Let's Encrypt Zertifikat im Lan nutzen *gelöst*

[weshalb]

Hallo, ich würde gerne, um die nervigen Ausnahmeregelungen im Browser bei selbst signierten Zertifikaten zu umgehen, das erstelle Let's Encrypt Zertifikat ohne Internetanbindung im Lan nutzen und ohne die einzelnen Hostdateien zu bearbeiten. Meine URL geht über einen DynDns Dienst.


Ich habe jetzt folgendes versucht:

Ein Lesezeichen mit der IP des Webservers (darauf läuft mein Wiki) und auf dem Webserver eine .htaccess mit einem Rewrite von IP auf die URL.

Das klappt hervorragend...wenn eine Internetverbindung besteht. Das heißt für mich aber auch, dass der nach dem Rewrite auf die URL vom internen Netzwerk nach außen über das WWW geht, um sich dann über den offenen Port 443 zu verbinden. So wie bisher.

Das wollte ich eigentlich vermeiden, weil ich so immer von der oft sehr schwachen Internetleitung abhängig bin. Lade ich Dokumente aus dem Wiki, bremst der niedrige Internetupload, obwohl ich im gleichen Netzwerk bin.

Gibt es evtl. eine Möglichkeit, das intern anders abzuhandeln?

Ich Danke für Antworten.

[bluestar]

Das wollte ich eigentlich vermeiden, weil ich so immer von der oft sehr schwachen Internetleitung abhängig bin. Lade ich Dokumente aus dem Wiki, bremst der niedrige Internetupload, obwohl ich im gleichen Netzwerk bin.

Kannst du mal erklären, welchen Router du verwendest, der Zugriff von intern auf die externe IP deines Routers sollte nämlich nicht von deiner Internet-Geschwindigkeit abhängig sein.

Gibt es evtl. eine Möglichkeit, das intern anders abzuhandeln?

Ich benutze für "interne" Dienste auch Letsencrypt Zertifikate und verwende die DNS-01 Challenge statt der HTTP-01 Challenge. In meiner DNS-Zone stehen dazu folgende Einträge drinnen:

Code: Alles auswählen

wiki.example.de A 192.168.1.4
_acme-challenge.wiki.example.de TXT "xxxxxxxxxx"

Den ersten Eintrag habe ich beim Provider von Hand angelegt und den zweiten Eintrag lasse ich über acme.sh via DNSAPI (https://github.com/acmesh-official/acme.sh/wiki/dnsapi) automatisch beim Verlängern der Zertifikate anlegen.

Du kannst die DNS-Thematik auch noch einen Schritt erweitern, indem du in der öffentlichen Zone deine öffentliche IP (1.2.3.4) hinterlegst:

Code: Alles auswählen

wiki.example.de A 1.2.3.4
_acme-challenge.wiki.example.de TXT "xxxxxxxxxx"

Und intern einen eigenen DNS-Server betreibst der intern wiki.example.de auf 192.168.1.4 auflöst, dann musst du allerdings bei acme.sh darauf achten, dass die DNS-01 Challenge nicht in den internen DNS-Server geschrieben wird, sondern in den externen.

[weshalb]

Hallo bluestar,

danke schon mal für deine schnelle Antwort.

Kannst du mal erklären, welchen Router du verwendest, der Zugriff von intern auf die externe IP deines Routers sollte nämlich nicht von deiner Internet-Geschwindigkeit abhängig sein.

Als Router kommt ein SpeedportProHybrid zum Einsatz. Schreckliches Gerät, doch bei der niedrigen Verbindungsgeschwindigkeit nimmt man, was geht. Meinst du somit, dass auch wenn er die Verbindung nach intern erstmal über den Weg "von draußen" herstellt, die direkte interne LanGeschwindigkeit anliegt?

Ich benutze für "interne" Dienste auch Letsencrypt Zertifikate und verwende die DNS-01 Challenge statt der HTTP-01 Challenge. In meiner DNS-Zone stehen dazu folgende Einträge drinnen...

Das ist erst mal viel Stoff und so richtig werde ich daraus nicht schlau. Muss ich tatsächlich etwas extern bei meinem Provider anlegen, wenn ich nur intern auf einem Gerät die url auflösen möchte?


Vielleicht nochmal zum Abgleich, auch wenn ich damit sichtbar mache, dass ich die DNS Geschichte evtl. noch nicht verstanden habe:

/etc/hostname

Code: Alles auswählen

example.p12.de 

/etc/hosts

Code: Alles auswählen

192.168.2.35    example.p12.de 

/pfadzumeinemWiki/.htaccess

Code: Alles auswählen

 RewriteEngine on
 RewriteCond %{HTTP_HOST} ^192\.168.2.35$
 RewriteRule (.*) example.p12.de/wiki/$1 [L,R=301,NE]

Melde ich mich nun mit meinem Client mit 192.168.2.35/wiki am Server an, erfolgt die Umschreibung auf example.p12.de/wiki/, der Browser meckert nicht und die Verbindung kommt aber über außen.

Ändere ich nun an meinem Client die hosts in Richtung:

Code: Alles auswählen

192.168.2.35     example.p12.de

Komme ich bei Eingabe von "192.168.2.35/wiki" auf meinen WebServer mit meiner internen IP auf exakt "example.p12.de/wiki" an und werde nicht über "draußen" eingeleitet. Dafür benötige ich dann logischerweise auch keine htaccess auf dem Server.

Da frage ich mich deshalb nach wie vor, warum der Server die URL, welche übrigens auch noch seine eigene ist, nicht intern auflösen kann und über das www geht?

Ist es tatsächlich das, was man über die DNS-01 Challenge bereinigt?

[bluestar]

Als Router kommt ein SpeedportProHybrid zum Einsatz. Schreckliches Gerät, doch bei der niedrigen Verbindungsgeschwindigkeit nimmt man, was geht.

