Aber ja, per Curl insecure funktioniert es und Status war in der Tat beim ersten Mal "good" und dann beim zweiten mal "nochg":
Ohne Insecure gibt es einen Fehler:
Trotzdem ist es immernoch seltsam, warum es dann nicht zumindest im Browser geht...
Die Fehlermeldung im Browser ist ja eine andere. Die sagt "notfqdn"
Wenn ich mich per Browser unter https://dyndns.strato.com/nic/update einlogge, identifiziere ich mich als Benutzer mit einer mir gehörenden Domain. Und mit meinem Strato DynDNS-Passwort. Aber in dem ganzen Prozess fehlt doch meine zu aktualisierende DynDNS-Adresse. Kann es sein, dass wir einen falschen Browseraufruf benutzen und daher "notfqdn" kommt?
Strato DynDNS Update der IP erfolgt nicht
-
-
Ok, d.h. was muss man jetzt im UNifi Controller ändern? https vorne anstellen beim Servernamen?
-
Ich habe versucht etwas zu debuggen.
Bin nach dieser Anleitung gegangen:
Unifi - Debugging DDNS - XtremeOwnage.com
Hier mein Ergebnis:
root@UDMPro:~# ps aux | grep inadyn
root 184025 0.0 0.0 4924 2256 pts/0 S+ 14:16 0:00 grep --color -i inadyn
root 323278 0.0 0.1 6572 4992 ? S< 15:00 0:00 /usr/sbin/inadyn -n -s -C -f /run/ddns-ppp0-inadyn.conf
root 323895 0.0 0.0 4924 632 pts/1 S+ 15:00 0:00 grep --color inadyn
root@UDMPro:~# cat /run/ddns-ppp0-inadyn.conf
#
# Generated automatically by ubios-udapi-server
#
iface = ppp0custom dyndns.strato.com:1 {
hostname = "$$HOSTNAME$$"
username = "$$HOSTNAME$$"
password = "**************************"
ddns-server = "dyndns.strato.com"
ddns-path = "/\/nic/update/?hostname="
}root@UDMPro:~# inadyn -n -1 -l debug --force -f /run/ddns-ppp0-inadyn.conf
inadyn[324476]: In-a-dyn version 2.12.0 -- Dynamic DNS update client.
inadyn[324476]: Cached IP# **.**.**.** for $$HOSTNAME$$ from previous invocation.
inadyn[324476]: Last update of $$HOSTNAME$$ on Tue Jul 22 03:01:21 2025
inadyn[324476]: Get address for custom
inadyn[324476]: Checking for IP# change, querying interface ppp0
inadyn[324476]: Checking IPv4 address $$IP$$ ...
inadyn[324476]: IPv4 address $$IP$$ is valid.
inadyn[324476]: Checking IPv4 address $$IP$$ ...
inadyn[324476]: IPv4 address $$IP$$ is valid.
inadyn[324476]: Current IP# $$IP$$ at custom
inadyn[324476]: Update forced for alias $$HOSTNAME$$, new IP# $$IP$$
inadyn[324476]: Sending IP# update to DDNS server, connecting to dyndns.strato.com([81.169.144.192]:443)
inadyn[324476]: Sending IP# update to DDNS server, initiating HTTPS ...
inadyn[324476]: Certificate verification error:num=20:unable to get local issuer certificate:depth=1:/C=GB/O=Sectigo Limited/CN=Sectigo Public Server Authentication CA OV R36
inadyn[324476]: OpenSSL error: 548558433936:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:../ssl/statem/statem_clnt.c:1919:Kann damit jemand etwas anfangen?
Sind da etwa Zertifikate abgelaufen auf der UDMPRO ?
-
Display More
Ich habe versucht etwas zu debuggen.
