Let's Encrypt Zertifikat im Lan nutzen *gelöst*
Let's Encrypt Zertifikat im Lan nutzen *gelöst*
Hallo, ich würde gerne, um die nervigen Ausnahmeregelungen im Browser bei selbst signierten Zertifikaten zu umgehen, das erstelle Let's Encrypt Zertifikat ohne Internetanbindung im Lan nutzen und ohne die einzelnen Hostdateien zu bearbeiten. Meine URL geht über einen DynDns Dienst.
Ich habe jetzt folgendes versucht:
Ein Lesezeichen mit der IP des Webservers (darauf läuft mein Wiki) und auf dem Webserver eine .htaccess mit einem Rewrite von IP auf die URL.
Das klappt hervorragend...wenn eine Internetverbindung besteht. Das heißt für mich aber auch, dass der nach dem Rewrite auf die URL vom internen Netzwerk nach außen über das WWW geht, um sich dann über den offenen Port 443 zu verbinden. So wie bisher.
Das wollte ich eigentlich vermeiden, weil ich so immer von der oft sehr schwachen Internetleitung abhängig bin. Lade ich Dokumente aus dem Wiki, bremst der niedrige Internetupload, obwohl ich im gleichen Netzwerk bin.
Gibt es evtl. eine Möglichkeit, das intern anders abzuhandeln?
Ich Danke für Antworten.
Ich habe jetzt folgendes versucht:
Ein Lesezeichen mit der IP des Webservers (darauf läuft mein Wiki) und auf dem Webserver eine .htaccess mit einem Rewrite von IP auf die URL.
Das klappt hervorragend...wenn eine Internetverbindung besteht. Das heißt für mich aber auch, dass der nach dem Rewrite auf die URL vom internen Netzwerk nach außen über das WWW geht, um sich dann über den offenen Port 443 zu verbinden. So wie bisher.
Das wollte ich eigentlich vermeiden, weil ich so immer von der oft sehr schwachen Internetleitung abhängig bin. Lade ich Dokumente aus dem Wiki, bremst der niedrige Internetupload, obwohl ich im gleichen Netzwerk bin.
Gibt es evtl. eine Möglichkeit, das intern anders abzuhandeln?
Ich Danke für Antworten.
Zuletzt geändert von weshalb am 28.02.2022 08:00:05, insgesamt 1-mal geändert.
Re: Let's Encrypt Zertifikat im Lan nutzen
Kannst du mal erklären, welchen Router du verwendest, der Zugriff von intern auf die externe IP deines Routers sollte nämlich nicht von deiner Internet-Geschwindigkeit abhängig sein.weshalb hat geschrieben:27.02.2022 15:02:06Das wollte ich eigentlich vermeiden, weil ich so immer von der oft sehr schwachen Internetleitung abhängig bin. Lade ich Dokumente aus dem Wiki, bremst der niedrige Internetupload, obwohl ich im gleichen Netzwerk bin.
Ich benutze für "interne" Dienste auch Letsencrypt Zertifikate und verwende die DNS-01 Challenge statt der HTTP-01 Challenge. In meiner DNS-Zone stehen dazu folgende Einträge drinnen:weshalb hat geschrieben:27.02.2022 15:02:06Gibt es evtl. eine Möglichkeit, das intern anders abzuhandeln?
Code: Alles auswählen
wiki.example.de A 192.168.1.4
_acme-challenge.wiki.example.de TXT "xxxxxxxxxx"
Du kannst die DNS-Thematik auch noch einen Schritt erweitern, indem du in der öffentlichen Zone deine öffentliche IP (1.2.3.4) hinterlegst:
Code: Alles auswählen
wiki.example.de A 1.2.3.4
_acme-challenge.wiki.example.de TXT "xxxxxxxxxx"
Re: Let's Encrypt Zertifikat im Lan nutzen
Hallo bluestar,
danke schon mal für deine schnelle Antwort.
Vielleicht nochmal zum Abgleich, auch wenn ich damit sichtbar mache, dass ich die DNS Geschichte evtl. noch nicht verstanden habe:
/etc/hostname
/etc/hosts
/pfadzumeinemWiki/.htaccess
Melde ich mich nun mit meinem Client mit 192.168.2.35/wiki am Server an, erfolgt die Umschreibung auf example.p12.de/wiki/, der Browser meckert nicht und die Verbindung kommt aber über außen.
Ändere ich nun an meinem Client die hosts in Richtung:
Komme ich bei Eingabe von "192.168.2.35/wiki" auf meinen WebServer mit meiner internen IP auf exakt "example.p12.de/wiki" an und werde nicht über "draußen" eingeleitet. Dafür benötige ich dann logischerweise auch keine htaccess auf dem Server.
