Domain Lokal verwenden, Auflösung über PI-Hole anstatt FritzBox

[Moban]

Ich habe einen kleinen Homeserver mit Proxmox eingerichtet auf dem nun zwei LXC Container laufen.

• Pihole
• NGINX Proxy Manager

Sobald das ganze richtig läuft, kommen weitere wie NextCloud sowie Paperless hinzu.

Besitze eine Domain bei Hetzner, diese hat einen eingerichteten MX für mein IMAP Postfach Anbieter. Einen A auf die MYFRITZ kann ich nicht setzten und die IP von meinem Anschluss ändert sich halt. Vielleicht gibt es hierzu eine Lösung, in soweit das ganze überhaupt nötig ist. Das Zertifikat beantrage ich mit einer Hetzner API, somit sollte eigentlich keine IP im A nötig sein.

Nun möchte ich diese Domain aber auch lokal verwenden um eben lokale Adressen mit einem Lets Zertifikat zu bestücken. Als ersten Test habe ich versucht die NGINX Oberfläche mit meiner Domain auf zu rufen also nginx.meinedomain.de. Die IP Adressen wären (nur Beispiele) PiHol 192.168.178.60 sowie Nginx 192.168.178.82.

In PI ist ein DNS-Record von nginx.meinedomain.de <> 192.168.178.82 sowie ein Nginx Proxy Host von nginx.meinedomain.de Port 81.
Ich kann die Seite aber nicht aufrufen und ein Ping führt ebenfalls zu keinem Ergebnis, obwohl in der Fritzbox als DNS Server die PI IP4 angegeben wurde. Irgendwie scheint aber die Fritzbox nicht den DNS von PI zu verwenden, weil über nginx.fritz.box kann ich das ganze erreichen, somit verwendet das ganze wohl nicht den PI DNS-Record.

Wo ist der Fehler in meinem Gedanken oder Konfiguration ?

 

[janosch]

https://www.heise.de/news/Ueberfael...f-Namen-fuer-interne-Domain-fest-9612253.html

 

[dewa]

Nutzt dein Client auch wirklich den DNS Server? Schau da am besten mal nach

 

[Moban]

https://www.heise.de/news/Ueberfael...f-Namen-fuer-interne-Domain-fest-9612253.html

Ist nicht wirklich ein Link was mein Problem löst oder überhaupt angeht.

Nutzt dein Client auch wirklich den DNS Server? Schau da am besten mal nach

Genau dies ist mein Problem, obwohl ich die IP in der Fritzbox hinterlegt habe, zeigt er den IP6 DNS der Fritzbox an.

 

[T3Kila]

Lass die Fritzbox doch an einen externen DNS, die Fritzbox braucht kein PiHole.

An die Clients verteilst Du über den DHCP Server Dein PiHole als DNS.
Unter "Heimnetz" - "Netzwerk" - "Netzwerk Einstellungen" - "IPv4 Einstellungen"

Edit: abgesehen davon erkennt Dein PiHole die Clients nicht, wenn Du DNS über die Fritzbox machst. Dann laufen die Anfragen nämlich "Client" -> "Fritzbox" -> "PiHole" und im PiHole hast Du nur einen anfragenden Client, nämlich die Fritzbox

 

[liz02mo]

Schau mal beim PI Hole unter settings -> DNS -> Conditional forwarding

Vllt hilft das weiter

 

[dewa]

@Moban dann trag auch unter IP V6 Adressen in der Fritzbox deinen PiHole DNS Server ein

 

[ranzassel]

Bist du sicher, dass die Devices über IPv4 kommunizieren? Laut deinen Screenshots hast du für IPv6 deinen Provider-DNS. Der kennt natürlich nicht, was du auf dem Pi veranstaltest. Und da du in deinen nslookup-Screenshots IPv6-Ausgaben hast, vermute ich mal, dass deine Geräte per IPv6 reden. Was deinen Pi komplett umgehen würde.

 

[Der Lord]

Wie bereits geschrieben wurde, schau dass deine Clients den richtigen DHCP-Server (also den piHole) verwenden.

Und als kleine Randbemerkung:

Einen A auf die MYFRITZ kann ich nicht setzten

A-Records setzt man auch auf IPv4-Adressen. Aber einen CNAME Eintrag solltest du eigentlich setzen können, sprich:
lokal.deinedomain.de CNAME blablabla.myfritz.net
Aber wie gesagt, das nur am Rande, und hat mit deinem lokalen Problem wenig zu tun.

 

[azereus]

ipv6>ipv4
da deine FB ipv6 provider dns nutzt wird versucht deine domain darüber abzufragen

 

[Moban]

Lass die Fritzbox doch an einen externen DNS, die Fritzbox braucht kein PiHole.

