Cloudflare Tunnel vs. Proxy & Pi-hole für internes DNS – Beste Lösung?

[D0bby]

Moin zusammen,

ich bin gerade dabei, mein Homelab etwas aufzuräumen, zu verbessern und nebenbei noch ein paar neue Dinge zu lernen. Falls ich mich dabei mal ungeschickt ausdrücke – seht es mir nach. 😅

Mein Setup​

Ich habe eine eigene Domain und hoste aktuell 2–3 Dienste öffentlich im Netz, während der Rest (ca. 9 Dienste) nur intern erreichbar ist. Jetzt möchte ich die internen Services mit SSL-Zertifikaten absichern und über DNS sauber ansprechbar machen.

Frage 1: Cloudflare Tunnel & Routing-Probleme​

Meine öffentlichen Dienste laufen über Cloudflare Tunnel, damit meine IP geschützt bleibt. Jetzt ist mir aber aufgefallen, dass Cloudflare im Free-Plan scheinbar alles über New York routet, was zu spürbar schlechteren Ladezeiten für Telekom-Nutzer führt. 🤯

Kann ich das im Free-Plan überhaupt ändern oder bleibt mir nur der Wechsel auf den Pro-Plan?
Falls jemand damit Erfahrung hat – gerne her mit den Infos! 🙌

Frage 2: Internes DNS-Handling (UDM Pro & Pi-hole)​

Ich nutze als Router die UDM Pro und muss aktuell für jede Subdomain meiner internen Dienste einen eigenen DNS-Record manuell eintragen, weil *.domain.tld offenbar nicht funktioniert?! (auf der UDM) 🤔

Würde hier ein Wechsel zu Pi-hole helfen? Dann könnte ich mir direkt auch DNS-over-TLS (DoT) anschauen – hat da jemand Erfahrung mit?

Mein Ziel​

Ich will erstmal, dass alles stabil läuft und dabei so sicher wie möglich für den Heimgebrauch bleibt.

Ich packe mal ein paar Screenshots meiner aktuellen DNS-Einstellungen & Firewall-Regeln mit rein. Falls ihr Tipps und Anregungen habt – immer her damit! Ich mache das Ganze hauptsächlich zum Lernen, also haut ruhig alles raus, auch wenn ich gerade in die völlig falsche Richtung laufe. 😄

---

Danke schon mal an alle, die sich die Zeit nehmen!

Ergänzung (Samstag um 18:09)

Achso - die FW Rules ist quasi noch da, da ich aktuell beides benutz habe (Tunnel und Proxy) und da für mich noch nicht entschieden habe was ich jetzt besser finde

 

[jebeo]

dass Cloudflare im Free-Plan scheinbar alles über New York routet, was zu spürbar schlechteren Ladezeiten für Telekom-Nutzer führt

Tja, pay for performance

muss aktuell für jede Subdomain meiner internen Dienste einen eigenen DNS-Record manuell eintragen, weil *.domain.tld offenbar nicht funktioniert?

*.domain funktioniert bei CF problemlos, also eher lokales Problem.

 

[D0bby]

*.domain funktioniert bei CF problemlos, also eher lokales Problem.

Ja auf jeden fall. Da hab ich mich evtl zu kurz ausgedrückt. Die UDMpro kann keine Wildcard-Domain.

 

[DLMttH]

Tja, pay for performance

Im Gegenteil! Mit jedem anderen Provider hast du das nicht, das ist ein reines Telekom-Problem.

Ergo Provider wechseln und dabei sogar Geld sparen. Würden mehr als eine Handvoll Personen hier Druck machen, hätte das Problem sich längst erledigt.

 

[D0bby]

Im Gegenteil! Mit jedem anderen Provider hast du das nicht, das ist ein reines Telekom-Problem.

ja gut - das bringt ja nur aktiv was als user. Aber mir nichts um es bereit zu stellen.

 

[DLMttH]

Richtig, für dich selbst gibt es keine Lösung. Die Telekom könnte morgen entscheiden, den Cloudflare Paid Tier einfach aus Bockigkeit über Singapur zu routen. Dann guckst du richtig blöd aus der Wäsche.

 

[grünerbert]

Jetzt möchte ich die internen Services mit SSL-Zertifikaten absichern und über DNS sauber ansprechbar machen.

Ohne es selbst probiert zu haben glaube ich, dass dieses Video genau das zeigt, was du vorhast. Mit Cloudflare als Domainanbieter, nginx und Pihole via Docker. Gib mal Bescheid, ob es funktioniert hat.

 

[D0bby]

Laufen tut es schon gut. Meine Frage richtet sich mehr auch in richtung Sicherheit. Aber Fun Fact - genau das Video hatte ich auch gesehen

Morgen gehts weiter - und Pihole plus TLS.

 

[norKoeri]

die internen Services mit SSL-Zertifikaten absichern

Was genau ist das Ziel davon; hast Du irgendeine Anwendung oder Gerät, welches Probleme damit hat? Oder geht es um einen Komfortverlust? Du kannst auch eigene Zertifikate nutzen, und diese dauerhaft hinterlegen. Dabei helfen wir als Community gerne. Du kannst auch eine eigene Ausgabestelle erzeugen, und nur dieser dauerhaft hinterlegen. Auch dabei helfen wir gerne.

 

[D0bby]

Was genau ist das Ziel davon;

Hauptziel sind zwei Sachen. Einmal lerne ich gerne Sachen dazu und liebe es mich in sowas rein zuarbeiten und auch abzusichern.

Und zweitens - nerven mich dann die Fenster nicht mehr und ich muss es nicht für jeden in der Family and friends Einstellen ( wenn du mit hinterlegen auf dem Client meinst ). Ich habe ja eh 3 domains und eine nutze ich jetzt als sub - Privat mit einen *.domain.tld Zertifikat von Let's Encrypt. Spricht da was dagegen?

Gibt es technisch bessere Versionen?