenge Failed an mit der Bemerkung ich solle doch bei der Domäne den A/AAAA-Record eintragen.

Falls es euch was bringt, ich habe die Nextcloud sowie sämtliche Dinge mit dem Certbot nach den beiden folgenden Tutorials gemacht.
https://howtodotech.de/nextcloud-23-auf-ubuntu-20-04-server-installieren
apache-webserver-zertifikat-lets-encrypt-certbot

Also deine "Strato-Domäne", du hast dir ne .de-Domain be Strato gekauft. Also ein Paket von https://www.strato.de/domains/ ?

Bei mir sieht die /etc/ddclient.conf wie folgt aus:

ssl=yes
daemon=3600
protocol=dyndns2
server=dyndns.strato.com
login=<domainname>
password='<dyndns password>'
use=web <domainname>

Für die Strato-Seite https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihre-domains-ein/

Ergänzung (5. Juni 2022)

PS: Was meinst du damit? Dein Registrar?

Ich hab kein Plan was ein Registrar ist ^^
Mit DynDns Dienst meinte ich den Dienst der meine DynDns hostet in meinem Fall dyndnsfree.de

 

[Rickmer]

Ich hab kein Plan was ein Registrar ist ^^

Da wo du für deine Domäne bezahlst.

https://de.wikipedia.org/wiki/Domain_(Internet)
https://de.wikipedia.org/wiki/Domain_Name_Registrar

 

[DerLeon33]

Ich hatte das bei mir gelöst, indem ich die Domain auf einen Registrar migriert hatte, welcher DynDNS unterstützt. Damit konnte ich das 'Domain auf DynDNS umleiten' vermeiden.

Meine Domain liegt aktuell bei Strato.

Ich habe das so verstanden das ich meine Domäne als DynDns nutzen soll korrekt?

Ich hab das jetzt mal ausprobiert und in der FritzBox meine Domäne als DynDns hinterlegt. Allerdings leitet meine Domäne mich jetzt auf den scheinbar falschen Port. Zumindest sagt das der Certbot. Kann ich das in der FritzBox irgendwie umstellen?

 

[madmax2010]

Für Webserver brauchst du port 80 und 443. Nicht auf 8081 lauschen lassen. So tut Letsencrypt nicht

Ich habe das so verstanden das ich meine Domäne als DynDns nutzen soll korrekt?

Dns: Zuweisung von IPS zu Domains
Dyn: du hast keine feste IP und musst daher die IP dynamisch anpassen

 

[DerLeon33]

Für Webserver brauchst du port 80 und 443. Nicht auf 8081 lauschen lassen. So tut Letsencrypt nicht



Dns: Zuweisung von IPS zu Domains
Dyn: du hast keine feste IP und musst daher die IP dynamisch anpassen

Ja, wie gesagt wie kann ich das ändern? Ich habe dem Container Port 80 und 443 freigegeben. Und ich wenn im Browser meine Domäne aufrufe öffnet sich wie in einem der Screenshots zu sehen auch die Seite mit Port 8081

 

[madmax2010]

In der apache config auf 80 ändern.

 

[DerLeon33]

In der apache config auf 80 ändern.

Apache Config ist die Datei unter /etc/apache2/ports.conf?

Falls ja, die hab ich eben geändert. Keine Wirkung

 

[madmax2010]

Stand da vorher 8081?
Vermutlich in deiner reverse proxy config.
Die ports.conf solltest du nicht anfassen. Bitte rückgängig machen

Wie kommst du eigentlich auf 8081? Steht nirgends in deiner Anleitung

 

[DerLeon33]

Stand da vorher 8081?
Vermutlich in deiner reverse proxy config.
Die ports.conf solltest du nicht anfassen. Bitte rückgängig machen

Wie kommst du eigentlich auf 8081? Steht nirgends in deiner Anleitung

Man sieht doch was da vorher stand.

Ich bin nicht auf 8081 gekommen, ich habe auf Strato DynDns eingeschaltet, meine Domäne inklusive Passwort in der FritzBox eingetragen und mehr nicht. Ich habe keine Ports eingestellt, Außer das ich bei meinem Container die Ports 443 und 80 freigegeben habe. Ich weiß nicht wo sich Strato oder die FritzBox Port 8081 hernehmen.

Und in welcher Reverse Proxy Config? Wo find ich die und was soll ich daran ändern?