Bin nach dieser Anleitung gegangen:
https://static.xtremeownage.com/blog/2024/unif…s/#how-to-debug
Hier mein Ergebnis:
root@UDMPro:~# ps aux | grep inadyn
root 184025 0.0 0.0 4924 2256 pts/0 S+ 14:16 0:00 grep --color -i inadyn
root 323278 0.0 0.1 6572 4992 ? S< 15:00 0:00 /usr/sbin/inadyn -n -s -C -f /run/ddns-ppp0-inadyn.conf
root 323895 0.0 0.0 4924 632 pts/1 S+ 15:00 0:00 grep --color inadyn
root@UDMPro:~# cat /run/ddns-ppp0-inadyn.conf
#
# Generated automatically by ubios-udapi-server
#
iface = ppp0custom dyndns.strato.com:1 {
hostname = "$$HOSTNAME$$"
username = "$$HOSTNAME$$"
password = "**************************"
ddns-server = "dyndns.strato.com"
ddns-path = "/\/nic/update/?hostname="
}root@UDMPro:~# inadyn -n -1 -l debug --force -f /run/ddns-ppp0-inadyn.conf
inadyn[324476]: In-a-dyn version 2.12.0 -- Dynamic DNS update client.
inadyn[324476]: Cached IP# **.**.**.** for $$HOSTNAME$$ from previous invocation.
inadyn[324476]: Last update of $$HOSTNAME$$ on Tue Jul 22 03:01:21 2025
inadyn[324476]: Get address for custom
inadyn[324476]: Checking for IP# change, querying interface ppp0
inadyn[324476]: Checking IPv4 address $$IP$$ ...
inadyn[324476]: IPv4 address $$IP$$ is valid.
inadyn[324476]: Checking IPv4 address $$IP$$ ...
inadyn[324476]: IPv4 address $$IP$$ is valid.
inadyn[324476]: Current IP# $$IP$$ at custom
inadyn[324476]: Update forced for alias $$HOSTNAME$$, new IP# $$IP$$
inadyn[324476]: Sending IP# update to DDNS server, connecting to dyndns.strato.com([81.169.144.192]:443)
inadyn[324476]: Sending IP# update to DDNS server, initiating HTTPS ...
inadyn[324476]: Certificate verification error:num=20:unable to get local issuer certificate:depth=1:/C=GB/O=Sectigo Limited/CN=Sectigo Public Server Authentication CA OV R36
inadyn[324476]: OpenSSL error: 548558433936:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:../ssl/statem/statem_clnt.c:1919:Kann damit jemand etwas anfangen?
Sind da etwa Zertifikate abgelaufen auf der UDMPRO ?
Danke für das Debugging. Das Sectigo-Zertifikat was hier referenziert wird, ist das SSL-Zertifikat auf Strato-Seite:
-
Ich habe das Log mittels ChatGPT analysiert indem ich zuvor den Fehler beschrieben habe. Hier die Antwort, die ich bisher nicht verifizieren konnte:
Das Problem liegt an einem Zertifikatsfehler bei der TLS-Verbindung zu Strato (dyndns.strato.com) auf deinem Unifi Cloud Gateway Ultra. Die Fehlermeldung zeigt deutlich:Codeunable to get local issuer certificateDas bedeutet, dass der inadyn-Client das SSL-Zertifikat von Strato nicht verifizieren kann, weil dem System das passende Zwischenzertifikat (Intermediate CA) fehlt.
Warum geht curl -k?
Mit -k (bzw. --insecure) deaktivierst du die Zertifikatsprüfung. inadyn tut das aber standardmäßig nicht, da es ein korrektes SSL-Setup voraussetzt.
🛠️ Lösungsmöglichkeiten
🔧 1. Intermediate-Zertifikate installieren
Da du auf der UDM-Pro (bzw. Cloud Gateway Ultra) vermutlich kein vollständiges Linux hast, ist der Zertifikatsspeicher dort eingeschränkt. Aber möglich ist Folgendes:
Codebash mkdir -p /etc/ssl/certs cd /etc/ssl/certs wget https://secure.trust-provider.com/repository/SectigoRSAPublicServerCA.crt -O sectigo.crt c_rehash .Dann den inadyn-Client so konfigurieren (wenn möglich), dass er diesen Pfad als Zertifikatsspeicher verwendet.
Falls das nicht geht (z. B. weil Unifi das blockiert), dann hilft nur…
🧩 2. inadyn zur Zertifikatsprüfung zwingen zu ignorieren
Wenn inadyn nicht konfigurierbar ist, um den CA-Pfad zu setzen, kannst du in /run/ddns-ppp0-inadyn.confversuchen, diese Zeile hinzuzufügen:
Codecssl_verify_peer = 0⚠️ Warnung: Das deaktiviert die Zertifikatsprüfung und ist potentiell unsicher – allerdings nicht schlimmer als dein aktuelles curl -k.
