Hyper Backup Hyper Backup mit Hetzner Storage Box - Empfehlungen für Backup Job Setup bei 10MBit Up

[Kachelkaiser]

Hat einer der Anbieter DynDNS als inkludierten Dienst?

Bei Netcup nur über Umwege.

Über die API: https://helpcenter.netcup.com/de/wiki/general/unsere-api

Es gibt z.B. Skripte für die Fritte. Nutze ich auch: https://github.com/fernwerker/ownDynDNS

Es gibt bei Netcup auch immer wieder Deals. Da habe ich damlas meinen Webspace günstig geschossen
https://www.netcup.com/de/deals

 

[ctrlaltdelete]

ahh ok, ich habe eine feste IP zu Hause.

 

[Benares]

Ich mach die DDNS-Updates der Fritzbox auf ipv64.net und nutze diese Namen dann bei Netcup als CNAMEs. So bin maximal flexibel, auch was die (IPv6-)Auflösung interner Geräte anbetrifft.

 

[senderversteller]

Ich habe mich für Hetzner entschieden, weil ich Netcup garnicht auf dem Schirm hatte.
Hetzner hat keine Wildcards, Netcup anscheinend schon. Wie läuft das mit einer Wildcard Domain?

Ich sage bei Netcup "beispiel.tld" ist Wildcard Domain, richte im DNS einen CNAME ein, z.B. diskstation IN CNAME meine.diskstation.me.

Danach erreiche die Diskstation unter diskstation.beispiel.tld ohne Zertfikatswarnung über SSL, ohne dass ich ein LE Zertifikat in der Diskstation aktiv habe? Oder hab ich es mir damit zu einfach gemacht?

 

[metalworker]

Wenn es bei dir nicht um den letzten Euro geht , dann geh lieber zu HEtzner.
Netcup ist nicht schlecht , aber setzt sehr viel auf masse .
Support ist bei Hetzner auch um ecken besser im direkten vergleich .

Sind aber alles nur meine persönlichen Erfahrungen .


Und Backups kann man nie genug haben .-)

 

[ctrlaltdelete]

zum Thema Support, kann ich allinkl empfehlen, immer telefonisch erreichbar und super Support, bin glaube ich seit 22 Jahren dort
Bei mir mit fester IP habe ich es so gelöst:
DNS Einträge auf meiner Domain bei allinkl: siehe Screenshot
Wildcard Cert: siehe Screenshot

 

[Benares]

@senderversteller, nee, du brauchst da schon ein Wildcard-Cert für beispiel.tld

Mit acme.sh in Verbindung mit Netcup als DNS-Provider geht sowas z.B. mit

#!/bin/sh
export DOMAIN=beispiel.tld
export SYNO_CERTIFICATE="*.$DOMAIN"
acme.sh --renew "$@" -d $DOMAIN -d *.$DOMAIN --dns dns_netcup --dnssleep 600
status=$?
if [ $status -eq 0 ]; then
  echo "Deploying $DOMAIN ..."
  export SYNO_HOSTNAME="DS1522"
  echo "Deploying $SYNO_CERTIFICATE to $SYNO_HOSTNAME ..."
  acme.sh --deploy -d $DOMAIN -d *.$DOMAIN --deploy-hook synology_dsm
  export SYNO_HOSTNAME="DS415"
  echo "Deploying $SYNO_CERTIFICATE to $SYNO_HOSTNAME ..."
  acme.sh --deploy -d $DOMAIN -d *.$DOMAIN --deploy-hook synology_dsm
else
  echo "Renew of $DOMAIN failed"
fi

incl. Verteilung auf die beteiligten Synos.

 

[senderversteller]

OK danke @Benares und @ctrlaltdelete . Bei Hetzner funktioniert das aber nicht, oder? Wäre schon schick, denn die Liste der LE Zertifikate in meiner Diskstation ist schon lange... und ich hätte auch gern sowas "elegantes"

By the way: Hab jetzt mal eine Storage Box BX11 in Finnland gebucht, zum Ausprobieren... kann ja jederzeit wieder gekündigt werden, wenn das Geld knapp wird

 

[ctrlaltdelete]

Doch Hetzner müsste auch mit acme.sh gehen:
https://community.hetzner.com/tutorials/automating-ssl-certificates-with-acmesh-dns
https://edv.mueggelland.de/letsencrypt-wildcard-certificate-mit-acme-sh-und-hetzner-dns/

 

[Ronny1978]

auf ipv64.net und nutze diese Namen dann bei Netcup als CNAMEs

Gut, dass habe ich bis jetzt mit Strato auch so am Laufen.

