ubuntuusers.de

DNS-Server mit replace domain/subdomain möglich?

Status: Ungelöst | Ubuntu-Version: Ubuntu 25.04 (Plucky Puffin)
Antworten |

gantim

Anmeldungsdatum:
22. Oktober 2023

Beiträge: 63

Diese Frage habe ich vor einiger Zeit bereits in einem anderen Forum ähnlich gestellt und habe festgestellt, dass a) sie gerne nicht oder falsch verstanden wird und b) ich noch keine sinnvolle Antwort habe.

Situation: Das Intranet zuhause befindet sich hinter einer Fritzbox als DNS-Server. Geräte im Netzwerk melden sich bei der Fritzbox (DHCP-Server) an. Da diese den lokalen Geräten das Internet bereitstellt und beispielsweise Statistiken für einzelne Geräte anbietet, würde ich das gerne beibehalten. Es gibt noch mehr Fritzboxen im Intranet und mehrere Proxmox-Server in einem Cluster, das tut aber nichts zur Sache. Also sind einzelne Hosts im Intranet erreichbar beispielsweise unter rechner.fritz.box.

Das hat aber Nachteile, denn für fritz.box habe ich kein Zertifikat, um auf einen der Proxmox-Hosts im Intranet ohne Import eines Stammzertifikats (ja, ich habe mir eine CA erstellt und ein entsprechendes Zertifikat dazu) oder Ausnahmedefinition im Browser zuzugreifen.

Für eine Domain, die ich besitze, kann ich problemlos Zertifikate für beliebige Subdomains mit Wildcard generieren. Wenn ich also in meinem Intranet zuhause statt auf rechner.fritz.box zugreifen würde auf rechner.intranet.domain.tld (wobei domain.tld eine Domain ist, die ich verwalte), so könnte ich ein LE-Zertifikat für *.intranet.domain.tld auf allen Proxmox, Apache, sonstigen SSL-Diensten automatisiert verteilen und bräuchte nie mehr diese Ausnahme anklicken.

Problem: In der Fritzbox ist die Domain .fritz.box fest einkodiert. Ich bräuchte also im Intranet einen DNS-Server, der bei einer Anfrage nach rechner.intranet.domain.tld die Anfrage an die Fritzbox weitergibt, wobei er .intranet.domain.tld durch .fritz.box ersetzt, und das Ergebnis zurückliefert. Alle anderen DNS-Anfragen werden unmodifiziert an die Fritzbox weitergeleitet, die der DHCP-Server bleibt. Am besten mit einem Cache zur Beschleunigung. Wichtig ist mir, dass ich die Geräte, die sich bei der Fritzbox anmelden und die ich dort verwalte, nicht erneut eingeben/anmelden muss und sie direkt ohne weitere Aktionen unter rechner.intranet.domain.tld zur Verfügung stehen, sobald die Fritzbox sie kennt.

Geht sowas? Welche Alternativen oder anderen Ansätze gibt es dafür?

adelaar

Anmeldungsdatum:
23. November 2024

Beiträge: 621

gantim schrieb:

Welche Alternativen oder anderen Ansätze gibt es dafür?

Dir Fritten durch eine richtige Firewall (z.B. pf-/OPNsense) ersetzen. Fritten sind für komplexe Netzwerke einfach nicht gedacht.

kB Team-Icon

Supporter, Wikiteam
Avatar von kB

Anmeldungsdatum:
4. Oktober 2007

Beiträge: 9775

Wohnort: Münster

gantim schrieb:

[…] für fritz.box habe ich kein Zertifikat

Doch, hast Du. Die Fritzbox erstellt es automatisch. Du musst es nur herunterladen und auf Deine Rechner verteilen.

[…] Für eine Domain […] kann ich problemlos Zertifikate für beliebige Subdomains mit Wildcard generieren.

Du kannst auch selbst ein SSL-Zertifikat für fritz.box erstellen und auf die Fritzbox hochladen.

[…] Ich bräuchte also im Intranet einen DNS-Server, der bei einer Anfrage nach rechner.intranet.domain.tld die Anfrage an die Fritzbox weitergibt, wobei er .intranet.domain.tld durch .fritz.box ersetzt, und das Ergebnis zurückliefert. Alle anderen DNS-Anfragen werden unmodifiziert an die Fritzbox weitergeleitet, die der DHCP-Server bleibt.

Natürlich kann man sich so etwas frickeln. Man legt damit aber alle Absicherungen in seinem DNS-System lahm. Einfacher und nicht schlechter wäre es, auf SSL zu verzichten.

adelaar

Anmeldungsdatum:
23. November 2024

Beiträge: 621

kB schrieb:

Doch, hast Du. Die Fritzbox erstellt es automatisch. Du musst es nur herunterladen und auf Deine Rechner verteilen.