Falls das nicht greift, dann:
🧵 3. Workaround über lokalen Cronjob mit Curl
Wenn alle Stricke reißen, kannst du einfach einen Cronjob auf der UDM einrichten, der regelmäßig deine IP aktualisiert – genau wie curl -k es tut.
Beispiel:
Codebash curl -k "https://dyndns.strato.com/nic/update?hostname=gate.XXXX-it.de&myip=$(curl -s ifconfig.me)" --user 'deinuser:deinpass'Oder wenn Strato IP-Autoerkennung nutzt:
Codebash curl -k "https://deinuser:deinpass@dyndns.strato.com/nic/update?hostname=gate.XXXX-it.de"Dann alle 15 Minuten als Cronjob:
Codebash */15 * * * * /usr/bin/curl -k "https://deinuser:deinpass@dyndns.strato.com/nic/update?hostname=gate.XXXX-it.de" >/dev/null 2>&1 -
Punkt 2 funktioniert nicht. Ich habe diese Settings Global oder in der {} versucht bei beiden kommt ein fehler.
Der Rest ist mir zu kompliziert und ich möchte meine UDMPRO nicht defekt machen.
-
Ich habe es mit dem Weg über den Cronjob versucht. Cronjob auf dem Gateway erstellt. Ich muss jetzt abwarten, bis sich meine WAN IPv4 ändert. Dann sehe ich, ob mein DynDNS geupdated wird.
Ich werde trotzdem mal ein Supporticket bei UniFi öffnen und darum bitte, dass die UDM/das Gateway zukünftig das Sectigo Intermediate Zertifikat akzeptieren sollte. -
Werde heute mal die Servie hotline von Strato bemühen...kann ja so nicht sein! Bin mir jetzt nicht sicher ob es nur Unifi Router betrifft....hat jemand eine Idee ob es auch Fritz Boxen und andere Router getroffen hat?
Ich habs mit einer Fritzbox probiert, da ging es ohne Probleme!
-
Display More
Aber ja, per Curl insecure funktioniert es und Status war in der Tat beim ersten Mal "good" und dann beim zweiten mal "nochg":
Ohne Insecure gibt es einen Fehler:
Trotzdem ist es immernoch seltsam, warum es dann nicht zumindest im Browser geht...
Die Fehlermeldung im Browser ist ja eine andere. Die sagt "notfqdn"
Wenn ich mich per Browser unter https://dyndns.strato.com/nic/update einlogge, identifiziere ich mich als Benutzer mit einer mir gehörenden Domain. Und mit meinem Strato DynDNS-Passwort. Aber in dem ganzen Prozess fehlt doch meine zu aktualisierende DynDNS-Adresse. Kann es sein, dass wir einen falschen Browseraufruf benutzen und daher "notfqdn" kommt?Das "notfqdn" (no transferred fully qualified domain name) soll dir sagen das du keinen Hostnamen übergeben hast und somit kein DNS-Eintrag aktualisiert werden kann da der Server nicht weiß welcher.
Du musst mindesten "dyndns.strato.com/nic/update?hostname=<domain>" eingeben damit es im Browser funktioniert, hier bei wird dann die IP von der die Anfrage kommt als DNS-Eintrag verwendet.
Willst du eine andere IP-Setzen musst du den Header entsprechend ergänzen "https://dyndns.strato.com/nic/update?hostname=<domain>&myip=<ipaddr>,<ip6addr>
Hat schon jemand eine Rückmeldung von Ubiquiti erhalten? Muss ja an deren Software liegen wenn es über Browser und FritzBox funktioniert.
Bin mir geraden nicht sicher wann genau der Fehler bei mir aufgetreten ist, ob es nachdem Update vom Controller war oder nach dem UDM Firmwareupdate.
-
Hat schon jemand eine Rückmeldung von Ubiquiti erhalten? Muss ja an deren Software liegen wenn es über Browser und FritzBox funktioniert.
Bin mir geraden nicht sicher wann genau der Fehler bei mir aufgetreten ist, ob es nachdem Update vom Controller war oder nach dem UDM Firmwareupdate.
Ich steuere die DNS-Aktualisierung über mein Synology NAS und da funktioniert es ebenfalls nicht. Hat meines Erachtens nicht nur was mit Ubiquiti zu tun.
