DynDNS Adresse mit Reverse Proxy "endet" an FritzBox

[Kachelkaiser]

Hallo,

ich habe folgende Konfiguration

Subdomain wird per DynDNS Script der FritzBox geupdatet. Im ReverseProxy ist die Weiterleitung auf den Bitwarden Container eingerichtet.

Leider endet die Reise immer an der Fritztbox, wenn ich aus dem lokalen Natz die Subdomain eingebe. Über Mobilfunk funktioniert alles wunderbar,

Lokal erhalte ich die Fehlermeldung Fehlercode: SEC_ERROR_INADEQUATE_KEY_USAGE

Auch wenn ich die Subdomain als Ausnahme im DNS Rebind Schutz eintrage, ändert sich nix.

Komischerweise funktioniert die FF-Erweiterung für Bitwarden einwandfrei. Nur wenn ich den Webvault aufrufen will, komme ich nicht drauf,

Was kann ich noch nachschauen?

 

[Ulfhednir]

Mal einen anderen Browser probiert? Google befragt?
z.B. https://support.mozilla.org/en-US/questions/1310266

 

[Kachelkaiser]

ja habe ich

habe auch den Zertifikatsspeicher im FF gelöscht, da es bei einem geholfen hat.

Keine Änderung

 

[Benares]

Leider endet die Reise immer an der Fritztbox, wenn ich aus dem lokalen Netz die Subdomain eingebe

Zu dem Punkt hatte ich mal bei AVM nachgefragt, weil mir das auch aufgefallen war. Immer, wenn was mit der Weiterleitung nicht funktionierte, z.B. weil das Gerät dahinter ausgeschaltet war, landete ich auf der Fritzbox.
AVM sagte mir, dass sei bewusst so gemacht. Es wäre aber nur so, wenn man es von "innen" probiert. An die Begründung kann ich mich leider nicht mehr erinnern.

 

[Kachelkaiser]

in dem Fall kann ich das ja nachvollziehen. Aber bei mir ist es so, dass es z.B. über Mobilfunk einwandfrei läuft und intern leider nicht.....

 

[teufelschultz]

Ich habe scheinbar das gleiche Problem.
Verwende einen EdgeRouter von Ubiquity.

Wenn ich aus dem internen LAN verschiedene Dienste des NAS über meine dyndns aufrufen will, ist dies nicht möglich.
Betrifft auch Webdienste die als docker laufen.
Über Mobilfunk hingegen oder halt die interne Adresse vom NAS geht es hingegen.

Andere Weiterleitungen vom Router z. B. auf openhab auf einem PI funktionieren, auch beim Aufruf aus dem internen LAN über die dyndns Adresse.
Liegt also eindeutig am NAS.

Also Änderung kann ich das Update auf DSM 7 feststellen. Ob ich den Fehler aber direkt seit dem Update habe oder erst später weiß ich nicht zu 100%.
Ich denke scheint ein Bug von DSM zu sein. Haben das noch andere? Dann würde ich das als Fehler bei Synology melden.

 

[Kachelkaiser]

Ja bei mir kam das auch erst mit DSM 7.

Manchmal hat es komischerweise kurz funktioniert aber im großen und Ganzen eben leider nicht

Worüber machst du den DynDns?. Im Router oder im nas?

Hab jetzt üvergangsweise eine subdomain bei einem anderen dyndns provider genommen und in meine domain als CNAME eingetragen. Dasvgeht komischerweise....

 

[teufelschultz]

Dydns läuft über den Router.

Das es mit der anderen Domain klappt ist ja eigenartig. Namensauflösung usw. klappt ja. Vielleicht hat ja noch einer ne Idee, ansonsten melde ich das mal an Synology. Kannst du dann ja auch machen.

 

[Kachelkaiser]

Habe hier einen interessanten Artikel gefunden. Wahrscheinlich hat es mit IPv6 zu tun.