Da frage ich mich deshalb nach wie vor, warum der Server die URL, welche übrigens auch noch seine eigene ist, nicht intern auflösen kann und über das www geht?
Ist es tatsächlich das, was man über die DNS-01 Challenge bereinigt?
danke schon mal für deine schnelle Antwort.
Als Router kommt ein SpeedportProHybrid zum Einsatz. Schreckliches Gerät, doch bei der niedrigen Verbindungsgeschwindigkeit nimmt man, was geht. Meinst du somit, dass auch wenn er die Verbindung nach intern erstmal über den Weg "von draußen" herstellt, die direkte interne LanGeschwindigkeit anliegt?Kannst du mal erklären, welchen Router du verwendest, der Zugriff von intern auf die externe IP deines Routers sollte nämlich nicht von deiner Internet-Geschwindigkeit abhängig sein.
Das ist erst mal viel Stoff und so richtig werde ich daraus nicht schlau. Muss ich tatsächlich etwas extern bei meinem Provider anlegen, wenn ich nur intern auf einem Gerät die url auflösen möchte?Ich benutze für "interne" Dienste auch Letsencrypt Zertifikate und verwende die DNS-01 Challenge statt der HTTP-01 Challenge. In meiner DNS-Zone stehen dazu folgende Einträge drinnen...
Vielleicht nochmal zum Abgleich, auch wenn ich damit sichtbar mache, dass ich die DNS Geschichte evtl. noch nicht verstanden habe:
/etc/hostname
Code: Alles auswählen
example.p12.de
Code: Alles auswählen
192.168.2.35 example.p12.de
/pfadzumeinemWiki/.htaccess
Code: Alles auswählen
RewriteEngine on
RewriteCond %{HTTP_HOST} ^192\.168.2.35$
RewriteRule (.*) example.p12.de/wiki/$1 [L,R=301,NE]
Ändere ich nun an meinem Client die hosts in Richtung:
Code: Alles auswählen
192.168.2.35 example.p12.de
Da frage ich mich deshalb nach wie vor, warum der Server die URL, welche übrigens auch noch seine eigene ist, nicht intern auflösen kann und über das www geht?
Ist es tatsächlich das, was man über die DNS-01 Challenge bereinigt?
Re: Let's Encrypt Zertifikat im Lan nutzen
Okay damit hatte ich bisher noch nichts am Hut.weshalb hat geschrieben:27.02.2022 17:49:59Als Router kommt ein SpeedportProHybrid zum Einsatz. Schreckliches Gerät, doch bei der niedrigen Verbindungsgeschwindigkeit nimmt man, was geht.
Ja, ganz simpel betrachtet hast du Gigabit vom Rechner zum Router und deine externe IP, liegt normalerweise bei DSL/VDSL auf dem Router am WAN Port direkt an, also kann die Anfrage direkt, ohne den Router providerseitig über die langsame Leitung zu gehen, beantwort werden.weshalb hat geschrieben:27.02.2022 17:49:59Meinst du somit, dass auch wenn er die Verbindung nach intern erstmal über den Weg "von draußen" herstellt, die direkte interne LanGeschwindigkeit anliegt?
Wenn du es so machst wie ich, dann schon.weshalb hat geschrieben:27.02.2022 17:49:59Muss ich tatsächlich etwas extern bei meinem Provider anlegen, wenn ich nur intern auf einem Gerät die url auflösen möchte?
gekürztweshalb hat geschrieben:27.02.2022 17:49:59Vielleicht nochmal zum Abgleich, auch wenn ich damit sichtbar mache, dass ich die DNS Geschichte evtl. noch nicht verstanden habe:
Hier liegt ein Denkfehler vor, die Verbindung kommt nicht von außen, sondern nach wie vor von innen.weshalb hat geschrieben:27.02.2022 17:49:59Melde ich mich nun mit meinem Client mit 192.168.2.35/wiki am Server an, erfolgt die Umschreibung auf example.p12.de/wiki/, der Browser meckert nicht und die Verbindung kommt aber über außen.
Ich hege hier eine blöde Vermutung und zwar könnte dein Geschwindigkeitsproblem mit der Hybrid-Geschichte zusammenhängen.
Dein Server sendet den Redirect an deinen Browser, da kommt keine DNS-Auflösung auf dem Server zu tragen.weshalb hat geschrieben:27.02.2022 17:49:59Da frage ich mich deshalb nach wie vor, warum der Server die URL, welche übrigens auch noch seine eigene ist, nicht intern auflösen kann und über das www geht?
Danach erfolgt browserseitig der Aufruf deiner Domain über die IP, die der Browser via DNS Abfrage bzw. Hosts Datei ermittelt.
Zu deinen Problem gibt‘s eigentlich nur die Lösung mit der Hosts Datei auf allen Clients oder der Installation eines internen DNS-Servers, der bei der DNS-Abfrage deiner Domain die interne IP zurückgibt.