An die Clients verteilst Du über den DHCP Server Dein PiHole als DNS.
Unter "Heimnetz" - "Netzwerk" - "Netzwerk Einstellungen" - "IPv4 Einstellungen"

Edit: abgesehen davon erkennt Dein PiHole die Clients nicht, wenn Du DNS über die Fritzbox machst. Dann laufen die Anfragen nämlich "Client" -> "Fritzbox" -> "PiHole" und im PiHole hast Du nur einen anfragenden Client, nämlich die Fritzbox

Wie das obige Bild im Anhang zeigt wurde bereits die IP Adresse von Pi-Hole dort eingefplegt.

@Moban dann trag auch unter IP V6 Adressen in der Fritzbox deinen PiHole DNS Server ein

IP6 DNS Server im Heimnetz ist in der Fritzbox abgeschaltet.

Bist du sicher, dass die Devices über IPv4 kommunizieren? Laut deinen Screenshots hast du für IPv6 deinen Provider-DNS. Der kennt natürlich nicht, was du auf dem Pi veranstaltest. Und da du in deinen nslookup-Screenshots IPv6-Ausgaben hast, vermute ich mal, dass deine Geräte per IPv6 reden. Was deinen Pi komplett umgehen würde.

Genau das verstehe ich eben nicht, da in PI eindeutig die Geräte im Netzwerk zu erkennen sind und auch schon gewissen sperren von DNS Aktivitäten.

ipv6>ipv4
da deine FB ipv6 provider dns nutzt wird versucht deine domain darüber abzufragen

Ich verstehe nur nicht warum da IP6 abgeschaltet ist siehe Anhand.

 

[ranzassel]

Das ist völlig normal, dass es mal geht und mal nicht: Je nachdem, ob dein Gerät sich gerade entscheidet IPv4 oder IPv6 zu verwenden, hast du ein anderes Ergebnis. IPv4 geht, IPv6 geht nicht. Weil bei IPv4 dein Pi als DNS-Server eingetragen ist. Bei IPv6 die Anfragen aber zu deinem Provider-DNS gehen (der dein Netzwerk nicht kennt).

Und in deiner Fritzbox ist IPv6 nicht deaktiviert. Die Einstellung sagt nur, dass es keinen IPv6-DHCP-Server im Netz geben soll. Ist für IPv6 auch überhaupt nicht notwendig, weil bei IPv6 sich jedes Gerät seine Adressen selber würfelt. Die müssen da nicht zentral vergeben werden.

Es würde also Sinn ergeben, die IPv6 des Pi via Router Advertisement von der Fritzbox verteilen zu lassen. Und zusätzlich in den IPv6-DNS-Settings der Fritzbox auch die IPv6 des Pi einzutragen. Ersteres hätte den Vorteil, dass jeder Client seine DNS-Anfragen direkt an den Pi schicken würde. Zweiteres ist dann eher der Fallback, dass ein Client der sich an die Fritzbox wendet auch über den Pi seine Antwort erhält.

Damit das klappt, musst du aber sicherstellen, dass es statische IPv6-Adressen in deinem Netz gibt, nennt sich ULA und kann in der Fritzbox konfiguriert werden. Die ULA-Adresse des Pi trägst du dann in der Fritzbox ein. Und möglichst nur diese. Jedes Gerät kann in IPv6 viele verschiedene IPv6 haben. Und die ändern sich auch sporadisch (spätestens wenn dein Provider deine Fritzbox eine neue IPv6 zuweist). Wenn das passiert, wird es noch lustiger, weil du via IPv6 dann gar kein DNS mehr hast, wenn die IPv6 ins Leere zeigt. Daher ULAs verwenden, wenn es dauerhaft funktionieren soll.

Das Thema IPv6 ist relativ einfach, wenn man sich einmal richtig eingelesen hat. Das kann allerdings dauern. Wenn man allerdings glaubt, dass IPv6 nur IPv4 mit anderen „Zahlen“ ist, dann ist man auf dem Holzweg. Hat bei mir auch gedauert, bis ich das verstanden habe. Aber mittlerweile läuft mein Pi seit zwei Jahren auch klaglos mit IPv6. Lies dich da mal in die Grundlagen ein. Für den „Post hier nebenbei“ ist das etwas viel.

Wichtige Schlagworte nach den Grundlagen wären auf jeden Fall ULA und SLAAC. Das sind dann die größten Gegner beim Versuch den Pi auch via IPv6 zum Laufen zu bekommen.

