Zertifikat Fehler im Heimnetz

Hallo,

seit einigen Monaten quält mich ein Problem:

beim Zugriff auf Kalender und Kontakte, die im iPhone und iPad über so eingerichtet sind, wie es in der Nextcloud Doku steht, kommt bei Abruf der Daten der Fehler: "Serveridentität kann nicht geprüft werden" mit Verweis auf meine Domain "cloud.nas-hunda.de". Beim Klick auf Details zeigt sich, dass das Zertifikat ablehnt wird, weil es auf "nas-hunda.duckdns.org" ausgestellt wurde.

Das passiert aber nur im eigenen WLAN, nicht von extern oder über LTE oder so.

Mein Zertifikat kommt über Letsencrypt und wird über den Swag Container immer verlängert und hier die Dienste über Reverse Proxy und Fail2ban zur Verfügung gestellt.
Allerdings wird das Zertifikat nur über die richtige Domain ausgestellt, nicht über die duckdns (was ja auch gar nicht von mir ginge).
In der Fritzbox ist wiederum der Dydns Dienst von DuckDNS eingetragen.

Meine Vermutung ist, dass die Fritzbox irgendwie die "Identität" der Dynds Domain annimmt und daher das Zertifikat natürlich nicht passt wenn ich im Heimnetz bin.

Hat jemand eine Idee, wie ich das wieder hinbekomme?

Es fing nämlich in der Tat an, als nach einem Fritzbox Update die Dydns-Einstellungen nicht mehr gingen und von mir neu eingegeben wurden.

Der Domainanbieter ist netcup, die können das theoretisch, aber es gab da Probleme mit den dynamischen Subdomains, für den Reverseproxy, also cloud.xxxxx.yy - emby.xxxxx.yy usw.

Da war was mit sog. C-Name flattening oder so.

Hier wurde das besprochen:

Thema

DynDNS, Domäne, Reverse Proxy

Guten Morgen,
ich quäle mich gerad ein wenig mit "Zugriff von aussen".

Was ich schon geschafft habe:

• Domäne bei Netcup (beispiel.de)

• DuckDNS Subdomäne (beispiel.duckdns.org)

• SWAG Container mit Reverseproxy, Letsencrypt, Nginx

• DuckDNS ist erreichbar

• Reverseproxy mit Letsencrypt konfiguriert und funktioniert
  Aufruf von http://beispiel.duckdns.org/emby
  Emby wird korrekt aufgerufen und Zertifikat i. O. alles grün
  Ich könnte hier, wenn nötig, wohl auch auf emby.beispiel.duckdns.org umstellen, bin mir aber

…

Commerzpunk

5. März 2021 um 11:37

Hallo,

ich bin einen Schritt weiter in der Erforschung.

Es ist so, dass die Fritz!Box mein normales Lets Encrypt Zertifikat gegen ihr eigenes, selbst signiertes austauscht.
Deswegen flippen meine iOS Geräte aus, denn dann passt Domain und Zertifikat nicht zusammen.

Das Verhalten tritt sonst nirgends in meinem internen Netz auf.

Und es ist auch nur wegen der Caldav / Cardav Sync Einträge der Nextcloud!

Emby, TVH, Nextcloud (App), geht alles ohne Fehlermeldungen.

Hat da jemand Erfahrungen oder Ideen?

cloud.nas-hunda.de
Server: fritz.box
Address: fd00::3a10:d5ff:fecc:5b4c

Nicht autorisierende Antwort:
Name: nas-hunda.duckdns.org
Address: 89.245.93.86
Aliases: cloud.nas-hunda.de

Zitat von noob_at_pc

die Fritze tauscht kein Zertifikat aus Klingt nach DNS Fehler.

Wenn ich mir die Fehlermeldung in iOS anschaue, dann ist das Zertifikat aber auf "nas-hunda.duckdns.org" ausgestellt.

Ich habe mir dafür aber kein Zertifikat geholt, ich habe nur das eine, und zwar das für die "echte" Hauptdomain.

Dieses nicht vertraute Zertifikat ist auch bis 2038 ausgestellt, ganz typisch für selbst signierte.

Und es hat exakt den SHA1 Fingerprint, wie das, was die Fritzbox mit in der Oberfläche als das "eigene" Zertifikat anbietet.

