Dienste/Services per Subdomain nur im LAN erreichbar machen

bennySB

Moin Leute,

ich brauche jetzt mal die Netzwerker unter euch und will es hier machen damit andere auch von profitieren können. WIr hatten es letztens schon einmal kurz im Matrix Client, aber ich brauch es noch einmal hier schriftlich, weil ich mich zu blöd anstelle.
Was will ich haben:

Ich möchte meine ganzen Services über meine Domain per Subdomain erreichen. Meine Domain hab ich bei Strato mit ner .de Endung und diverse Subdomains wie bspw. nextcloud.xxxxx.de oder plex.xxxxxx.de und Co. Nun möchte ich davon aber nur einen Teil extern erreichbar haben und einen Teil nur intern (im LAN).

Jetzt ist ja die theorie das nur subdomains welche auch bei Strato gemeldet sind extern erreichbar werden, die restlichen nur intern, sofern man seinen DNS-Server richtig im Griff hat. Ich habe bei mir AdGuard Home am laufen und möchte jetzt bspw. den Serivce "tautulli" nur intern erreichen können. Für das Thema Reverse Proxy habe ich bei mir den NGINX-Proxy-Manager per Docker am laufen.

Was muss ich nun machen damit ich tautulli.xxxxxxx.de erreichen kann im LAN, aber nicht per WAN? Am besten noch per SSL-abgesichert (nice to have).

Ihr bringt mich bestimmt auf den richtigen Punkt was ich wo eintragen muss. Anfangen muss ich ja mit Sicherheit bei AdGuard Home, bestimmt in den Verschlüsselungseinstellungen oder?

MfG Benny

joschi77

Hallo,

ich hab selbst kein AdGuard Home am laufen, würde es aber erstmal so versuchen:

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

noob_at_pc

im Nginx proxy manger geht das über die Accesss List. Dort ein deny all und allow für dein lokales netz 192.168.x.0/24 und fertig.

dann kannst du alles über den proxymanger fertig regeln lassen, cerbot für das SSL Zertifikate und dein AdGuard home ist ja nur für die Namensauflösung da. Also Simpel ein Host Eintrag für nextcloud.xxx.de auf die IP wo halt das Zeug läuft und fertig. Von Außen halt HTTP & HTTPS offen auf den Proxymanager.

bennySB

Zitat von joschi77

Hallo,
ich hab selbst kein AdGuard Home am laufen, würde es aber erstmal so versuchen:

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Mit dem Umschreiben kannte ich schon, wäre auch ne Möglichkeit.

Zitat von noob_at_pc

im Nginx proxy manger geht das über die Accesss List. Dort ein deny all und allow für dein lokales netz 192.168.x.0/24 und fertig.
dann kannst du alles über den proxymanger fertig regeln lassen, cerbot für das SSL Zertifikate und dein AdGuard home ist ja nur für die Namensauflösung da. Also Simpel ein Host Eintrag für nextcloud.xxx.de auf die IP wo halt das Zeug läuft und fertig. Von Außen halt HTTP & HTTPS offen auf den Proxymanager.

Stimmt, da war ja auch noch was, nehme ich halt das. Muss nur schauen, hier war mal was das er nicht immer erkannte von wo ich komme. Ich glaub wenn ich im LAN die Subdomain anspreche stand im Log als IP immer meine WAN-IP drin. Da ich mittlerweile aber vieles bei mir geändert hab muss ich mir das noch einmal anschauen.

noob_at_pc

Dann waren deine DNS Einträge Fehlerhaft, ganz simpel. Es steht und fällt alles mit einem anständigen DNS.

Wenn alle deine Dienste über HTTPS auf einem Server Verfügbar sind / sein sollen und du manche von außen erreichbar haben willst muss das der ProxyManager machen. Der Steuert von wo was verfügbar ist.

bennySB

Hab Freitag ja mein NAS mit OMV 7 neu bespielt und in dem Zuge gestern dann mein Docker Setup angepasst von normalem Bridge-Netzwerk auf ein eigenen IP-Bereich mit einem Macvlan-Netzwerk.

Danach dann einfach im AdGuard Home ein DNS-Rewrite aktiviert mit *.xxxxxxx.de auf IP-Adresse vom NGINX Proxy Manager und schwupps funktioniert es. Für interessierte dahinter kann man sich gerne diese Seite durchlesen https://academy.pointtosource.com/general/url-instead-of-ip/, wobei nur der End-Part für mein Thema ist/war.