 

[floklo4]

Ich hab daheim auch einen Proxmox Server laufen, mit verschiedenen externen Services. In der Fritz!Box habe ich IPv6 komplett deaktiviert, damit die Kommunikation intern und extern rein per IPv4 stattfindet. Meine Domain wird auch über Hetzners DNS Konsole verwaltet. Dazu habe ich einen kleinen Linux LXC Container eingerichtet und darin das nachfolgende kleine Programm: https://github.com/filiparag/hetzner_ddns

Das kleine Programm prüft die externe IP und die, die bei der Domain hinterlegt ist. Ändert sich meine IP, dann wird diese zu Hetzner gepusht und angepasst. Funktioniert ohne Probleme. Nun aber zum Rest: Anstatt pihole nutze ich AdGuard. Dort habe ich für die interne Kommunikation zu meinen verschiedenen Servern einfach DNS-Umschreibungen in AdGuard hinterlegt. "fritz.box" leitet auf die 192.168.178.1 weiter, adguard.box halt auf den LCX Container. Funktioniert gut, jedoch ohne SSL. Meiner Meinung nach braucht man das nicht intern. Die wichtigen VMs und Container nutzen rein die Fritz!Box als DNS-Server, welche direkt nach außen kommuniziert. Endgeräte nutzen natürlich die IP von AdGuard als DNS-Server, die per DHCP von der Fritzbox verteilt wird. VMs und Container nutzen statische IPs, die ich manuell konfiguriert habe.

Externe Freigaben auf der Fritz!Box sind nur Port 80, 443 und 32400. 80 und 443 werden an den NGINX Proxy Manager geleitet. Dadurch hab ich SSL auf den Domains und muss nicht zig verschiedene Ports nach außen offenlegen. Der NPM händelt dann alles Weitere, also Ports und Streams (für Rustdesk zum Beispiel benötigt).

Bei mir läuft so mit externer Verfügbarkeit: Vaultwarden, Overseerr, Rustdesk und Plex. Intern erreichbar sind nur AdGuard, Hetzner DDNS, NPM und eine Windows VM. Die Windows VM erlaubt halt Zugriff über meinen eigenen Rustdesk Server.

 

[Moban]

@floklo4 leider doch Vaultguarden geht eben nur über HTTPS. Ich überprüfe nun erneut meine ganze Konfiguration und das gesagte von @ranzassel

OK das mit dem freigeben von HTTP / HTTPS möchte ich jedoch nicht, da ich die Oberfläche nicht zugänglich machen möchte nur intern und unterwegs via WireGuard Fritzbox.

 

[floklo4]

@floklo4 leider doch Vaultguarden geht eben nur über HTTPS. Ich überprüfe nun erneut meine ganze Konfiguration und das gesagte von @ranzassel

Und HTTPS wird vom NPM erledigt. Dein Service, welcher auch immer das ist, ist nie direkt im Netz.

 

[Moban]

@floklo4 Ich bin mir nicht sicher ob ich das ganze nun falsch verstehe, die obige Anwendung aktualisiert immer bei Hetzner meine aktuelle IP. Soweit schon einmal gut obwohl ich sagen muss bei Vodafone Cable extrem selten eine neue zu haben.
Hatte die Tage auch einmal AdGuard versucht, aber auch hier wurden nur locale Fritz.Box Adressen verwendet. Wenn ich HTTP sowie HTTPS in der Fritzbox öffne, ist die Seite erreichbar aber nicht gewollt weil nur intern. Extern verbinde ich mit mit VPN auf die Fritzbox und nutze die Dienste dann via VPN intern.

Muss mich heute einfach mal neu an die Sache setzen, das Ding IP6 ist eben für mich absolutes Neuland. Und so wie ich das sehe, ist bei Vodafone Cable das abschalten von IP6 nicht möglich bei einem Leihgerät.

 

[Moban]

Obwohl ich immer noch nicht IP6 verstehe, habe ich das System wohl bis jetzt so aufgebaut das es funktioniert.
Mit ULA in der Fritzbox und IP4 DHCP sowie IP6 SLAAC, die IP4 hab ich in der Fritzbox dann auf fest gesetzt, ich hoffe nur die IP6 bleibt gleich. Aber es sieht gut aus kann die Seiten erreichen und auch schon Adguard sowie NGINX und Vaultwarden eingerichtet.
Bei Adguard fängt der Browser an sich zu beschweren wäre eine Seite mit Schadstoff. Aber da brauch ich auch keine Domain IP reicht da aus.

Jetzt geht es mit Container Paperless und NextCloud weiter, dann den VPN in der Fritzbox das ich unterweg lokal an alles ran komme. Muss dann noch schauen wie ich den ganzen Proxmox über Nacht auf eine Hetzner Storage sichere, so das wenn mal was an der M2 ist meine Daten nicht weg sind.