Juist, dat is dus ook wat ik zou willen weten. Het is mij nog niet eens gelukt om NAS.mijndomein.NL aan te maken ;-( - Ik heb wel een NAS in huis, met een poortforwarding in mijn router staan, dus ik kan wel via mijn browser met mijn thuis IP met poort (thuisip:poortnummer) in mijn NAS. Maar dat blijkt niet veilig te zijn, want ik heb geen certificaat aangemaakt. Nu weet ik ook niet of ik dit dan moet doen in de NAS zelf hiervoor? Daarom een domeinnaam aangemaakt bij Freedom en dan wil ik het zo doorsturen en daarop dan een Letâs Encrypt certificaat aanmaken.
Zo moet dat toch lukken? Maar hoe? En ook hier een nitwit hierin
Voor Letâs Encrypt moet je een webserver op je domeinnaam van je huisaansluiting (b.v. home.[mijn_domein_bij_freedom].nl) hebben draaien. Letâs Encrypt verifieert namelijk via die webserver of jij het certificaat mag hebben. Zoân certificaat is ook maar 90 dagen geldig dus je moet ook zeker eens in de 90 dagen het certificaat vernieuwen.
Dat certificaat geldt dan voor je webserver, maar nog niet voor alle ander apparaten die je via home.[mijn_domein_bij_freedom].nl:[poort_nummer] aanroept. Als dat bijvoorbeeld je Fritz!Box is, dan moet die ook zoân certificaat hebben. Daartoe kopieer ik via een script, na het vernieuwen van het certificaat voor de webserver, dat certificaat naar de Fritz!Box. Zie script hieronder. Daartoe in dat script wel de username en password invullen en ook ââYOUR_HOSTNAMEâ.xs4all.space/â even aanpassen voor je domein bij freedom. Voor deze toepassing maak ik een aparte user aan in de Fritz!Box.
Hoe dat voor een NAS te regelen is, hangt van de NAS af.
Oh jee, en jij zegt een leek te zijn?!
Nou, je snapt er anders wel meer van dan ik
Heb hier een Synology NAS staan en ik kan nu via MIJNHUISIP:INTERNIP via mijn browser op mijn NAS komen. Krijg nu wel meldingen dat het niet veilig is, daarom wil ik dit ook aanpassen. Kan ook via Quickconnect, maar dat is super traag!
Daarom heb ik een domeinnaam aangevraagd bij Freedom en zou ik eigenlijk via https://NAS.MIJNDOMEINNAAM.NL naar mijn NAS willen doorschakelen met HTTPS erin. Dus veilig!
Of ik denk er veel te moeilijk over of het is ingewikkelder dan ik had verwacht - Via Freedom Helpdesk nog geen reactie gehad hoe ik een subdomein kan aanmaken voor mijn Freedom domeinnaam. Want dat is me ook nog niet gelukt
Ik heb het dus op home.[mijn_domein_bij_freedom].nl:[poortnummer_NAS] dus niet op IP adressen.
Daartoe heb ik in de DNS instellingen in het dashboard de volgende regel gemaakt voor [mijn_domein_bij_freedom].nl:
home A [IPv4 adres_van_mijn_thuis_verbinding] 5 minutes
Ik weet dat dat ook met
home AAAA [IPv6 adres_van_mijn_thuis_verbinding] 5 minutes
zou moeten kunnen, maar heb geen idee wat ik dan precies bij [IPv6 adres_van_mijn_thuis_verbinding] moet invullen.
Mijn Fritz!Box zegt dat de IPv6 verbinding met internet zit op:
IPv6 Address: aaaa:bbb:cccc::1
IPv6 prefix: aaaa:bbb:cccc::/48
Is dat dan
aaaa:bbb:cccc
aaaa:bbb:cccc::1
aaaa:bbb:cccc::/48
of iets anders?
Weet ook niet goed hoe ik dan moet testen of het werkt. Voor zover ik weet kan ik mijn browser niet vragen om alleen via IPv6 verbinding te maken met home.[mijn_domein_bij_freedom].nl. Weet iemand daar iets voor? (via wget of curl?)
Als ik dan
home AAAA * aaaa:bbb:cccc::1 instel, waar komt dan home.[mijn_domein_bij_freedom].nl met IPv6 op uit als ik dat in mijn browser opvraag? Op de webinterface van mijn router, of op mijn webserver die via poorten 80 en 443 is geforward
OK
maar hoe zorg ik er dan voor dat https://home.[mijn_domein_bij_freedom].nl zowel via IPv4 als via IPv6 op mijn webserver (Raspberry Pi) terecht komt?
