Wie werden DNS/FQDNs für das LAN definiert ?

Es gibt 26 Antworten in diesem Thema, welches 4.501 mal aufgerufen wurde. Der letzte Beitrag () ist von cgHome.

    Hallo


    Ich will ein lokales DNS definieren/erstellen damit ich ein TSL-Zertifikat via letsencrypt zu erstellen kann, dass ich für meinen Reverse-Proxy (traefik) benötige. Ziel ist es mit der „offiziellen“ URL auf die einzelnen „server“ zuzugreifen, zB. server.example.com (QNAP), traefik.example.com (docker), aber auch mit example.com/loki(docker).


    Was ich bis jetzt gemacht habe:


    1. URL gekauft > example.com

    2. „Öffentliche Webpage“ (Gehostet bei GIT) erstellt > www.example.com

    3. Unifi-UI Settings > Networks > DNS Name eingetragen > example.com


    Und jetzt war ich der Meinung, wenn man den Name im UniFi eingetragen hat, dass man via dem FQDN „server.example.com“ auf den lokalen Server zugreifen kann (mit dem mDNS name „server.local“ funktioniert alles einwandfrei). Dem ist leider nicht so, ich kann weder den Server (server.example.com) anpingen und auch der nslookup findet ihn nicht, geschweige dann via dem Browser auf ihn zugreifen. Zwischenzeitlich habe ich auch den QNAP-Server neu gestartet sowie bei meinem MacBook das DNS geflascht. Leider auch erfolglos.


    Jetzt meine Frage, muss man noch mehr konfigurieren, mach ich etwas falsch, oder habe ich grundsätzlich etwas falsch verstanden?


    Vielen Dank im voraus.


    Chris

    Die öffentliche Webpage kannst du dir sparen, die braucht es nicht.


    Du musst deinem Netzwerk die Domain zuweisen, sprich in den DHCP-Einstellungen die Domain eintragen.


    Spassig wird erst die Erreichbarkeit von extern, hast du eine statische IP-Adresse an deinem Interntanschluss ? oder dynamische, bei letzteren wird es aufwendig.

    Zitat von Tuxtom007

    Du musst deinem Netzwerk die Domain zuweisen, sprich in den DHCP-Einstellungen die Domain eintragen.

    Habe ich doch gemacht: > Unifi-UI Settings > Networks > DNS Name eingetragen


    UND es funktioniert immer noch nicht .. :angry_face: ...


    PS: Ich habe eigentlich nicht vor via Internet auf die Dinger zuzugreifen.

    Letsencrypt stellt Dir ein Zertifikat aus, wenn es den Host hinter der URL aus dem Internet erreichen kann und dieser gemäß ACME Protokoll die notwendigen Informationen zur Verfügung stellt.


    Und das Zertifikat gilt für eine (oder mehrere) Domänen, nicht URLs.

    Was Du vorhast (oder ich vermute) lässt sich z.B. mit einer PiHole Installation im LAN bewerkstelligen, so dass Du http://www.example.com aus dem LAN auf eine lokale Adresse umleiten kannst. Aber funktioniert den Zeitraum der Zertifikat-Beantragung und -Erneuerung müssen die jeweiligen Dienste (via Portfreigabe) aus dem Internet erreichbar sein.

    Zitat von cgHome

    PS: Ich habe eigentlich nicht vor via Internet auf die Dinger zuzugreifen.

    Für die Zertifikatserstellung und regelmässige Erneuerung müssen die / das System aus dem Internet erreichbar sein und zwar unter der Domain.


    Da stimmt irgentwo anders deine Konfig nicht.

    Ich nutze keine UDMPro oder ähnliches mehr, bei mir macht DHCP usw. eine Firewall und da funktioniert es problemlos mit einer öffentlichen domain die auf meinen Namen registriert ist.

    Zitat von Tuxtom007

    Für die Zertifikatserstellung und regelmässige Erneuerung müssen die / das System aus dem Internet erreichbar sein und zwar unter der Domain.

    So wie ich es verstanden habe ist es, nämlich mein "öffentlicher Auftritt" > example.com (github pages)



    Zitat von Tuxtom007

    Da stimmt irgentwo anders deine Konfig nicht.

    Ich habe nur den Domain Name im LAN eingetragen. Muss man noch weitere Konfigurationen machen ??



    Wenn ich auf den (LAN) DNS-Server einen nslookup mache erhalte ich folgende Antwort:


    nslookup -q=any 192.168.1.1


    > Server: 192.168.1.1

    > Address: 192.168.1.1#53


    > 1.1.168.192.in-addr.arpa name = Gateway.


    Müsste hier jetzt nicht alle interne xxxx.example.com FQDN's kommen ?

    Einmal editiert, zuletzt von cgHome ()

    Alle FALSCH was ich als nicht so versierter Netzwerker behauptet habe.


    Nachdem ich das Hosts-File im USG angeschaut habe, habe ich festgestellt, dass FQDN's eingetragen wurden, nur nicht der meines QNAP-Servers (Murphy lässt grüssen) und diese sind auch via PING erreichbar sind. Sorry !!


    Jetzt eine letzte Frage, kann man den Inhalt des Hosts-Files löschen, damit der DNS-Server neu aufgebaut wird, denn die Einträge sind z.T. veraltet.