Nein, denn hier macht uns die FritzBox einen Strich durch die Rechnung: Wenn man nun nämlich die DynDNS-Domain mittels IPv6 aufruft (das machen die meisten Browser automatisch, wenn sowohl IPv4, als auch IPv6 angeboten werden), dann kommt man an der Weboberfläche der FritzBox raus. Genau das wollen wir aber nicht, eigentlich sollte die FritzBox den Request an die dahinter legende Maschine weiterleiten.

https://decatec.de/home-server/dynd...tzbox-mit-ipv4-und-ipv6-dual-stack-betreiben/

ich hatte auch beide IPs über die Fritzbox geupdatet. Muss das IPv6 Update über das NAS erfolgen?

In den DDNS Einstellungen gibt es aber keinen Platzhalter für IPv6. Wie ich das sehe, unterstützt nur der Synology DDNS IPv6. Dann doch mit ddclient arbeiten?

Hat das jemand vielleicht bereits gelöst?

EDIT: ich habe jetzt mein ursprüngliches Setting nur ohne Ipv6 genutzt und es geht. Scheint wirklich daran zu liegen. Muss jetzt mal überlegen, ob ich ein Ipv6 in meiner Subdomain benötige.

 

[Adama]

IPv6 brauchst Du natürlich (noch) nicht zwingend.

Welchen DynDNS-Anbieter nutzt du denn? Mit Strato geht's in der Fritz!Box mit benutzerdefinierten Einstellungen und dieser Update-URL:

http://dyndns.strato.com/nic/update?system=dyndns&hostname=<domain>&myip=<ipaddr>,<ip6addr>

Ich meine sogar, das hätte ich hier in einem Thread gelesen...

P.S. Dieser war's: https://www.synology-forum.de/threads/strato-und-dyndns.116756/#post-962611

Vielleicht gibt's ja etwas Vergleichbares bei deinem Anbieter, womit du es mal testen könntest.

 

[Kachelkaiser]

Danke für den Hinweis.

Dort wird aber auch das gleiche Verhalten beschrieben

Ich habe es verwendet, um das VPN der Fritzbox über eine Subdomain zu nutzen, da man mit der IPv6 ja auf der Fritz!Box rauskommt. Mit dem Paket DDNS-Updater 2 habe ich dann das Update der IPv6 Adresse der DiskStation, welche über eine eigene Subdomain erreichbar ist, gemacht.

Jetzt muss ich mal nach dem angegebene Paket suchen und schauen, dass die Synology das IPv6 Update macht.


Edit: Das Paket habe ich gefunden, aber leider läuft es nicht mehr unter DSM 7.

 

[Adama]

Naja, wenn du DynDNS über die Fritz!box machst, brauchst du aber auch nichts zusätzlich auf der Syno...

Ich muss allerdings dazu sagen, dass ich keine derartigen Probleme mit DynDNS hab'. Ich benutze allerdings auch extern wie intern dieselbe Domäne.

 

[Kachelkaiser]

Naja, wenn du DynDNS über die Fritz!box machst, brauchst du aber auch nichts zusätzlich auf der Syno...

Naja leider doch schon. Bie IPv4 ist es egal. Aber sobald IPv6 ins Spiele kommt, muss das Update zwingend von der Syno kommen. Sonst wird hier die Adresse der FB übertragen und der Aufruf endet immer auf der FritzBox. Deshalb würde ich gerne meine Domain mit IPv6 updaten. Nur leider unterstützt das Syno DDNS IPv6 nur mit der synology.me Adresse.

 

[Fusion]

Zwingend ist relativ.

Wenn du myfritz Adressen benutzt kann die Fritzbox auch ipv6 Prefix Updates machen. Da der Host-Teil der Adresse (hintere Hälfte immer gleich bleibt). Nur der vordere Netz-Teil ändert sich (was die Fritzbox allerdings mitbekommt, weil die den ja zum weiterveteilen bekommt).
Geht z.b. Auch mit dynv6.com und anderen Diensten die ein Prefix Update für ipv6 unterstützen.

Es kommt also viel mehr auf den Dienst und die Software an was man wie realisieren muss. Dass es über die eingebaute Lösung von Syno nicht geht ist nur ein weiterer Fleck auf deren Weste.