-
Das "notfqdn" (no transferred fully qualified domain name) soll dir sagen das du keinen Hostnamen übergeben hast und somit kein DNS-Eintrag aktualisiert werden kann da der Server nicht weiß welcher.
Du musst mindesten "dyndns.strato.com/nic/update?hostname=<domain>" eingeben damit es im Browser funktioniert, hier bei wird dann die IP von der die Anfrage kommt als DNS-Eintrag verwendet.
Ja wenn man seine Domain angibt hinter hostname kommt good!...vorsicht in Deinem Link ist Deine domain noch drinnen!
Bringt es evtl. etwas im Unifi Controller bei Server https:// davor zu schreiben?
-
Ich steuere die DNS-Aktualisierung über mein Synology NAS und da funktioniert es ebenfalls nicht. Hat meines Erachtens nicht nur was mit Ubiquiti zu tun.
Das kann ich bestätigen, da ich versucht hatte den DynDNS statt auf der UDMPRO auf meiner Synology NAS laufen zu lassen.
-
...zumal es für Ubiquiti ja auch keinen Sinn ergibt, über ein Update etwas speziell nur an den DynDNS-Einstellungen für Strato zu ändern, ohne dass der Anbieter bei sich Parameter verändert hätte.
-
Ja wenn man seine Domain angibt hinter hostname kommt good!...vorsicht in Deinem Link ist Deine domain noch drinnen!
Bringt es evtl. etwas im Unifi Controller bei Server https:// davor zu schreiben?
UPS, vielen Dank für den Hinweis, habs abgeändert.
Zu deiner Frage, https:// davor ändert leider nichts.
Habe auch den originalen Syntax von Strato probiert und mit den UniFi Variablen an den entsprechenden Stellen ergänzt, also %u für User, %p für Passwort, %h für Hostname und %i für die aktuelle IP.
Leider aber auch ohne Erfolg !
-
Das Problem liegt meines Erachtens hier:
Stratos DynDNS-Server benutzt ein Zertifikat für die SSL-Verbindung von Sectigo. Das kann man prüfen, wenn man im Browseraufruf sich mal die Zertifikatdaten anzeigen lässt, siehe meine Screenshots zuvor. Das ist erst seit Mitte Juli im Einsatz.
Anscheinend kennen weder die UDM/Cloudgateways, noch die Synology das zugehörige Intermediate-Zertifikat von Sectigo.
Die Geräte sagen: Oh da hat ein Server geantwortet, mit Zertifikat. Oh das Zertifikat klingt komisch. Das erkenne ich nicht an, kenne die Zertifizierungsstelle überhaupt nicht. Sowas ist aber voll unsicher, da sende ich keine Daten hin. Logmeldung CERTIFICATE INVALID.
Ich habe in einem Ticket UniFi aufgefordert das Intermediate-Zertifikat von Sectigo deren Keystores und Zertifikatsketten hinzuzufügen. -
Ich selber nutze folgenden Workaround mittels selbstgeschriebenem CURL-Skript auf der Synology.
Denn in einem CURL-Script kann ich die Zertifikatsprüfung mit "-k" ausschalten bzw. Fehler ignorieren. Das kann man weder in der Benutzeroberfläche der Synology noch in UDM/Cloudgateway tun.
Ich habe auf einem Volume einen DynDNS-Ordner erstellt. Darin liegt das folgende Skript namens "/volume1/Administration/DynDNS/update-strato-ddns.sh" .
Dieses Skript starte ich dann alle 5 Minuten über die Synology Aufgabenplanung.