Auch von mir schon mal eine Dank für diese Info. War mir unbekannt dass die Fritte das automatisch macht. Allerdings benutze ich selbst auch keine Fritten, sondern eine pfsense im privaten LAN.

Habe mich jetzt aber mal per Wiregurad-Tunnel ins LAN meiner Mutter verbunden und in die Fritte dort eingeloggt. Dort findet sich in der tat ein selbst signiertes Zertifikat für die DynDNS-Domain, die unter Internet → Freigaben → DynDNS eingetragen ist. Ferner ist sie gültig bis 2038 für die myfritz.net-Domain, fritz.box, www.fritz.box, myfritz.box, www.myfritz.box, fritz.nas und www.fritz.nas.

gantim

(Themenstarter)

Anmeldungsdatum:
22. Oktober 2023

Beiträge: 63

Die Fritzbox erstellt ein selbstsigniertes Zertifikat. Das hilft mir nicht. Wie erwähnt habe ich bereits eine CA angelegt und für *.fritz.box ein Zertifikat ausgestellt. Auch das hilft mir aber nur, wenn ich das Stammzertifikat der CA importiere. Also auf alle Rechner im Intranet (und denen, die möglicherweise per VPN darauf zugreifen) verteile. Und das muss ich bei jedem Browser auf jedem Gerät machen, von dem aus ich auf einen meiner Proxmox-Server zugreife (das ist nicht notwendigerweise nur einer meiner Rechner). Obwohl ich ein wunderbares, offiziell gültiges LE-Zertifikat parat hätte. Wenn ich die eigene Domain in der Fritzbox einstellen könnte.

Auf SSL verzichten ist beispielsweise bei Proxmox nicht vorgesehen.

Ob ich OPNSense einsetzen möchte, überlege ich mir noch, das scheint ein vernünftiger Ansatz zu sein.

kB Team-Icon

Supporter, Wikiteam
Avatar von kB

Anmeldungsdatum:
4. Oktober 2007

Beiträge: 9775

Wohnort: Münster

gantim schrieb:

[…] das hilft mir aber nur, wenn ich das Stammzertifikat der CA importiere. Also auf alle Rechner im Intranet (und denen, die möglicherweise per VPN darauf zugreifen) verteile. Und das muss ich bei jedem Browser auf jedem Gerät machen, von dem aus ich auf einen meiner Proxmox-Server zugreife (das ist nicht notwendigerweise nur einer meiner Rechner).

Ja, das muss man stets bei der Anwendung von SSL sicherstellen, ausgenommen, der Browser kennt Stammzertifikat der CA und individuelles Zertifikat schon. Es gehört zu den Grundlagen des Funktionsprinzips von SSL.

Wenn man mehr als eine Handvoll Rechner hat, hat man in der Regel auch ein System zu Verteilung von Software und man muss es nur einmal an einer Stelle machen.

Obwohl ich ein wunderbares, offiziell gültiges LE-Zertifikat parat hätte. Wenn ich die eigene Domain in der Fritzbox einstellen könnte.

Auch dabei gilt die vorstehende Anforderung, also Stammzertifikat und individuelles Zertifikat müssen dem Browser bekannt gemacht werden, sofern sie es nicht schon sind. Dies ist der Preis, den man für den Schutz per SSL immer bezahlt.

[…] Ob ich OPNSense einsetzen möchte, überlege ich mir noch

Das kannst Du tun, aber ich bezweifle, dass der Ersatz der Fritzbox durch ein OpenSense-System weniger Arbeit verursacht als die Verteilung eines Zertifikats auf alle Rechner.

gantim

(Themenstarter)

Anmeldungsdatum:
22. Oktober 2023

Beiträge: 63

Ich habe kein System zur Verteilung von Zertifikaten auf allen Android-Handys oder Spiel-VMs oder gebooteten Live-Systemen und es ist auch überhaupt nicht notwendig.

Zum Funktionsprinzip von SSL gehört, dass gewissen CA automatisch vertraut wird. Das ist wichtig, richtig und gut so. Sonst müsste man für jede Domain in Internet erst Mal ein CA importiert haben. Das geht aber nicht, wenn man eine Domain (wie fritz.box) verwendet, die man im Internet nicht unter Kontrolle hat.

