Subdomain hinter Fritzbox

[m&tberlin]

Hallo Gemeinde,

nach längerem Suchen habe ich auch in diesem Forum keine Antwort gefunden.

Folgendes Problem:

Ich habe eine DS1515+, eine Fritzbox, eine feste IP-Adresse und zwei SubDomains.

https://xx.yy.de:5001 funktioniert einwandfrei.
Die zweite Subdomain https://xy.yy.de läuft aber nicht.
Beide Subdomains sind auf meine feste IP-Adresse weitergeleitet.

Ich weiss nicht warum, es hat mal funktioniert.. muss ich in der FritzBox noch etwas einstellen? Oder der Synology Bescheid sagen?

Falls ihr noch weitere Angaben oder Einstellungen braucht, ich bin da..

Danke aus Berlin!

 

[JudgeDredd]

Beide Subdomains sind auf meine feste IP-Adresse weitergeleitet.

Wie ? Sind für beide Sub-Domains A-Records für deine IP erstellt ?

Die zweite Subdomain https://xy.yy.de läuft aber nicht.

Die URL würde den User-Webserver Deiner DS ansprechen
Einfach ein forwarding in der Fritte mit Port 80 auf die DS eintragen (so wie es auch bei 5001 gemacht wurde)

 

[m&tberlin]

Beide Subdomains der gleichen TLD sind A-records, die auf die feste IP meines Internetanschlusses rauskommen.
xx.domain.de funktioniert. Aber xy.domain.de funktioniert nicht.
Die Portfreigaben sind soweit ich sehe eingerichtet.. ich hänge mal nen Screenshot der FB an..

Wenn ich meine feste IP direkt eingebe, komme ich ohne Umwege direkt auf die Synology. Eine Domain funktioniert, die andere nicht.. don´t know weiter..

 

[m&tberlin]

Wenn ich traceroute bei der Subdomain anwende bekomme ich die feste IP angezeigt und die Fritzbox.. bis dahin geht es also durch.

Safari zeigt die Seite gar nicht an, Chrome:

Dies ist keine sichere Verbindung

Unbefugte Dritte könnten versuchen, Ihre Informationen von kunden.machenundtun.de zu stehlen, z. B. Passwörter, Nachrichten oder Kreditkartendaten. NET::ERR_CERT_AUTHORITY_INVALID
Details zu möglichen sicherheitsrelevanten Zwischenfällen sollen automatisch an Google gesendet werden. Datenschutzerklärung
Neu ladenERWEITERTE INFORMATIONEN AUSBLENDEN
Domain schützt Ihre Daten in der Regel durch Verschlüsselung. Als Google Chrome dieses Mal versuchte, eine Verbindung zu xxx herzustellen, gab die Website ungewöhnliche und falsche Anmeldedaten zurück. Entweder versucht ein Angreifer, sich als xxx auszugeben, oder die Verbindung wurde durch eine WLAN-Anmeldeseite unterbrochen. Da Google Chrome die Verbindung vor dem Austausch von Daten unterbrochen hat, sind Ihre Informationen weiterhin sicher.

xxx kann zurzeit nicht aufgerufen werden, da die Website HSTS verwendet. Netzwerkfehler und Angriffe sind in der Regel nur vorübergehend, sodass die Seite wahrscheinlich später wieder funktioniert.

 

[Fusion]

Zuerst darf jede Portnummer nur einmal vorkommen sowohl in VON wie auch bei AN. Die Fritte hatte damit zumindest mal Probleme.
Bei 80 funktioniert es vermutlich noch wegen TCP / UDP.
Was soll dieses Konstrukt mit 80/53?
Auch die Umleitungen würde ich auf dem Webserver regeln.

Dann muss natürlich auch am Ziel ein webserver lauschen, der sich auch für die entsprechende Domain zuständig fühlt, sonst läuft die Anfrage ins Leere.

Die Meldung im Browser ist normal, wenn der Name der aufgerufenen Domain und der Common Name des Zertifikats nicht übereinstimmt z.B.
Normal kann man dann eine Ausnahmegenehmigung im Browser tätigen.
Ist jedoch HSTS aktiv, wird diese Ausnahme in neueren Browsern nicht mehr zugelassen und die Verbindung komplett unterbunden.

Vielleicht wäre ein Schritt zurück angeraten und du erzählst erstmal welches Setup du dir vorstellst. Also welche Dienste, wo, wie erreicht werden sollen z.B.
Dann kann man sicher eine passende Lösung für die finden.
Aktuell sehen wir nur einen Schnipsel des Puzzles und den finde zumindest ich sehr chaotisch.

 

[m&tberlin]

Schritt zurück, denke ich auch. Ich habe jetzt alle Portfreigaben gelöscht.

Setup: Feste IP umgeleitet auf Fritzbox, dahinter die Syn.
Ich schicke mit der Subdomain nur Freigabelinks raus. Die Seite kann also ruhig die Anmeldeseite der Syn sein.

Umleitungen hab ich alle gelöscht, ein Zertifikat hab ich nun (dieses hatte ich vorher nur vergessen zu aktivieren... es ist validiert und läuft.)
Welche Portfreigaben sollte ich denn am sinnvollsten einrichten? Ich möchte nur subdomain.domain.de eingeben.. ohne Porteingabe. Ist das sinnvoll? Geht das?

Die Syn ist wie folgt eingestellt.
Port 5000 und 5001, http - Verbindungen automatisch zu https umleiten

 

[Frogman]

Ich kann nur davor warnen, DSM extern verfügbar zu machen, zumal unverschlüsselt! Dafür gibt es in 99% der Fälle keinerlei Notwendigkeit. Zudem klingt "subdomain.domain.de" ja nach Webdiensten, die auf dem Webserver mit Port 80 bzw. 443 laufen - die solltest Du dementsprechend 1:1 an die DS durchreichen (am besten dann auch für IPv6 öffnen).