Re: Let's Encrypt Zertifikat im Lan nutzen *gelöst*
Hallo bluestar,
danke für deine Ausführungen. Dass der Server mir die umgewandelte URL nur auf den Browser schmeißt und nicht, wie ich dachte, intern weiterleitet, habe ich inzwischen auch schon mitbekommen.
Auch die Annahme, dass das laut log's "einsteigen von aussen" Geschwindigkeitseinbußen bringt, war falsch.
Intern wird da in dem Fall, was ich auch woanders lesen konnte, ein hopping betrieben und ich habe mal mit der Stoppuhr einen Upload gemessen. Die Zeiten sind bei IP Verbindung versus Eintritt über die außen anliegende IP gleich.
Erst wenn ich tatsächlich eine "richtige Verbindung" von außen aufbaue, hängt der Upload.
Insofern, wieder etwas dazugelernt und danke für deine Hilfe.
danke für deine Ausführungen. Dass der Server mir die umgewandelte URL nur auf den Browser schmeißt und nicht, wie ich dachte, intern weiterleitet, habe ich inzwischen auch schon mitbekommen.
Auch die Annahme, dass das laut log's "einsteigen von aussen" Geschwindigkeitseinbußen bringt, war falsch.
Intern wird da in dem Fall, was ich auch woanders lesen konnte, ein hopping betrieben und ich habe mal mit der Stoppuhr einen Upload gemessen. Die Zeiten sind bei IP Verbindung versus Eintritt über die außen anliegende IP gleich.
Erst wenn ich tatsächlich eine "richtige Verbindung" von außen aufbaue, hängt der Upload.
Insofern, wieder etwas dazugelernt und danke für deine Hilfe.
Re: Let's Encrypt Zertifikat im Lan nutzen *gelöst*
Danke für den Hinweis, somit kann ich ein Hybrid Setup dann doch - ohne persönliche Erfahrungen - erst mal als brauchbar und nicht als Krampf ansehen. Das hilft ungemein, wenn Bekannte letztlich fragen ob solch ein Anschluss geeignet oder ungeeignet ist.weshalb hat geschrieben:28.02.2022 07:59:25Auch die Annahme, dass das laut log's "einsteigen von aussen" Geschwindigkeitseinbußen bringt, war falsch.
Re: Let's Encrypt Zertifikat im Lan nutzen *gelöst*
Ich rede jetzt mal nur von meinen Erfahrungen: Ausgangsbasis 4000Mbit ohne Hybrid, mit dann bis zu 22000Mbit. Eher allerdings 7-8000er.bluestar hat geschrieben:28.02.2022 12:26:47DollaTek Rasberry Pi 3 B +weshalb hat geschrieben:28.02.2022 07:59:25Auch die Annahme, dass das laut log's "einsteigen von aussen" Geschwindigkeitseinbußen bringt, war falsch.
Danke für den Hinweis, somit kann ich ein Hybrid Setup dann doch - ohne persönliche Erfahrungen - erst mal als brauchbar und nicht als Krampf ansehen. Das hilft ungemein, wenn Bekannte letztlich fragen ob solch ein Anschluss geeignet oder ungeeignet ist.
Geschwindigkeitstechnisch hat es schon Vorteile, allerdings kann diese so stark einbrechen, dass sie geringer ist, als das Standard DSL, welches eh schon anliegt. Dann geht nichts mehr, außer den Router neu zu starten, was in einer Woche mehrfach passieren kann.
Das Portforwarding ist ein Witz. Die Geräte werden über die MacAdressen eingebunden, leider passiert es oft, dass der die Geräte gar nicht auflistet.
Das nächste Problem wäre das Forwarding an für sich. Löscht du einen Port für ein Gerät raus und möchtest den später wieder hinzufügen, merkt man, dass die MAC Adresse nicht mehr aufgeführt ist. Dann muss man für das Gerät in den Portforwardings löschen, den Router neu starten und das Gerät mit allen Ports wieder neu anlegen.
Bei einem Kunden hatte ich das Problem, dass bestimmte Serverdienste von außen nicht erreichbar waren, für diese Geräte musste ich Hybrid explizit ausschalten.
Ein weiteres Problem habe ich mit dem WLAN. Mal sehe ich 5Ghz und 2Ghz, meistens ist nur 2Ghz verfügbar (Router steht mit einer Tür dazwischen 6 Meter weg). Auch die Anbindung ist nicht sehr gut. Vorher hatte ich den alten Hybrid, da konnte ich bis in die Garage kaskadieren. Mit dem neuen kann ich das zwar auch, doch die Verbindung ist so lüt, dass sie nur manchmal erkannt wird.
Ich überlege deshalb bereits die ganze Zeit, ob ich einfach eine Fritzbox dahinter schalte.