DDNS intern nutzen

[plang.pl]

Ist jemand schon mal darüber gestolpert?

Ich hab mich die Tage mal wieder mit dem Thema DDNS intern nutzen beschäftigt.
Dazu gab es bisher ja immer 2 Optionen:
-eigenen DNS Server nutzen und die Domain auf die interne IPv4 auflösen lassen
-Portfreigabe erstellen
Dies wird ja vor allem gebraucht, wenn man intern gültige Zertifikate haben will.
Aktuell kann man sich das ganze sparen, denn der DDNS kann in der DS direkt so eingestellt werden, dass er sogar von extern auf die interne IP auflöst.
Habe das gerade mal getestet und es klappt.
Ich denke aber, dass das erst seit DSM 7.2 gibt

 

[Kurt-oe1kyw]

Also ich muss ehrlich gestehen ich kann dir auch nicht sagen seit wann das jetzt so ist, aber früher war dies definitiv nicht vorhanden, daher habe ich jetzt schon eine lange Zeit den DNS Server intern laufen für die interne Auflösung und gültigen Zertifikatserkennung.

Aber vielen Dank für die Info.

 

[Ronny1978]

Ich leite die DynDNS auf meinem Adguard auf die interne Adresse der Synology um. So bleibt das Zertifikat erhalten und ich brauche keine Portfreigabe. Vielleicht ist das ja auch eine Lösung?

 

[plang.pl]

Ja klar ist das eine Lösung. Hatte ich ja oben geschrieben und mache ich auch so.
Aber mit dem von mir beschriebenen Vorgang geht es einfacher

 

[synfor]

Hier gibt es das schon in DSM 7.1.1u5

 

[Krabtus]

Ich leite die DynDNS auf meinem Adguard auf die interne Adresse der Synology um. So bleibt das Zertifikat erhalten und ich brauche keine Portfreigabe. Vielleicht ist das ja auch eine Lösung?

Wenn Du in den Einstellungen deiner DDNS-Adresse unter "Externe Adresse (IPv4)" die Option LAN wählst, kannst Du deine DDNS-Adresse so einstellen, das die von außen nicht erreichbar ist aber sobald Du über VPN auf dein Netzwerk zugreifst, kannst Du die Adresse welche ein gültiges Zertifikat hat verwenden.

Ich sehe den Vorteil, das deine Firewall eventuelle unerwünschte Anfragen auf deine DDNS-Adresse nicht abweisen muss, da diese erst garnicht mach aussen kommuniziert.

Oder wie seht Ihr das ?

 

[Krabtus]

Also ich muss ehrlich gestehen ich kann dir auch nicht sagen seit wann das jetzt so ist, aber früher war dies definitiv nicht vorhanden, daher habe ich jetzt schon eine lange Zeit den DNS Server intern laufen für die interne Auflösung und gültigen Zertifikatserkennung.

Aber vielen Dank für die Info.

Siehst Du es nicht als einen Gewinn bei der Sicherheit, wenn Du in den Einstellungen der DDNS-Adresse die "Externe Adresse (IPv4)" auf LAN stellst? So muss die Firewall eine eventuell unerwünschte Anfrage nicht erst abweisen, da die DDNS-Adresse nicht nach aussen kommuniziert. Desweiteren kannst Du deinen DNS-Server ja dennoch so einstellen, das an eine andere IP verwiesen wird.

Wenn Du dann per VPN auf das Netzwerk zugreifst, kannst Du die DDNS-Adresse ja ganz normal benutzen.

 

[plang.pl]

Ich sehe es tatsächlich nicht wirklich als Sicherheitsgewinn, sondern eher als praktischen Vorteil in gewissen Situationen.
Denn in den allermeisten Fällen kommt ein Angriff / Loginversuch auf deine IP und nicht deine Domain. Grund dafür wiederum ist, dass ein Bot meist versucht sich einzuloggen, wenn ein Portscan einen offenen Port gezeigt hat. Und ein Portscan Bot scannt klassischerweise IP-Adressen und keine FQDNs

 

[plang.pl]

Kleiner Nachtrag noch meinerseits: Wer das so nutzen will, muss bei einigen Routern den Rebind-Schutz ausschalten, der normalerweise verhindert, dass ein FQDN auf eine interne Ressource zeigt, bzw. diese Anfrage blockiert.
Dazu muss die verwendete Domain (also die DDNS Adresse) als Ausnahme gesetzt werden. Hier am Beispiel einer FritzBox mit der Beispieldomain "fritzbox.local":


Hierzu noch der KB-Artikel von AVM: https://avm.de/service/wissensdaten...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/

 

[BePe1]

Hat sich erledigt, habe einfach irgendwas eingetragen.

 

[metalworker]

Wie meinst du das ?

 

[BePe1]

Sorry falscher Chat

 

[metalworker]

Achso , aber ist dann falscher Thread und kein Chat ;-)