KeyHelp VM Server hinter Router - richtige Einstellung

[nordx]

Hallo,
ich bin seit ein paar Tagen dran die Keyhelp-Installation auf meiner lokalen VM richtig einzustellen. Die Installation war kein Problem.
Ich habe bei der Installation als Hostname: nordx.local
IP Adresse: 192.168.x.x
angegeben.

Ist diese vorgehensweise soweit richtig? Ist es überhaupt möglich hinter einem Router Keyhelp vollwertig laufen zu lassen? Auf dem Router habe ich alle Ports in Richtung des VM-Server freigegeben. Diese sind auch von außen erreichbar.

Wenn ich nun eine echte FQDN hinzufüge dann scheitert es an der lokalen Namensauflösung. Also wenn ich von meinem PC oder von der VM "ping ECHTEDOMAIN.TLD" ausführe erhalte ich die externe IP-Adresse (die natürlich beim externen Nameserver richtig hinterlegt ist). Auch extern wird richtig gepingt/weitergeleitet. Ich kann nun bei meiner Firewall (Sophos UTM) Netzwerkdefinitionen (Hosts) hinterlegen und die IP-Adresse der VM angeben. Dies ist aber natürlich nicht sehr dynmisch und eigentlich hätte ich es gerne ohne zusätzlicher manueller Arbeit (also jede FQDN auf der Firewall hinterlegen, zumal subdomains da auch noch nicht mit angegeben sind).

Wie wäre denn hier die richtige vorgehensweise? Gibt es irgendwo eventuell ein Tutorial/Best practice dazu oder eine Beispiel-Installation an der man sich orientieren könnte?

Das Problem sitzt hier definitiv vorm PC

Schöne Grüße,
nordx

[nordx]

Kleiner Nachtrag --> Also ich habe bereits mehrere Sachen ausprobiert und bin schon bisschen durcheinander wie was wo wann.
Ich habe nun wieder in der Sophos an erster Stelle bei den DNS Forwarder den VM-Server eingetragen.

Mit dieser Einstellung funktioniert nun das pingen der Domains+Subdomains intern.

Bei der Lets-Encrypt-Zertifikaterstellung erhalte ich aber nun folgende Fehlermeldung:

Failed to aquire a Let's Encrypt certificate for FQDN.TLD.
Verification ended with an error.
Details: DNS problem: SERVFAIL looking up A for FQDN.TLD - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for FQDN.TLD - the domain's nameservers may be malfunctioning
Type: urn:ietf:params:acme:error:dns
Full response: {"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:dns","detail":"DNS problem: SERVFAIL looking up A for FQDN.TLD - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for FQDN.TLD - the domain's nameservers may be malfunctioning","status":400},"url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall-v3\/206797395346\/KM52GQ","token":"Gff1KO8chu76KRa6Pbph_HF3O4FeQAcL5BvBHmJVO_E","validated":"2023-02-27T10:59:05Z"}

[24unix]

Hallo,
ich bin seit ein paar Tagen dran die Keyhelp-Installation auf meiner lokalen VM richtig einzustellen. Die Installation war kein Problem.
Ich habe bei der Installation als Hostname: nordx.local
IP Adresse: 192.168.x.x
angegeben.

Ist diese vorgehensweise soweit richtig?

Hängt davon ab, was Du erreichen willst.
Die Adresse muss in deiner Firewall so eingetragen werden, dass von aussen Ports 80/443 auf die Kiste gehen.

Ist es überhaupt möglich hinter einem Router Keyhelp vollwertig laufen zu lassen?

Yap. https://keyhelp.lab.24unix.net
Aber IPv6-only.

Im Prinzip ist es simpel, wenn Du IPv6 nutzt nicht viel anders als wenn die Kiste irgendwo in einem DC ist.

Dafür Sorgen, dass der AAAA auf die statische IP im LAN auflöst und die IP in der Firewall erreichbar machen.

Mit IPv4 müsste man mehr rumhampel, aber sowas muss man sich 2023 eigentlich auch nicht mehr antun.

[Florian]

Für die interne Auflösung kannst du doch einfach die hosts Datei nutzen. Alt aber effizient.

[nordx]

Hängt davon ab, was Du erreichen willst.
Die Adresse muss in deiner Firewall so eingetragen werden, dass von aussen Ports 80/443 auf die Kiste gehen.

Meinst du die IP Adresse? Ja, alle ports leiten richtig an diese lokale IP-Adresse weiter.

Yap. https://keyhelp.lab.24unix.net
Aber IPv6-only.

Interessant, über meinen normalen Internetanschluss kann ich darauf nicht zugreifen. Übers Handy und Mobilfunknetz gehts.

Mit IPv4 müsste man mehr rumhampel, aber sowas muss man sich 2023 eigentlich auch nicht mehr antun.

Wie meinst du das?

Für die interne Auflösung kannst du doch einfach die hosts Datei nutzen. Alt aber effizient.

Naja, das wollte ich eben vermeiden. Ich hätte gerne die Verwaltung komplett in der Hand der Keyhelp-Administration. Bzw.: Vielleicht verstehe ich das auch falsch: du meinst die Hosts datei in Windows bei mir lokal am PC? - Wie bekomme ich dann aber das Problem mit Lets Encrypt gelöst?