 

[senderversteller]

OK, also geht das über die DNS Zoneverwaltung von Hetzner.
Und wo läuft acme.sh Skript? Habe ja nur ein Webhosting Paket von Hetzner ohne SSH Zugang. Kann das auch auf meiner Diskstation oder meinem Raspberry Pi laufen?
EDIT: habe grade in dem Artikel von muggelland.de gelesen, dass es auf einem Raspberry Pi laufen kann. Ist das klug, dieses Skript "zu Hause" laufen zu haben? Was ist, falls der private Anschluss mal einige Tage oder auch Monate nicht erreichbar ist?

Da bin ich ziemlich blank, weil ich mich damit noch nie beschäftigt habe. Da bräuchte ich ein bisschen Hilfe das richtig einzurichten, damit meine Domains auch erreichbar bleiben

 

[Ronny1978]

Mir geht es nicht anders

 

[ctrlaltdelete]

acme.sh läuft auf der DS als Docker Container, einmal eingerichtet und fertig.

 

[Kachelkaiser]

So bin maximal flexibel, auch was die (IPv6-)Auflösung interner Geräte anbetrifft.

Wie machst du damit das IPv6 Update z.B. von der Synology her? Über die DDNS Funktion der DS?

 

[Benares]

acme.sh läuft im Docker-Container, egal wo, eigentlich täglich. Benötigt wird es aber etwa nur alle 3 Monate, die meiste Zeit tut das Script daher nichts.
Allerdings merkt es sich intern nur ein Deploy (das letzte). Sollen also mehrere Server das neue Zertifikat erhalten, muss man noch was drum rum basteln und das getrennt schedulen (s. #27)

Wie machst du damit das IPv6 Update z.B. von der Synology her?

Hier als Beispiel die DS1522:

Der IPv6-Interface-Identifiier (hinterer Teil) ist fest eingetragen und der wechselnde IPv6-Präfix kommt dynamisch per DDNS-Update von der Fritte und gilt für alle Geräte. Das erspart ein IPv6-DDNS-Update auf jedem einzelnen Gerät, wie es z.B. bei synology.me als Zwischendomain der Fall wäre.

 

[Kachelkaiser]

Danke das klingt interessant. Muss ich mir mal ansehen.

 

[senderversteller]

Es ist zwar Offttopic (hier), aber ich habe trotzdem nochmal eine Frage zur vorangegangenen Diskission.

Ich habe mich mit dem Thema Wildcard Zertifikate und Validierungschallenge per DNS noch einmal beschäftigt, um zu entscheiden, ob ich von aktuell HTTP Challenge für einzelne Zertifikate auf DNS Challenge mit Wildcard Zertifikaten umsteige. In einem Artikel von Let's Encrypt (siehe hier), wird das Risiko beschrieben, dass durch den gespeicherten und statischen DNS Token zur Kontrolle der DNSAPI bei Hetzner auf dem Webserver das Risiko eines Angriffs auf die Zertifikate steigt, wenn der Webserver gehackt wird. Das ist für mich nachvollziehbar.

Note that putting your full DNS API credentials on your web serversignificantly increases the impact if that web server is hacked.

Nun wird der Token in meinem/unseren Fall in einem Container gespeichert, in dem das acme.sh läuft. Wenn die DS gehackt wird, kommt man sicher auch hier an den Token. Auf der anderen Seite könnte ich mit der Umstellung endlich die Ports 80/443 nach außen dicht machen UND die Firewall noch restriktiver machen, weil ich USA verbiete. Alle die, die DNS Challenge nutzen, haben sich mit dem Thema sicher schon beschäftigt: Wie ist eure Meinung dazu, welches Szenario eines Angriffs ist wahrscheinlicher?

Optional konnte ich acme.sh auf einem Raspberry Pi3 laufen lassen, der bei mir auch 24/7 läuft und als Server für Pi-Hole und Homebridge dient. Das Raspi läuft im selben Netzwerk wie die DS. Habe ich dadurch irgendwelche Vorteile, wenn die DS wirklich gehackt wird?

 

[Benares]

Das kritische sind m.E. wirklich nur die Zugangsdaten/Tokens für den Zugriff auf den DNS-Server deines Providers über die DNS-API. Irgendwo müssen die halt hinterlegt sein. Das gilt für jeden DDNS-Updater der irgendwo zyklisch läuft aber ebenso. Natürlich könnte man das auch auf einen RP auslagern, wenn man Schiss davor hat, dass das NAS irgendwie gehackt wird. Andererseits, was sollte ein Angreifer damit anfangen? Deine Domain verstellen? Ich denke, das Risiko ist überschaubar.

 

[senderversteller]

Nachdem ich mit meinen privaten Domains auch nur meinen privaten Kram mache, der für den Rest der Welt nicht von Belang ist, ist der Wert meines Tokens natürlich ein anderer als der Zugriff auf die Zonefiles von z.B. apple.com, amazon.com, x.com, bmw.com, etc. Damit liese sich doch allerlei lustiges Zeug anstellen.