Sub-Domains mit einer Fritzbox nutzen

[cediboi]

Hallo zusammen,
ich habe derzeit folgendes Setup:
- Fritzbox 7590 AX
- Einen Homeserver auf dem Proxmox VE läuft mit VMs und Containern für z.B Home Assistant, Game Server oder Nextcloud
- eine Strato domain, nenne ich hier im beispiel einfach domain.de
- Einer der Container ist ein Nginx reverse Proxy manager der die anfragen aus dem Internet entgegennimmt und entsprechend verteilen soll.

Ich möchte damit folgendes Umsetzen:
Zum Beispiel der Home Assistant soll aus dem Internet über die subdomain homeassistant.domain.de erreichbar sein. Ich habe daher mein DynDNS für domain.de in meiner Fritzbox hinterlegt und konnte mich dann auch über domain.de zum reverse proxy und von dort dann zu meinem homeassistant verbinden. Ein SSL-Zertifikat konnte ich recht einfach über NginX anfordern.

Nun kommen wir zu meinem Problem:
Wenn ich nun über den angelegten CName-Record von homeassistant.domain.de zu domain.de geleitet werde, blockt die fritzbox diesen ab. Daher habe ich den DNS-Rebound schutz für die subdomain ausgeschalten. Eine Fehlermeldung bekomme ich jetzt nicht mehr, dafür öffnet sich aber das Fritzbox Anmeldefenster. Ich vermute einfach mal, dass die Fritzbox die homeassistant.domain.de nicht weitergibt, weil im dyndns eben nur domain.de hinterlegt ist.

Kann man denn im DynDNS mehrere domains oder halt auch subdomains hinterlegen?

Und wie regele ich das mit den SSL-Zertifikaten für die Subdomains. Muss ich da auch immer eine neue anfordern oder kann ich einfach das Zertifikat für domain.de nehmen?

Vielen Dank
Cedi

 

[Fusion]

Bitte offizielle Bsispieldomains benutzen die niemand gehören oder existieren.
https://de.m.wikipedia.org/wiki/Beispieldomains

Kannst du dein Setup noch etwas präzisieren bitte?

Ist deine dynDNS dyndns.example.com?
Wenn es direkt example.com wäre wüsste ich gerade nicht wie man bei Strato noch CNAMES setzen könnte.

Zertifikate musst du im Proxy für die Subdomains hinzufügen. Oder ein Wildcard Zertifikat ala *.example.com besorgen.
Das geht normal über dns (Alias) Validierung. Zumindest acme.sh unterstützt das mit Strato nicht bzw Strato bietet die API nicht an.
Müsste man dann einen Teil der DNS Verwaltung auslagern oder eine andere Domain bei einem Anbieter der unterstützt wird zu Hilfe nehmen. Mache ich z.b. Über die Hetzner DNS Console.

 

[Spielebernd]

Morgen.

Ich geh mal davon aus deine IPv6 auf die FB aufgelöst wird.

Du kannst in der FB eine „MyFritz-Feigabe“ einrichten wo du dann z.B. „homeassistent.123xyz.myfritz.net“ an deine Domain.com weitergibst oder du lagerst die IPv6 auf die VM aus und lässt nur IPv4 auf der FB insofern du eine öffentliche IPv4 hast.

 

[blurrrr]

Am einfachsten wäre es, wenn man einen Wildcard-Record setzt, so wie @Fusion es schon gesagt hat. Nehmen wir einfach mal folgendes Szenario an:

DynDNS-FQDN: irgendwasdynamischgeneriertes.myfritz.net
Domain: example.com

Du erstellst im Falle von IPv4 einen "CNAME"-Record (und/oder AAAA für IPv6) für "*" (example.com). Als Wert trägst Du dort dann Deine DynDNS-Adresse ein (irgendwasdynamischgeneriertes.myfritz.net). Wenn Du willst, kannst Du das auch noch explizit nur für "example.com" machen, ich persönlich halte von sowas allerdings eher nix, ist aber Geschmackssache.

Nun ist es so, das alles - was nicht explizit anderweitig angegeben ist im Anbieter-DNS - zu Deiner DynDNS-Adresse weitergeleitet wird. Bedeutet auf der anderen Seite, dass Du bei Deinem Reverse-Proxy z.B. "homeassistant.example.com" anlegen kannst und Dich nicht weiter um die Anlage des Records beim DNS-Anbieter kümmern musst, da die Anfrage - aufgrund des Wildcard-Records - sowieso schon bei Dir ankommt. Also brauchst Du nur noch beim Reverse-Proxy neue Einträge anlegen und gut ist.

Wenn ich nun über den angelegten CName-Record von homeassistant.domain.de zu domain.de geleitet werde

Warum wird da überhaupt etwas weitergeleitet? In der Regel ist es doch ein "host.domain.tld", wobei die Unterscheidung des Zielsystems dann anhand des FQDN stattfindet bzw. je nach "host".

Kann man denn im DynDNS mehrere domains oder halt auch subdomains hinterlegen?

Das brauchst Du nicht.

Und wie regele ich das mit den SSL-Zertifikaten für die Subdomains. Muss ich da auch immer eine neue anfordern oder kann ich einfach das Zertifikat für domain.de nehmen?

Entweder erstellst Du für jeden "Host" ein eigenes auf dem Reverse-Proxy, oder Du schaust, dass Du ein Wildcard-Zertifikat bekommst, das gilt dann direkt für "*.example.com", muss aber auch für jeden Eintrag im Reverse-Proxy hinterlegt sein. Das Zertifikat für "example.com" kannst Du definitiv nicht nehmen, da dieses dann nur für example.com gilt (und nicht z.B. für homeassistant.example.com). Es gibt allerdings auch die Möglichkeit "alternates" anzugeben (glaube bis zu 5 Stück oder so), damit könntest Du "ein paar" Subdomains zu einem Zertifikat hinzufügen (homeassistant... + nextcloud... + games... + irgendwas...), aber ganz ehrlich... für die paar Dinge... Ich würde erstmal nur bei den FQDN-basierten bleiben und für alles ein eigenes Zertifikat nutzen (oder halt direkt ein Wildcard, aber das muss der DNS-Anbieter auch unterstützen), von daher ist diese Einzel-Variante erstmal die einfachste., umstellen kann man das später immer noch.

dafür öffnet sich aber das Fritzbox Anmeldefenster

Das heisst eigentlich in erster Linie, dass Du nicht dort ankommst, wo Du eigentlich hin möchtest (Reverse-Proxy), sondern direkt bei der Fritz!Box landest. Das sieht mir schwer nach IPv6, denn unter IPv4 wäre das Thema mit einer Portweiterleitung erledigt, unter IPv6 gibt es bei der Fritz!Box sowas nicht. Da muss bei der DynDNS-Adresse halt nicht die öffentliche IPv6 der Fritz!Box, sondern die öffentliche IPv6 des Reverse-Proxy hinterlegt sein.