DSM 7 kenne ich jetzt nur eigene Scripte oder DDNS updater im Docker Container https://hub.docker.com/r/qmcgaw/ddns-updater
Geht auch mit Strato, hier im Einsatz (216+ll, 920+).

 

[Adama]

Hmmm, ich muss allerdings zugeben, dass ich nicht direkt auf die Syno zugreife, sondern für alles Web-basierende einen Reverse-Proxy dazwischen hab', der nicht auf der Syno läuft.

Verhält sich eventuell dann anders. Müsste ich direkt mal untersuchen...

 

[Fusion]

Die ipv6 Adressen zeigen immer schon auf den Ziel Host. Es gibt also normal kein NAT welches diese noch umsetzen muss (kein 'verstecken' hinter einer Router IP). IP/Routing Ebene.
Reverse Proxy ist weiter oben in den OSI Schichten.
Um mit dem Reverse Proxy zu reden brauchst du auch die IPv6 vom Proxy oder die Ipv4 vom NAT/Router.
Mit wem der Proxy dann dahinter weiter wie redet ist völlig irrelevant.

 

[Kachelkaiser]

SM 7 kenne ich jetzt nur eigene Scripte oder DDNS updater im Docker Container https://hub.docker.com/r/qmcgaw/ddns-updater
Geht auch mit Strato, hier im Einsatz (216+ll, 920+).

Danke probier ich bei Gelegenheit mal aus.

 

[teufelschultz]

Also bei mir ist es definitiv kein IPv6 Problem.
Mein Provider teilt mir gar keine öffentliche IPv6 zu. Und wenn ich in Firefox IPv6 deaktiviert, bleibt das Problem bestehen.
Auch ein Portscan ergibt über die öffentliche IP einen geschlossenen Port sofern ich das aus dem eigenen LAN mache und ich kann mich auch nicht per WebDav verbinden über öffentliche IP aus dem LAN. Über Mobilfunknetz geht alles.
Ich melde das mal an Synology, mal schauen was die sagen.

 

[ZatSynFo]

Habe jetzt das leidige Thema mit DynDNS in Kombination FritzBox und Synology DSM 7.0 endlich im Griff und zwar mit IPv4 und IPv6.

Die Fritzbox hat eine andere IPv6 Range als das man vom Provider als Präfix bekommt und somit auch die Endgeräte hinter der FB - zumidest ist das bei mir so. Über DynDNS kommt man deswegen immer auf die Fritzbox, wenn der Client eine IPv6 Adresse haben will / soll. Das Problem beschreibt im Übrigen AVM auch auf seiner Homepage.
https://avm.de/service/wissensdaten...f-auf-HTTPS-Server-im-Heimnetz-nicht-moglich/
Vielleicht hat AVM auch Angst, dass man evtl. gar nicht mehr auf die Fritzbox kommt, wenn man beide Ports weiterleitet.

BTW: Nutz man DynDNS auf der Fritzbox, dann ändert sich das selfsigned Zertifikat, welches aber scheinbar fehlerhaft ist und mit FireFox (neuere Version) nicht mehr umgangen werden kann. FF verweigert schlicht den Zugriff und verweist auf entsprechende RfCs. Mit Chrome und Edge hat das bis Weilen noch funktioniert. Schaltet man DynDNS auf der FB wieder aus und löscht anschließend den Cache im FF, funktioniert der Zugriff wieder.

Ich habe meine Domain bei ALL-INKL.com, das mir erlaubt sowohl IPv4 und IPv6 zu aktualisieren.

Synology unterstütz IPv6 von Haus aus aber nur, wenn man die Synology Domain benutzt. Der DDNS Updater 2 funktioniert leider ab DSM 7.0 nicht mehr. Und die Docker Variante unterstützt ALL-INKL nicht, außerdem finde ich das ein wenig Oversized.

Will man seine eigene Domain benutzen, bleibt einem nur, ein weiteres DDNS Module hinzuzufügen. Was aber an sich kein großes Hexenwerk ist.