Voor IPv4 is dat geregeld door de port forward van poort 80 naar de webserver.
Moet ik dan de webserver een statisch IPv6 adres (aaaa:bbb:cccc::456) geven en dan bij DNS
âhome AAAA aaaa:bbb:cccc::456 5 minutesâ invullen?
Als dat dan werkt, kan je denk ik ook de https://NAS.[mijn_domein_bij_freedom].nl via een AAAA (IPv6) record uit laten komen op je NAS. Maar dat lukt dan niet meer via een A record naar het IP adres van de thuisverbinding? Want die wijst immers via een poort forward al naar de webserver.
Ik denk dat ik dit stap voor stap eens moet gaan doen want op het moment snap ik er niets van. Ik ben al blij dat ik nu met mijn eigen IP adres en poortnummer deze kan gebruiken en dat het me lukt. Maar hier begint het een beetje te turen. Je zou zeggen, begin er dan niet aan
Beetje jammer, lees altijd van mensen dat ze het zo snel en makkelijk kunnen doen. Maar ja, die zijn vast ook wel meer in thuis dan ik.
Ik heb bij Synology onder Netwerkinterface de mogelijkheid om een vast IP adres te geven IPv4 (dat heb ik al wel gedaan, dus dat is gedaan). Zie ook dat ik zelf een IPv6 kan aanmaken, dat moet dan ook wel lukken.
Moet ik dan bij proxy-server iets invoeren en activeren?
Bij DDNS hoef ik dat niet te doen, dat is wat ik nu heb staan. Maar die kan ik volgens mij vergeten. Zie ik alleen nog iets met routeconfiguratie, maar als ik toch zelf een forwarding kan aanmaken in de router dan kan ik het beter zelf doen, lijkt me?!
Ik snap alleen nog niet wat nu wan-ipv4:80 is en waar dat moet, of is dat die proxy-server? Sorry dat ik zoveel vraag hoorâŠ
Ik zie het even niet en moet er maar even voor gaan zitten. Intern benader ik mijn NAS via een eigen IPadres (192.168.X.X) met daar achter een : en een getal. Dat heeft iemand voor mij gedaan omdat dit veiliger zou zijn. Deze heeft ook een portforwarding aangemaakt in mijn router zodat ik met MijnHuisIP:eennummer doorverwezen ben naar het IP adres van mijn NAS met daar achter :(eennummer). IP adres van mijn router begint niet met 45 maar ook gewoon met 192.168.X.X (of zeg ik nu iets heel stoms?).
Ik had eigenlijk gehoopt dat het ook zo makkelijk was met mijn domeinnaam en dan forwards naar MijnHuisIPvanFreedom:eennummer en dat ik dan op mijn NAS zit. Maar het tolt me nu en begrijp dat het niet zo makkelijk gaat.
Merk dat ik in mijn NAS geen routerconfigiratie aan heb staan met poorten 80 en/of 443. Dus ik moet dat nog even uitzoeken. Wel heel erg bedankt en ik hoop dat ik er uit ga komen en dat het me gaat lukken.
Dank dank Kevin voor het geduld dat je met me hebt. Ik denk dat ik het wel steeds meer en meer begin te begrijpen en merk dus dat ik die poorten gewoon op 80 en 443 kan zetten. In het begin stonden ze op 192.168.178.X.X:5300 (als ik me niet vergis) en voor https op :5301
Heb me altijd laten vertellen dat het veiliger is om dan zelf iets aan te maken dan zo te laten. En dan mijn HuisFreedom IP door te zetten naar de NASIP. Ik hoef dat dus niet te doen en gewoon 80 en 443 open te zetten. Ik begrijp je eerste deel over Freedom:443 nu wel een beetje
Ik ga er morgen mee verder, moet zo gaan eten en dan werken dus kan ik er nu niet mee door. Wel jammer, denk het nu beetje te gaan begrijpen en dan moet ik er mee stoppen. Ga er morgen mee aan de slag en kijken of het me lukt. I Hope en dan het doorsturen van mijn (SUB)domein.mijndomein.nl - eens kijken of dat gaat lukken
Kijk wel even welke adressen er al in je netwerk gebruikt worden. Want het eerste stuk na de 2a10:3781:abcd: moet wel hetzelfde zijn als andere systemen in je netwerk.