Aus diesem Grund möchte ich statt fritz.box eine eigene Domain (irgendwas.domain.tld) in meinem Intranet verwenden. Das hat AVM leider nicht vorgesehen. Es gibt eine Möglichkeit, die Domain zu ändern, aber nicht in der Oberfläche und sie funktioniert nicht richtig, weil an einigen Stellen wohl doch in der Fritzbox die fritz.box hart kodiert ist.

Deshalb meine Frage nach einer Alternative zum Umstellen auf ein System, bei dem diese Option vorhanden ist und funktioniert. Ein DNS (in meinem Intranet), der die Daten der Fritzbox verwendet, aber mich die Domain einstellen lässt.

Nun möchte ich, dass ein neuer Rechner/Shelly/whatever in meinem Intranet sofort bekannt ist. Entweder, mein lokales Intranet-DNS fragt die Fritzbox bei jeder Anfrage, oder das Anlegen/Ändern eines Gerätes in der Fritzbox triggert ein neues Übernehmen der Geräteliste in meinem DNS, und ich schätze, das sollte ein gangbarer Weg sein.

Ich schau Mal, dass ich die Liste der Geräte, die der Fritzbox bekannt sind, abfrage (habe schon gesehen, dass es geht) und in eine DNS-Server-Konfiguration schreibe.

micneu

Avatar von micneu

Anmeldungsdatum:
19. Januar 2021

Beiträge: 832

Wohnort: Hamburg

Ich habe es hier überflogen und verstehe dein Problem nicht ganz.
Warum setzt du die Fritzbox ein, wenn du was Professionelles erwartest?
Ich setze in meinem Netzwerk eine pfSense ein, dienste die ein Zertifikat benötigen bekommen das über den HAProxy (LE).
Das setze ich seit ca. 9 Jahre so ein und läuft gut.
Also nochmals die Frage, warum willst du unbedingt eine Fritzbox einsetzen?

                                            ┌──────────────────────────┐                                     
                                            │                          │                                     
                                            │  WAN / Internet (PPPoE)  │                                     
                                            │        Willy.tel         │                                     
                                            │ 1000/250Mbit/s Glasfaser │                                     
                                            │                          │                                     
                                            └─────────────┬────────────┘                                     
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │                                                  
 ┌────────────────┐   ┌────────────────┐    ╔═════════════╩═════════ pfSense+ ════════╗                      
 │                │   │     Switch     │    ║                             Netgate 6100║    Stand: ─ ─ ┐      
 │ TrueNAS SCALE  ├───┤  USW-Flex-XG   ├────╣                      LAN: 192.168.3.0/24║  │                   
 │                │   │                │    ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║    26.05.2025 │      
 └────────────────┘   └───┬─┬──┬───────┘    ║       IoT WLAN (VLAN34): 192.168.34.0/24║  │                   
 ┌────────────────┐       │ │  │            ║  DynDNS über deSEC.io mit eigener Domain║   ─ ─ ─ ─ ─ ─ ┘      
 │      UBNT      │       │ │  │            ║                                   VPN's:║                      
 │UniFI AP AC Pro ├───────┘ │  │            ║                1 x S2S WireGuard FB 7490║                      
 │                │         │  │            ║                1 x S2S WireGuard FB 6591║                      
 └────────────────┘         │  │            ║     1 x pfSense S2S (Netgate 6100) IPSec║                      
 ┌────────────────┐         │  │            ║             1 x OpenVPN Road Warrior DCO║                      
 │    Proxmox     │         │  │            ║                          (172.16.3.0/24)║                      
 │   Intel NUC    ├─────────┘  │            ║               1 x WireGuard Road Warrior║                      
 │BNUC11TNHV50L00 │            │            ║                         (172.16.33.0/24)║                      
 └────────────────┘            │            ║                                         ║                      
                               │            ╚═════════════════════════════════════════╝                      
                               │                                                                             
 ┌────────────────┐   ┌────────┴───────┐ ┌────────────────────┐ ┌────────────────┐                           
 │ Fritzbox 7490  │   │     Switch     │ │       Switch       │ │    1 x UBNT    │                           
 │    IPClient    ├───┤  USW-Flex-XG   ├─┤ USW Pro Max 16 PoE ├─┤UniFi AP-Flex-HD│                           
 │   (Nur VoIP)   │   │                │ │                    │ │                │                           
 └────────────────┘   └────┬───────────┘ └──────┬─────────────┘ └────────────────┘                           
 ┌────────────────┐        │                    │    ┌───────────┐                                           
 │      UBNT      │        │                    │    │           │                                           
 │UniFI AP AC Pro ├────────┘                    └────┤  Clients  │                                           
 │                │                                  │           │                                           
 └────────────────┘                                  └───────────┘                                           
Antworten |