In der GUI kann man leider den Modul Path für den Customized Provider nicht anpassen - warum auch immer. Deswegen muss man in der Datei /etc/ddns_provider.conf die folgenden Zeilen mit einem Editor hinzufügen:

[USER_all-inkl.com]
    modulepath=/usr/syno/bin/ddns/all-inkl.php
    queryurl=https://dyndns.kasserver.com

die QueryURL ist nicht sonderlich wichtig, kann aber auch nicht weggelassen werden.

Anschließend legt man das Script an und verpasst ihr Root und Execute Rechte:

sudo -i touch /usr/syno/bin/ddns/all-inkl.php
sudo -i chmod 755 /usr/syno/bin/ddns/all-inkl.php

Der Inhalt ist wie folgt:

    #!/usr/local/bin/php74 -d open_basedir=/usr/syno/bin/ddns
    <?php
    function getHostPublicIPv6($host) {
        $records = array();
        $records = dns_get_record($host, DNS_AAAA);
        foreach ($records as $record) {
            $result = filter_var(
                $record['ipv6'],
                FILTER_VALIDATE_IP,
                FILTER_FLAG_IPV6 + FILTER_FLAG_NO_PRIV_RANGE + FILTER_FLAG_NO_RES_RANGE
            );
            if (!empty($result)) { return $result; }
        }
    }
    //if ($argc !== 5) { echo 'badparam'; exit(); }
    $verbose = false;
    $username = (string)$argv[1];
    $password = (string)$argv[2];
    $hostname = (string)$argv[3];
    $ipv4 = (string)$argv[4];
    $ipv6 = getHostPublicIPv6(gethostname());
    if ($verbose) {
        print "host: $hostname \n";
        print "IPv4: $ipv4 \n";
        print "IPv6: $ipv6 \n";
    }
    $url = "https://dyndns.kasserver.com/?myip=$ipv4&myip6=$ipv6";
    $handle = curl_init();
    curl_setopt($handle, CURLOPT_URL, $url);
    //curl_setopt($handle, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($handle, CURLOPT_HTTPAUTH, CURLAUTH_BASIC);
    curl_setopt($handle, CURLOPT_USERPWD, "$username:$password");
    curl_setopt($handle, CURLOPT_USERAGENT, "SynoDDNS ALL-INKL customized by ZW 2021-12");
    $result = curl_exec($handle);
    if ($verbose) { print curl_error($handle); print "\n"; }
curl_close($handle);

Am Ende legt man in der GUI unter Control Panel > External Access > DDNS einen neuen Eintrag ein und füllt diese mit den eigenen Werten. Speichern und Update Now sollte dann wie gewünscht funktionieren. Falls nicht, dann habt Ihr etwas falsch gemacht ;-)

Als positiven Nebeneffekt konnte ich Port 80 und 443 auf der FB wieder schließen. Selbst Let's Encrypt funktioniert damit. Mit ACME und DNS-Challenge konnte ich mir für meine Domäne ein Wildcard Zertifikat erstellen und auf die Synology, QNAP und Fritzbox verteilen. ACME unterstützt auch ALL-INKL als DNS Provider, autom. Renew über den Task Scheduler und fügt sich sauber in die GUI von DSM ein.

Ein Problem hatte ich anfänglich, als ich für den DDNS Hostnamen ein Zertifikat anlegen wollte. ALL-INKL benutzt für den DDNS Namen einen anderen DNS Server, nämlich: dyndns.kasserver.com. Für den DNS-Challenge von LE muss aber eine TXT Record auf dem zuständigen DNS Server der Domäne anlegen können. Beide sind aber nicht identisch.

Ich bin mir ziemlich sicher, dass die hier genannten Probleme mit FF bzw. nicht Erreichbarkeit der NAS von außen, sich so beheben lassen ...

 

[Kachelkaiser]

Danke @ZatSynFo für die ausführliche Anleitung. Muss ich mir mal in einer ruhigen Minute zu Gemüte führe.