Want de fritzbox geeft standaard maar 1 /64 door aan het interne netwerk (als ik het goed onthouden heb).
Wat je met een reverse proxy kan bereiken is het volgende:
Op een adres (IPv4 bv.) laat je all hostnames (voor HTTP of ook andere poorten aanmelden).
Ik run thuis tbv. mensen die alleen IPv4 hebben een paar Nextcloud instances achter een adres.
Een voor een vereniging, een voor mân werk, een voor een kennis, een Beta test site en mân prive omgeving.
Voor document editing een CollaBorra / Only Office server. (Allen draaien in LXD containers). Daarnaast een piwigo site, een website voor een broer, en nog wat diverse proefjes.
Elke service heeft zân eigen hostname. (xxxx.example.nl voor domain example.nl).
Iedereen komt als eerste een HAproxy tegen:
Die haproxy zorgt voor een publieke TLS terminatie met certificaat van letsencrypt (indien nodig) bij servers die een intern .local certificaat voeren.
Op basis van de hostname wordt in eerste instantie op basis van SNI veld in TLS een sessie naar een achterliggende server doorgegeven (die heeft dan ook het juiste letsencrypt certificaat). Voor die gevallen waar de backend dat niet kan of als er geen SNI geleverd wordt dan wordt de TLS op de HAProxy getermineerd en wordt op basis van het HTTP: Host header het werk verdeelt naar de juiste service.
Kortom:
HAproxy krijgt al het verkeer en verdeelt het naar specifieke systemen in het netwerk erachter op basis van hostname.
In DNS ieder service heeft zân eigen naam met allemaal hetzelfde adres.
Haproxy (recente versies V2+) is behoorlijk efficient, het kan op een RPi draaien, al zal bij een behoorlijke bandbreedte gebruik de RPi beperkt zijn door zân hardware layout.
Poorten kiezen om services op een andere poort te laten lopen is vrij zinloos. Dat gaat er vanuit dat kwaadwillenden gericht op poort 22 gaan zoeken in de hoop een SSH server aan te treffen. Het moderne scannen is gewoon ALLE 64K poorten scannen en als er een respons komt deze analyseren wat er achter zou kunnen zitten.
Veel protocollen zijn goed herkenbaar aan de hand van een eerste pakket SSH, TLS (bij TLS evt. HTTP, SMTP âŠ)
Een andere misvatting is dat dat poorten vanuit een adres of achter elkaar gescanned worden. Er zijn er een aantal die maar een poll / 20 minuten doen voor een ârandomâ poort. en als je het een beetje volgt dan blijkt dat een organisatie een compleet IPv6 /48 prefix net gebruikt. Een ander heeft een /22 netwerk en wisselt de poorten ook af.
Dus een poort wordt toch ontdekt, dus waarom zou je het voor jezelf moeilijk maken. Het is beter om te investeren in adequate beveiliging.
Voor jouw idee, de meeste zaken op internet werken ook heel goed ZONDER DNS. DNS is een voorziening om mensen te ondersteunen met een âmeerâ herkenbare vorm omdat mensen in symbolen denken en niet in nummer reeksen.
Je zult IP netwerk beheerders snel herkennen omdat die juist het omgekeerde hebben
Hoewel IPv6 ze mogelijk wat stress bezorgt.
Hieronder een scanreport voor een selectie van poorten.
Scan report
For 2021-08-14 you submitted 3556 packets from 1658 sources hitting 1 targets.
Om een en ander aan de praat te krijgen op IPv6 blijkt dat ik e.a. niet handig heb ingesteld.
Ik heb op de Raspberry Pi (hier verder afgekort als âRaspiâ) twee websites draaien:
De hoofd-website (die gebruik ik ook voor het verkrijgen van de Letâs Encrypt certificaten):
Op IPv4 extern poort 80 naar Raspi poort 8085
Op IPv4 extern poort 443 naar Raspi poort 450
Een neven-website:
Op IPv4 intern op poort 80
Op IPv4 extern poort 8085 naar Raspi poort 443
Dat blijkt niet handig voor IPv6 omdat dan:
http: naar IPv6 adres dan zonder meer uitkomt op Raspi poort 80, de neven-website
https: naar IPv6 adres dan zonder meer uitkomt op Raspi poort 443, de neven-website
Op deze manier krijg ik dus IPv6 nooit naar de hoofdwebsite.
Dat ga ik dus veranderen denk ik.
Hoofdwebsite op de Raspi op poort 80 en 443, ook extern.