Okay damit hatte ich bisher noch nichts am Hut.

Meinst du somit, dass auch wenn er die Verbindung nach intern erstmal über den Weg "von draußen" herstellt, die direkte interne LanGeschwindigkeit anliegt?

Ja, ganz simpel betrachtet hast du Gigabit vom Rechner zum Router und deine externe IP, liegt normalerweise bei DSL/VDSL auf dem Router am WAN Port direkt an, also kann die Anfrage direkt, ohne den Router providerseitig über die langsame Leitung zu gehen, beantwort werden.

Muss ich tatsächlich etwas extern bei meinem Provider anlegen, wenn ich nur intern auf einem Gerät die url auflösen möchte?

Wenn du es so machst wie ich, dann schon.

Vielleicht nochmal zum Abgleich, auch wenn ich damit sichtbar mache, dass ich die DNS Geschichte evtl. noch nicht verstanden habe:

gekürzt

Melde ich mich nun mit meinem Client mit 192.168.2.35/wiki am Server an, erfolgt die Umschreibung auf example.p12.de/wiki/, der Browser meckert nicht und die Verbindung kommt aber über außen.

Hier liegt ein Denkfehler vor, die Verbindung kommt nicht von außen, sondern nach wie vor von innen.

Ich hege hier eine blöde Vermutung und zwar könnte dein Geschwindigkeitsproblem mit der Hybrid-Geschichte zusammenhängen.

Da frage ich mich deshalb nach wie vor, warum der Server die URL, welche übrigens auch noch seine eigene ist, nicht intern auflösen kann und über das www geht?

Dein Server sendet den Redirect an deinen Browser, da kommt keine DNS-Auflösung auf dem Server zu tragen.

Danach erfolgt browserseitig der Aufruf deiner Domain über die IP, die der Browser via DNS Abfrage bzw. Hosts Datei ermittelt.

Zu deinen Problem gibt‘s eigentlich nur die Lösung mit der Hosts Datei auf allen Clients oder der Installation eines internen DNS-Servers, der bei der DNS-Abfrage deiner Domain die interne IP zurückgibt.

[weshalb]

Hallo bluestar,

danke für deine Ausführungen. Dass der Server mir die umgewandelte URL nur auf den Browser schmeißt und nicht, wie ich dachte, intern weiterleitet, habe ich inzwischen auch schon mitbekommen.

Auch die Annahme, dass das laut log's "einsteigen von aussen" Geschwindigkeitseinbußen bringt, war falsch.

Intern wird da in dem Fall, was ich auch woanders lesen konnte, ein hopping betrieben und ich habe mal mit der Stoppuhr einen Upload gemessen. Die Zeiten sind bei IP Verbindung versus Eintritt über die außen anliegende IP gleich.

Erst wenn ich tatsächlich eine "richtige Verbindung" von außen aufbaue, hängt der Upload.

Insofern, wieder etwas dazugelernt und danke für deine Hilfe.

[bluestar]

Auch die Annahme, dass das laut log's "einsteigen von aussen" Geschwindigkeitseinbußen bringt, war falsch.

Danke für den Hinweis, somit kann ich ein Hybrid Setup dann doch - ohne persönliche Erfahrungen - erst mal als brauchbar und nicht als Krampf ansehen. Das hilft ungemein, wenn Bekannte letztlich fragen ob solch ein Anschluss geeignet oder ungeeignet ist.

[weshalb]

Auch die Annahme, dass das laut log's "einsteigen von aussen" Geschwindigkeitseinbußen bringt, war falsch.

DollaTek Rasberry Pi 3 B +
Danke für den Hinweis, somit kann ich ein Hybrid Setup dann doch - ohne persönliche Erfahrungen - erst mal als brauchbar und nicht als Krampf ansehen. Das hilft ungemein, wenn Bekannte letztlich fragen ob solch ein Anschluss geeignet oder ungeeignet ist.

Ich rede jetzt mal nur von meinen Erfahrungen: Ausgangsbasis 4000Mbit ohne Hybrid, mit dann bis zu 22000Mbit. Eher allerdings 7-8000er.
Geschwindigkeitstechnisch hat es schon Vorteile, allerdings kann diese so stark einbrechen, dass sie geringer ist, als das Standard DSL, welches eh schon anliegt. Dann geht nichts mehr, außer den Router neu zu starten, was in einer Woche mehrfach passieren kann.

Das Portforwarding ist ein Witz. Die Geräte werden über die MacAdressen eingebunden, leider passiert es oft, dass der die Geräte gar nicht auflistet.

Das nächste Problem wäre das Forwarding an für sich. Löscht du einen Port für ein Gerät raus und möchtest den später wieder hinzufügen, merkt man, dass die MAC Adresse nicht mehr aufgeführt ist. Dann muss man für das Gerät in den Portforwardings löschen, den Router neu starten und das Gerät mit allen Ports wieder neu anlegen.

Bei einem Kunden hatte ich das Problem, dass bestimmte Serverdienste von außen nicht erreichbar waren, für diese Geräte musste ich Hybrid explizit ausschalten.

Ein weiteres Problem habe ich mit dem WLAN. Mal sehe ich 5Ghz und 2Ghz, meistens ist nur 2Ghz verfügbar (Router steht mit einer Tür dazwischen 6 Meter weg). Auch die Anbindung ist nicht sehr gut. Vorher hatte ich den alten Hybrid, da konnte ich bis in die Garage kaskadieren. Mit dem neuen kann ich das zwar auch, doch die Verbindung ist so lüt, dass sie nur manchmal erkannt wird.

Ich überlege deshalb bereits die ganze Zeit, ob ich einfach eine Fritzbox dahinter schalte.