DaVu

Zitat von bennySB

Was muss ich nun machen damit ich tautulli.xxxxxxx.de erreichen kann im LAN, aber nicht per WAN? Am besten noch per SSL-abgesichert (nice to have).

Ich würde es anders machen. Alles, was du nur intern erreichbar haben möchtest (also wenn du auch bei dir zu Hause bist), machst du über eine andere Domain. Zum Beispiel

tautulli.xxxxxx-was-anderes.priv

Dann setzt du dir nen passenden DNS auf und richtest dir auch entsprechende Zones ein. Zum Beispiel eine "db.xxxxxx-was-anderes.priv"-Zone in der du dann deine internen Dienste mit entsprechender IP und Port auflöst. Dann richtest du deinen Rechner so ein, dass er erstmal nur deinen eigenen DNS Server anspricht. Wenn du jetzt natürlich mehrere Sachen auf der gleichen IP hast (weil nur ein Server, aber viele Dienste), dann ja....da ist dann NGINX-Proxy dein Freund.

Ich würde aber niemals "nur interne"-Dinge gegen eine *.de Adresse auflösen lassen. Das macht man einfach nicht . *.de ist eine Toplevel-Domain und du solltest die nicht für interne Dinge missbrauchen. Das holt dich später ganz übel ein.

Zertifikate ist auch kein Problem. Du erstellst dir einfach für eine *.priv-Adressen eine eigene CA. Dafür nimmst du das Tool XCA: https://www.heise.de/download/product/xca-14273

Dann kannst gegen die neue CA auch entsprechende Self-Signed-Certs erstellen und diese dort ablegen. Du musst die CA und die Certs nur auch dem Rechner bekannt machen, der darauf zugreifen möchte. Wenn man den Kniff erstmal raus hat, dann ist das recht easy. Gibt auch gute Videos und How-Tos dazu.

Ich hatte mal zu Hause ein eigenes Wiki (Mediawiki), meinen eigenen DNS, Proxmox, Unraid etc. pp. und alles war via "<name>.davu-home.priv" auflösbar. Wichtig ist nur, dass du dir im DNS auch einen Forwarder einrichtest, der dann einen anderen DNS fragt(8.8.8.8 z. B.), wenn er eine Adresse nicht finden kann. Ansonsten geht gar nichts mehr

joschi77

Zitat von DaVu

Ich würde aber niemals "nur interne"-Dinge gegen eine *.de Adresse auflösen lassen. Das macht man einfach nicht . *.de ist eine Toplevel-Domain und du solltest die nicht für interne Dinge missbrauchen. Das holt dich später ganz übel ein.

Wieso?

noob_at_pc

eine öffentliche Domain kann man auch ohne weiteres für internes nutzen, solange man Inhaber der domain ist. Null Probleme, nur wie immer bei allem: Anständig machen!

DaVu

Zitat von joschi77

Wieso

Zitat von noob_at_pc

eine öffentliche Domain kann man auch ohne weiteres für internes nutzen, solange man Inhaber der domain ist. Null Probleme, nur wie immer bei allem: Anständig machen!

Solange das der Fall ist, ist die Frage nach dem "Wieso" gerechtfertigt. Denn dann ist es natürlich richtig, was noob_at_pc sagt. Wenn dir die Domain gehört, dann alles i. O.

Ich verwende sehr gerne .priv, Denn dann weiß ich

welche Dienste wo verfügbar sind
das ich die .priv-Dienste so abgesichert bzw. mein Netzwerk drumherum so konfiguriert habe, dass sie von außen nicht erreichbar sind

und das sehe ich schon an der Endung der URL. Da muss ich mir keine weitere Doku mehr machen.

Vorteil bei der .de-Domain ist aber auch, dass ich mir ein Wildcard-Zertifikat machen kann (ok...das ist recht teuer für private Leute) und das dann einfach überall einsetzen kann.

Aber gut. Das "das macht man so nicht" war vielleicht etwas zu weit gegriffen. Wie ich sehe, führen auch hier viele Wege nach Rom.

joschi77

Mit einem ordentlichen Split-DNS steht auch einer intern verwendeten TLD nichts im Wege, meiner Meinung nach.

DaVu

Ja. Alles richtig.

Ich würde es, wie gesagt, nur anders machen. Aber "that's only me". Jeder so, wie er möchte

bennySB

Danke für den Tipp, aber ich gehe mal davon das das die Domain richtig eingetragen ist, dafür bezahle ich Strato immerhin jährlich.

Jetzt mitmachen!