Weitergehende Info: Ihr könntet Euch nun fragen, warum ich die letzte IP in eine Datei schreibe und nicht etwa einfach nur alle 5 Minuten das Curl-Skript abfeuere... Habe ich erst gemacht. Führt aber dazu, dass der Strato-DynDNS-Server nach einem Tag "abuse" zurückmeldet, weil ich ihm 24 Stunden lang alle 5 Minuten die gleiche IP mitgeteilt habe. Also mache ich das jetzt nurnoch, wenn sich die IP auch wirklich geändert hat.Bash
Display More#!/bin/bash # Speicherort der letzten IP IP_FILE="/volume1/Administration/DynDNS/last_ip.txt" # Aktuelle öffentliche WAN-IP ermitteln CURRENT_IP=$(curl -s https://api.ipify.org) # Falls keine IP zurückkommt, abbrechen if [[ -z "$CURRENT_IP" ]]; then echo "$(date) - Keine WAN-IP ermittelt." >> /volume1/Administration/DynDNS/ddns.log exit 1 fi # Vorherige IP aus Datei lesen (wenn vorhanden) if [[ -f "$IP_FILE" ]]; then LAST_IP=$(cat "$IP_FILE") else LAST_IP="" fi # Vergleich: Hat sich die IP geändert? if [[ "$CURRENT_IP" != "$LAST_IP" ]]; then echo "$(date) - WAN-IP hat sich geändert: $LAST_IP → $CURRENT_IP" >> /volume1/Administration/DynDNS/ddns.log # DynDNS bei Strato aktualisieren, wenn sich die IP geändert hat curl -k "https://meinedomain.de:Password1234@dyndns.strato.com/nic/update?hostname=gate.XXXX-it.de&myip=$CURRENT_IP" >> /volume1/Administration/DynDNS/ddns.log 2>&1 # Neue IP speichern echo "$CURRENT_IP" > "$IP_FILE" else echo "$(date) - Keine Änderung der IP ($CURRENT_IP), kein Update." >> /volume1/Administration/DynDNS/ddns.log fi -
Es wird doch https benutzt, darum ja das Zertifikatsproblem - mit http gebe es das ja gar nicht, aber wer will schon Benutzernamen und Passwörter blank übertragen.
Die Benutzen halt ein ungünstiges Zertifikat oder eine ungünstige Zertifikatskette. Blanko legt erstmal jeder Betriebssystemhersteller und auch jeder Browserhersteller selbst fest, was Vertrauenswürdige Stammzertifizierungsstellen sind. Da gab es schon des öfteren Problem, dann auch gleich mit reichlich Domänen weltweit, aber z.B. dann nur auf iOS/MacOS weil Apple eine Stammzertifizierungsstelle gestrichen hat.
Ist die Zertifikatskette lang und kreuz und quer signiert worden, dann sollte Stratos einfach mal die Zwischenzertifikate mit übertragen, wenn die fehlen können manche Clients eben auch die Kette nicht auf Gültigkeit prüfen.
Fakt ist, dass Stratos gerade das Zertifikat getauscht hat. Warums mit ner Fritzbox geht? Ganz einfach weil AVM primär nur im DACH Raum tätig ist und so ziemlich alles gangbar und möglich macht, was hier so verwendet wird. Firmen wie Synology, Unifi usw. die global tätig sind, kennen Strato vermutlich nicht mal und möglicherweise interessiert manche Hersteller dann aufgrund der "Größe" (oder besser der Winzigkeit) von Strato und dem DACH Markt das Problem gerader mal so sehr, das es an Vorletzter Position auf der todo Liste landet.
-
Hallo,
im Synology Forum wurde eine Lösung präsentiert und zwar manuelles installieren SSL Zertifikat auf Synology von
https://www.sectigo.com/knowledge-base…kA03l000000c4KV wird ab Mitte Juli von Strato eingesetzt.
Kann man diese Lösung auch auf einer UDM umsetzen?
-
Hallo,
im Synology Forum wurde eine Lösung präsentiert und zwar manuelles installieren SSL Zertifikat auf Synology von
https://www.sectigo.com/knowledge-base…kA03l000000c4KV wird ab Mitte Juli von Strato eingesetzt.
Kann man diese Lösung auch auf einer UDM umsetzen?
Ja, siehe meine Lösung mit Hilfe von ChatGPT oben, dann kann man evtl. manuell das Zertifikat nachladen.
Oder aber, wenn Du eine Synology hast, nutze mein Curl-Skript auf dem Synology mit deaktivierter Zertifikatsprüfung.
Ich hab das hier nochmal auf meinem Blog alles zusammengefasst:Strato DynDNS funktioniert nicht mehr mit UniFi Cloud Gateway & UDM – Analyse und Workaround mit Synology NAS und CurlPrivater Blog von Daniel Beckemeier zu den Themen IT, Technik, Reisen und Fotografie. Reiseberichte und Fotoblogs zu diversen Reisen, IT-Tipps und Anleitungen.pixelfriedhof.com -
ich habe bei meiner Synology diesen Zertifikat manuell installiert und jetzt läuft es dort ohne Script.
Participate now!
Don’t have an account yet? Register yourself now and be a part of our community!