Strato: DynDNS & CNAME

[hubort]

Moin,

ich versuche derzeit meinen Heimserver mit mehreren Diensten über eine Reverse Proxy (Træfik) anzusprechen.

Bei Strato habe ich eine Subdomain proxy.meinedomain.de angelegt und für diese DynDNS aktiviert. Nun möchte ich von außen nicht nur auf das Træfik-Dashboard zugreifen können, sondern eben auch auf andere Dienste. Træfik ist so eingerichtet, dass Anfragen von dienst1.meinedomain.de auch an Dienst1 weitergeleitet werden.

Nun habe ich zu diesem Zweck die Subdomain dienst1.meinedomain.de angelegt und in dieser einen CNAME-Record proxy.meinedomain.de. (← sogar an den Punkt habe ich gedacht) angelegt.

Rufe ich aber proxy.meinedomain.de bzw. dienst1.meinedomain.de auf, erhalte ich einen SSL_ERROR_NO_CYPHER_OVERLAP.
Als Gegentest habe ich die DNS-Einstellungen zurückgesetzt und meine (dynamische) IP-Adresse als A-Record bei proxy.meinedomain.de hinterlegt und das funktioniert – bis natürlich meine IP-Adresse vom Provider neu vergeben wird..

Habt ihr eine Idee wo mein Denkfehler liegen könnte?

 

[kamanu]

@hubort guck nochmal in deinen Text. Du hast da deine Domain doch noch namentlich aufgelistet

 

[hubort]

Und ich hatte noch zwei Mal an anderen Stellen korrigiert... 👼

 

[KillerCow]

Was sagt denn die Namensauflösung, wenn du Variante 1 konfigurierst (das mit dem CNAME)? Kommt da die korrekte IP zurück, wenn du "dienst1.meinedomain.de" und "proxy.meinedomain.de" auflöst?

Das klingt auch etwas schräg, was du da im DNS machst. Ein CNAME Eintrag verweißt auf einen andere FQDN. Du willst doch effektiv erreichen, dass "dienst1", "dienst2"... "dienstN" auf "proxy.meinedomain.de" verweisen oder? Dann müsstest du "dienst1" usw. als CNAME Eintrag mit dem Wert "proxy.meinedomain.de" einrichten.

Im klassischen DNS-Sprech sähe ein Eintrag etwa so aus:

dienst1.meinedomain.de.  60   IN   CNAME   proxy.meinedomain.de.

Und "proxy.meinedomain.de" wäre der via DynDNS verwaltete Eintrag auf deine IP.

PS: Die TTL von 60s im DNS-Eintrag ist jetzt nur gewählt, damit da ein Wert steht. Bei nem CNAME kann da eher was größeres rein, sofern man nicht ständig dran baut.

 

[hubort]

Per nslookup bekomme ich folgenden Output:

nslookup proxy.meinedomain.de
Server: pi.hole
Address: 192.168.XXX.XX

Nicht autorisierende Antwort:
Name: proxy.meinedomain.de
Addresses: 2a01:238:20a:202:XXXX::
81.169.145.XX

bzw.

nslookup dienst1.meinedomain.de
Server: pi.hole
Address: 192.168.XXX.XX

Nicht autorisierende Antwort:
Name: proxy.meinedomain.de
Addresses: 2a01:238:20a:202:XXX::
81.169.XXX.XX
Aliases: dienst1.meinedomain.de

Laut Fritz.Box ist meine öffentliche IP 79.XXX.XXX.XXX – oder habe ich dich da falsch verstanden?
Ah, das sind die IP-Adressen von Strato.

 

[redjack1000]

Ist bei bei dir eventuell CGNAT in benutzung?

Cu
redjack

 

[hubort]

@redjack1000 tatsächlich soeben rausgefunden, dass das wohl aktiv ist.

Routenverfolgung zu buchstabenundzahlensalat.dip0.t-ipconnect.de [79.XXX.XXX.XX]
über maximal 30 Hops:

1 <1 ms <1 ms <1 ms fritz.box [192.168.XXX.1]
2 1 ms <1 ms <1 ms buchstabenundzahlensalat.dip0.t-ipconnect.de [79.XXX.XXX.XX]

Ist das ein Problem?

 

[cloudman]

Welchen CN hat dein Zertifikat?
Die Meldung ist übrigens Firefox spezisch - was passiert wenn du Chrome verwendest?

 

[redjack1000]

Ist das ein Problem?

Was genau meinst du jetzt?

Cu
redjack

 

[-Overlord-]

@redjack1000 tatsächlich soeben rausgefunden, dass das wohl aktiv ist.


Ist das ein Problem?

Telekom hat kein Carrier Grade NAT und deine IP spricht auch nicht dafür

 

[hubort]

Was genau meinst du jetzt?

Wenn CGNAT aktiv wäre.

Telekom hat kein Carrier Grade NAT und deine IP spricht auch nicht dafür

Dann beruhigt mich das?

Die Meldung ist übrigens Firefox spezisch - was passiert wenn du Chrome verwendest?

ERR_SSL_VERSION_OR_CYPHER_MISMATCH

Welchen CN hat dein Zertifikat?

Wenn ich den A-Record „händisch“ eintrage, ist das proxy.meinedomain.de. Es wird mir kein Zertifikat angezeigt wenn ich DynDNS aktiviere oder ich tue mich schwer das zu finden beziehungsweise spuckt Edge dann als zusätzliche Information

Nicht unterstütztes Protokoll
Client und Server unterstützen keine gängige Version des SSL-Protokolls bzw. kein gängiges Verschlüsselungsverfahren.

aus.

 

[hubort]

Dank Support am Telefon die Lösung gefunden:
Mein DynDNS-Passwort war inkorrekt. Ich habe mir in meiner Passwort-Datenbank das falsche Passwort eingespeichert und somit hat Strato immer die zuletzt bekannte öffentliche IP-Adresse kommuniziert.

Das lässt sich ganz gut überprüfen, indem man https://dyndns.strato.com/nic/update?hostname=sub.domain.de&myip=1.2.3.4 wobei bei myip die öffentliche IP-Adresse einzutragen ist.

Es sollte eine Authentifizierungs-Aufforderung kommen: Ist alles korrekt, sollte einfach nochg 1.2.3.4 dort stehen, andernfalls gibt es eine BadAuth-Fehlermeldung, welche eindeutig vermittelt: Da stimmt etwas bei den Login-Daten nicht.

Ich möchte gerne eine dicke Tischplatte mit meinem Kopf bekannt machen :-)

 

[Blutomen]

Mal eine Frage ... du hast lt. Tracert eine Fritz!Box ... warum nutzt du nicht einfach die VPN Funktion?
Dann bist sicher und riskierst nicht noch irgendwas, nur weil du Dienste offen ins Internet stellst.

Lass das Netzwerk lieber zu und geh nur per VPN rein.