[24unix]

Mit IPv4 müsste man mehr rumhampel, aber sowas muss man sich 2023 eigentlich auch nicht mehr antun.

Wie meinst du das?

Na, warum soll man sich das heute noch antun?

IPv6 funktioniert, hast Du ja via Handy gesehen.

Wenn Dein provider Dir am DSL/Kabel/LWL kein IPv6 zur Verfügung stellt kannst Du Dir ein Präfix über HE - Tunnelbroker holen.

Für LE muss natürlich der Domainname von aussen auflösbar sein. Also muss Deine externe IPv4 und die IP6 vom KHH Server im DNS Deines Registrars eintragen.

[Florian]

Ich hätte gerne die Verwaltung komplett in der Hand der Keyhelp-Administration

Das wird sicher sowieso nicht gehen, da für die Domain der DNS Deines Domainproviders zuständig ist und nicht Dein Keyhelp-Server mit internen IPs. Die Einstellungen im Keyhelp greifen daher nicht

[24unix]

Ich hätte gerne die Verwaltung komplett in der Hand der Keyhelp-Administration

Das wird sicher sowieso nicht gehen, da für die Domain der DNS Deines Domainproviders zuständig ist und nicht Dein Keyhelp-Server mit internen IPs. Die Einstellungen im Keyhelp greifen daher nicht

Prinzipiell schon.
Für IPv6 gar kein Problem, für IPv4 tricky.

Ich würds aber sein lassen, habe ich bei mir auch nicht gemacht, die DNS-Zone liegt auf einem KH im DC und ein lokaler bind (nicht auf der KH-Instanz) kümmert sich ums LAN.

[nordx]

Für LE muss natürlich der Domainname von aussen auflösbar sein. Also muss Deine externe IPv4 und die IP6 vom KHH Server im DNS Deines Registrars eintragen.

ja und genau hier hab ich ein Verständnis Problem. Was genau muss ich nun noch machen? Der Nameserver (im internet) bei meinem Domainregistrar zeigt ja bereits auf meine externe IP. Auf meinem Router ankommend sind ja alle ports weitergeleitet an meinen internen Server (ports sind alle erreichbar).
Warum klappt das dann noch nicht? Die Namensauflösung intern scheint ja nun zu gehen, ich erhalte aber noch obigen Fehler (siehe Beitrag #2).

bzgl.: ipv6, schreib ich dir eben noch eine PN, das wäre jetzt ein extra thema das hier nicht so wirklich rein passt.

EDIT: hui die Überschneidungen der Beiträge ^^... hier noch ein Screenshot von meinen Einstellung bei hetzner (dort ist die Domain gehosted):

das rote links ist die FQDN, die roten Stellen rechts meine externe IP-Adresse.

[24unix]

Warum klappt das dann noch nicht?

Am einfachsten wäre es, wenn Du sagst um welchen Host es geht.

Du willst im Internet erreichbar sein. Dann kann man auch problemlos von außen testen,

[Tobi]

Du kannst auch auf
https://mxtoolbox.com/DnsLookup.aspx
einfach deinen Domainnamen eingeben und gucken ob deine IP angezeigt wird.

Dann brauchst du deine Domain nicht öffentlich zu nennen.

[nordx]

Du kannst auch auf
https://mxtoolbox.com/DnsLookup.aspx
einfach deinen Domainnamen eingeben und gucken ob deine IP angezeigt wird.

Dann brauchst du deine Domain nicht öffentlich zu nennen.

Danke! Da ist der Übeltäter... hier wird mir noch der alte Server (auf dem ebenfalls Keyhelp installiert ist) als IP angezeigt..

nslookup.PNG (6.97 KiB) Viewed 578 times

Das sollte aber seit gestern schon beim Nameserver von Hetzner anders sein, ich verstehe garnicht wie da noch die alte IP-Adresse angezeigt wird?? Dauert eine Umstellung so lange?

EDIT: Fehler gefunden.... oh man. Ich hatte die ganze Zeit nur auf die DNS-Zone geschaut und dort waren die Hetzner Nameserver eingetragen. Anscheinend hatte ich genau für diese Domain mal ein paar Nameservertest gemacht (die Domain war nicht wirklich in Verwendung) und habe speziell bei der Domain-Konfiguartionsübersicht bei Hetzner bei Nameserver den alten Keyhelpserver als Nameserver eingetragen.

Denke das Problem sollte bald behoben sein. ups!

[Tobi]

Tjaja was würden wir nur ohne mxtoolbox.com machen?

[nordx]

Vorhin wollte das ganze immer noch nicht richtig. LE wurden erfolgreich bezogen, aber der Aufruf der Domain von extern war nicht möglich. Jetzt, 2h später, gehts nun doch.. also hats da einfach noch mit der Umstellung der Nameserver gedauert.

Somit Problem gelöst! Ursache war nur, wie vorhin beschrieben, ein veralteter Eintrag beim Registrar (nic.at), bei dem noch ein ungültiger Nameserver eingetragen war. Und dann haben die ganzen Versuche das Problem zu lösen nur mehr Knoten erzeugt .

Ja, was würden wir nur ohne mxtoolbox machen