 

[m&tberlin]

Das mit dem durchreichen hab ich nicht verstanden..

Also in der Fritz: 80 an server 80, 443 an server 443, 5000 an server 5000 und 5001 an server 5001?

 

[Frogman]

Also in der Fritz: 80 an server 80, 443 an server 443,

Ja.

..., 5000 an server 5000 und 5001 an server 5001?

Nein (weil man DSM in den meisten Fällen nicht extern braucht, da tun es entweder eingeschränkte Port wie bspw. für die File Station oder ein VPN). Und für IPv6 muss man 80/443 in der Fritzbox-Firewall (ähnlich bei anderen Routern) für den gewünschten Interface-Identifier der DS öffnen.

 

[m&tberlin]

Soweit so gut, die Portfreigaben habe ich so weitergereicht.
Nun eine weitere Frage: Funktioniert es, dass ich auf die DSM komme, indem ich nur xx.yy.de eingebe und nicht https://xx.yy.de:5001?
Oder ist das überhaupt nicht zu empfehlen?

 

[abalzer]

Die Lösung des Problems würde mich auch sehr interessieren.
Die Fritzbox macht sich nichts aus Domain und Subdomain. Sie kennt nur IP-Adressen, WAN, LAN. Bei WAN gibt es nur eine IP-Adresse, die dann die öffentliche Adresse darstellt.Im LAN können eine oder mehrere Netze aufgebaut sein. Hier kann jedoch die Fritzbox, sofern sie als DHCP-Server läuft, nur ein Netz abbilden. In der neuen Version der Fritzbox kann man ein lokalen DNS eintragen, aber habe es noch nicht weiter verfolgt.
Die Aufgabe des lokalen DNS könnte die DSM übernehmen, da DNS-Server konfigurierbar ist. Es müssten dann aber die Domain und Subdomain dort konfiguriert werden und auf die passende DSM verweisen.
Der komplette Name wird jedenfalls von der Fritzbox weitergeleitet und so ist es möglich, dass auf einem Webserver auf einer DSM unterschiedliche Seiten angesprochen werden können (virtuelle Hosts). Damit ist die Nutzung eines Ports, z. B. 80, für mehrere Webauftritte möglich.
Da ich ebenfalls mehrere DSM im Einsatz habe, würde ich auch gerne über Subdomain die entsprechende DSM ansteuern können.
Bisher habe ich mich damit noch nicht endgültig beschäftigen können.

 

[Andy+]

Wo werden die Subdomains eigentlich generiert? Dort müssen dann auch die IP´s hinterlegt sein.

Dasselbe habe ich ja auch, wenn ich 2 DNS registriere, z.B. eine bei DYNU.com und eine bei Synology. Die von DYNU steuert die Fritzbox an und die andere wird von der DS angesteuert, womit sich ja auch der QuickConnect einrichten lässt. Da habe ich dann auch 2 DNS-Adressen mit derselben IP. Nun kann ich beide DNS nehmen und auf das Netzwerk von aussen zugreifen, genau, wie beschrieben. Und über die Portfreigaben greife ich dann auf die jeweiligen Dienste zu.

Wenn Du nun eine feste IP hast, muß diese hinterlegt sein, z.B. von Deinem Provider. Daher würde ich prüfen, ob diese eingerichteten DNS mit zugehöriger IP noch stimmen.

 

[abalzer]

Häufig werden die DNS der Provider genutzt und Domains sowie Subdomains registriert. Die Einträge lassen sich dort auch weiter konkretisieren, z. B. um eigene Webserver, E-Mailserver, u. a. durch die Hinterlegung von A, AAAA, MX oder SRV Einträgen. Damit nutzt man den DNS des Providers, hat aber spezielle Aufgaben durch die Einträge hinterlegt. Ich nutze es erfolgreich für mein Exchange-Server.
Weiterhin können eigene DNS integriert werden. Diese werden ebenfalls beim Provider angegeben und werden damit erreichbar.
Ich nutze mehrere Einträge auch mit verschiedenen Domains unter einer IP-Adresse.
Generell unterscheide ich den Zugriff vom öffentlichen Netz und dem privaten, internen Netz. Aus dem eigenen Netz heraus kann ich immer arbeiten und QuickConnect macht das geschickt durch den initiierten Transfer von innen nach außen. Das geht auch bei Tools wie Teamviewer.
Vom öffentlichen Netz geht es aber regulär über eine öffentliche Adresse über die Fritzbox auf die dahinterliegenden Rechner. Das kann ich aber nur über Portzuweisungen steuern. Ein Port geht an Rechner 1 und der andere an Rechner 2. Wenn ich aber Port 80 an verschiedene Rechner weiterleiten möchte, funktioniert das nicht.
Für diese Fälle ist die Fritzbox aus meiner bisherigen Sicht überfordert. Da kann ich dann nur alles einem anderen Server überreichen, der dann die Zuordnung nach Domains und Subdomains vornimmt. Das könnte ein DSM sein.

 

[appel2000]

Hi!

Ich erlaube mir mal auf diese Diskussion zu verweisen.
Nein, leider keine Lösung enthalten, aber evtl. bringt der Austausch ja was ,weil es ähnliche Themen sind....

http://www.synology-forum.de/showthread.html?43057-Subdomains-mit-DynDNS

 

[Fusion]

@m&tberlin ohne Portangabe auf den DSM geht z.B. mit einem Reverse Proxy Eintrag für xx.yy.de auf localhost:5001.