    Oder gibt es, noch besser ein Kommando?

    Zitat von cgHome

    So wie ich es verstanden habe ist es, nämlich mein "öffentlicher Auftritt" > example.com (github pages)

    Es ist ehrlich gesagt etwas schwierig Dir zu folgen, was auch an der Verwendung untauglicher Begriffe liegt.


    Natürlich kannst Du eine Domäne auf einen (Web-) Server im Internet zeigen lassen. Dort muss dann ein ACME Resolver laufen, welcher für Letsencrypt die Hoheit über die entsprechende Domäne belegt. Dann erhälst Du ein Zertifikat für die Domäne in Form von einer oder mehreren Dateien, die Dein ACME Resolver üblicherweise direkt ins Filesystem des Servers schreibt. Die Gültigkeit der Zertifikate ist begrenzt (m.W. 90 Tage).


    Um diese Zertifikate für lokale Services zu verwenden, müssen die Dateien (regelmässig) auf die lokalen Server kopiert werden und Du musst via DNS Anfragen auf die jeweilige Domäne auf eine lokale IP auflösen. Nur dann wird ein Browser das Zertifikat akzeptieren und eine sichere Verbindung via HTTPS/TLS aufbauen.

    Zitat von maxim.webster

    Es ist ehrlich gesagt etwas schwierig Dir zu folgen

    Hmmm, ja, muss ich auch sagen. Ich vermute ja, dass er seine beiden Server "server.example.com" und "traefik.example.com" öffentlich zugängig machen will. Sollte dies der Fall sein und er hat tatsächliche eine Domain gekauft (und verwendet nicht wirklich "example.com"), ist dies ja nicht so schwer und auch erklärbar. Selbst das mit Letsencrypt ist dann lokal lös- und automatisierbar, der von Dir beschriebene Aufwand ist nicht erforderlich. Der TE sollte einfach nur mal sagen (schreiben), was er eigentlich will :frowning_face:

    Sorry, das ich mich nicht "fachtechnisch" richtig ausdrücken kann, aber ich bin halt nur ein Software Engineer und kein Netzwerker.


    Mit dem Server war mein QNAP-Server gemeint, bis zu den Docker-Container bin ich noch gar nicht gekommen.


    Aber lasst es sein, ich werde schon eine Lösung finden.


    Danke

    Ich betreibe mehrere Webseiten auf einem x86 Host in meinem "Heimnetz" unter verschiedenen Sub-Domains. Alle "Services" laufen als Docker Container mit vorgeschaltetem Traefik und automatischer Zertifikatsverwaltung via Letsencrypt.


    Ich bin auch "nur" Software Engineer, aber natürlich will ich Dich nicht davon abhalten, Deine eigenen Erfahrungen zu machen.

    Zitat von maxim.webster

    Ich bin auch "nur" Software Engineer

    Och ... ich bin nur interessierter Laie und bei mir übernimmt Nginx die Verkehrsreglung zwischen den Webserver(diensten) und gleich auch noch das Besorgen und Erneuern der Letsencrypt-Zertifikat mit oben drauf :smiling_face:


    Übrigens - gibt es so etwas überhaupt, einen "Software Engineer" ohne grundlegende Netzwerkkentnisse?

    Zitat von bic

    Übrigens - gibt es so etwas überhaupt, einen "Software Engineer" ohne grundlegende Netzwerkkentnisse?

    Mir fallen da sofort einige Namen ein :smiling_face_with_sunglasses:

    Zitat von bic

    Übrigens - gibt es so etwas überhaupt, einen "Software Engineer" ohne grundlegende Netzwerkkentnisse?

    Kommt auf die Definition von "grundlegend" an. Aber ja: ich zähle mich auch zu den Software Engineers mit mangelhaften Netzwerkkenntnissen.


    Darum bin ich ja hier: zum Lernen!

    Zitat von bic

    Oh man (Mann), dann soll das noch was werden mit der Digitalisierung in Schland, wenn sich nun die Consulter von Laien beraten lassen müssen :thinking_face:

    Naja, kann die Dienste meines Arbeitgebers da nahelegen, gegen Einwurf großer Scheine ( für kleine Münze gibt es nichts ) beraten wir in allen Bereich der Digitalisierung, gerade bei großen Unternehmen.

    :winking_face:



    Ist das Problem von Chris eigentlich gelöst, hab da nicht mehr durchgeblickt.

    Einmal editiert, zuletzt von Tuxtom007 ()

    Zitat von Tuxtom007

    Naja, kann die Dienste meines Arbeitgebers da nahelegen, gegen Einwurf großer Scheine

    Wem? Mir? Naja, eigentlich bin ich derjenige, welcher i.d.R. die großen Scheine entgegen nimmt (und die Hälfte davon ans FA abführt), denn einen Arbeitgeber habe ich nicht :face_with_tongue:

    Zitat von bic

    Wem? Mir? Naja, eigentlich bin ich derjenige, welcher i.d.R. die großen Scheine entgegen nimmt (und die Hälfte davon ans FA abführt), denn einen Arbeitgeber habe ich nicht :face_with_tongue:

    Nein, wir sind eher ab Bereich Mittelstand aufwärts bis DAX-Unternehmen tätig