Deswegen ist meine laienhafter Vermutung, die Fritzbox erkennt, dass das die Domain auf die das Dyndns zeigt von innen heraus zugegriffen wird und verwendet das eigene Zertifikat dafür um irgendwas zu erreichen, was mir (iOS) aber das Leben schwer macht.

Zitat von noob_at_pc

Die nas-hunda.de domain per DYNDNS direkt ohne Duckdns Umweg bekommen.

Das würde ich gern machen!

Folgende Herausforderung:

netcup kann das nur mit einem Drittanbieter Script, welches aber wenigstens von Netcup in der eigenen Doku beschrieben ist:

GitHub - fernwerker/ownDynDNS: Self-hosted dynamic DNS php script for FRITZ!Box and netcup DNS API

Self-hosted dynamic DNS php script for FRITZ!Box and netcup DNS API - fernwerker/ownDynDNS

github.com

Teil 1:

Ich habe die DNS Einstellungen bei Netcup auf Cloudflare geändert, weil ich nach meinem Wissen dann nur da das CName flattening machen kann.
Aufgrund der geänderten DNS Einstellungen lässt mich Netcup die Domain nicht mehr mit den zugehörigen Webhosting verbinden - was ich bisher auch gar nicht brauchte.

Teil 2:

In der Doku zu ownDynDNS steht: "Create each host record in your netcup CCP (DNS settings) before using the script. The script does not create any missing records."

Das verstehe ich überhaupt nicht, kann es mir jedmand erklären?

Wenn das geklärt ist, kann ich DuckDNS aus der Gleichung streichen.

Sorry, da komme ich grad nicht mit. Welcher Host?

Also im CCP unter Domains steht halt meine Domain, die nas-hunda.de

Aber das ist ja eh klar, oder?

Naja, wie gesagt, ich habe die DNS Server auf Cloudflare gelegt:

Weil dort wiederum kann ich einfach mit * alle Subdomains umleiten und muss nur am Reverse Proxy das gewünschte eintragen.

Theoretisch könnte ich das auch wieder zurückbauen - aber ich bekomme grad bisschen Angst, dass ich alles wieder kaputt machen, denn die Einrichtung damals hat mich so viele Nerven gekostet bis es endlich lief.

Hallo,

ich habe nun Adguard Home als Docker unter Unraid installiert und laufen.

Die IP Adresse des Adguard habe ich dann als lokalen DNS Server in der Fritzbox, bei Heimnetz>Netzwerk>Netzwerkeinstellungen hinterlegt:

Dann mal Geräte neu gestartet, WLNA an/aus, dnsflush, was ich so kenne.

Seit gestern läuft das, ohne Auffälligkeiten, das Dashboard zeigt "alle" meine IPs als Clients an, über 30.000 DNS Anfragen, läuft also offenbar!

2 Dinge sind seltsam:

1. wenn ich nslookup an einem Windows PC mache, wird scheinbar immer noch die fritzbox verwendet, obwohl dieser Client im Dashboard mit seinen anderen DNS Anfragen ständig auftaucht:

Was sich auch im Protokoll der von Adguard zeigt:

Und 2. wenig überraschend, der Zertifikatsfehler ist immer noch da.

Was könnte ich jetzt noch tun?

Ach Mist, also muss ich doch dran gehen und mein DynDNS komplett neu / anders machen.

Ich verstehe es halt einfach nicht, bin ich der einzige Mensch auf der Welt mit Fritzbox, der ne DynDNS auf seine Domain zeigen lässt und das aus dem eigenen Netz abfragen will?
Man findet bei Google echt viel dazu, aber immer nur für einen Teil der "Probleme", so genau zusammenhängend aber nicht.

Wobei ich immer noch ganz klar Nextcloud, speziell Cal/Cardav im Verdacht habe, nicht mein Setup im Allgemeinen. Emby, TVH, der Nextcloud Client oder im Browser, das alles funktioniert ja in meinem Netz in den Apps, im Browser, unter iOS, Windows, keine Probleme.

noob_at_pc Klar, kannst du die verwenden, ich helfe auch gern weiter mit, also mit mehr / speziellen Screens für ein Tutorial.

Gefällt mir ganz gut, das AdGuard Home, da helfe ich gern mit!

Hab jetzt 2 Wochen Urlaub, also gib Gas