Neven-website op twee andere poorten b.v. 8085 en 455
Ja, dat kan werken, probeer als reverse proxy bij voorkeur HAProxy, die is een stuk efficienter dan anderen voor proxy verkeer en doet dat meestal ook veel beter.
Nginx kan het ook, maar is wat beperkter in het repertoire. Apache zou ik niet aan beginnen. (Nginx loopt qua performance overigens cirkels om Apache heen).
Let op dat sommige websites de poorten overnemen waarmee connectie gemaakt wordt terwijl de buiten wacht gewoon de naam zonder poort moet gebruiken. Dus ipv een andere poort gebruik alternatieve adressen op de loopback adapter. 127.0.1.1, 127.0.2.1, 127.0.3.1⊠met als poort toch 443, 80 gebonden op IP adres.
Het omzetten van de poorten en het aanmaken van de A en AAAA records werkt.
De hoofdserver nu zowel extern als intern op 80 en 443.
wget op -6 moet ik wel met het https:// voorvoegsel doen. Maar werkt prima. Trouwens pas na paar uurtjes na aanmaken AAAA record en dan nog niet via alle verbindingen. Morgen weer eens proberen.
Hoef je blijkbaar ook niet moeilijk te doen met een vast IPv6 adres voor de Raspi te kiezen, zo te zien bestaat die optie niet eens in de Fritz!Box. Die optie is er alleen voor de IPv4 adressen.
Het IPv6 adres dat hij krijgt is simpel gebaseerd op het MAC adres van de Raspi, dus daarmee vast. Ik kan het dan gewoon bij het AAAA record invullen wat de Fritz!Box aangeeft:
abcd:efg:hijk:1:ABCD:EFGH:IJKL:MNOP
samen is dat dan het IPv6 adres zoals dat genoemd staat als eerste lange adres bij âHome Networkâ, âNetworkâ, [edit potlood], âIPv6 Addressesâ
waarbij:
abcd:efg:hijk:1
IPv6 adres is van de huisaanluiting
ABCD:EFGH:IJKL:MNOP
IPv6 interface ID van de Raspi
Dat is niet helemaal juist, want je huisaansluiting heeft een /48 en de abcd:efg:hijk:1 is een /64.
Blijkbaar gebruikt de fritzbox standaard die 1 voor de IPv6 adressen die hij uitdeelt, maar je hebt dus nog 0xfffe van dat soort netwerken tot je beschikking
Als je goed kijkt, dan komt ABCD:EFGH:IJKL:MNOP niet helemaal overeen. Want het MAC-adres is alleen maar in ABCD:EF [1] en KL:MNOP te herkennen en staat er voor GH:IJ altijd ff:fe.
[1] dit is ook niet helemaal waar, want er wordt nog 1 bit geflipt.
Dat is simpelweg wat de Fritz!Box me vertelt. Misschien dat met /48 bij XS4ALL wat anders is dan bij Freedom. En ik heb dat abcd:efg:hijk:1:ABCD:EFGH:IJKL:MNOP uit de Fritz!Box letterlijk in het AAAA record gekopieerd en dat werkt.
Verder schreef ik over MAC adres: âgebaseerd opâ, dat is wat anders dan âisâ,.
Het is WEL het IPv6 interface ID zoals dat genoemd staat in de Fritz!Box.
De belangrijkste boodschap was dat je het adres IPv6 adres niet kan wijzigen in de Fritz!Box en dat het blijkbaar al niet dymanisch is. Gewoon copy/paste naar het AAAA record.
Het is me wel gelukt om via mijn huis IP direct op mijn NAS te komen. Echter, het lukt me nog niet om een (sub)domein aan te maken en die door te sturen naar mijn NAS. Dit kan ik volgens mij niet aanmaken via het systeem van Freedom (en antwoord op mijn mail heb ik nog altijd niet mogen ontvangen).
Had ook gezien, via een webpagina, wanneer ik mijn domein.nl verwijs naar mijn THUISIP dat mensen dit ook kunnen zien. Maar dat zal altijd wel zo zijn waarschijnlijk. Zou anders niet weten hoe ik die zou moeten verbergen. En dan nog de (sub)domein, die zou ik ook nog wel willen kunnen aanmaken.
Zet bij âWaardeâ het IPv4 adres van je thuisverbinding
Klik op âDomain DNS configuration toevoegenâ rechts boven
Wacht eventueel een paar uur; dan zou het moeten werken. Type in je browser precies hetzelfde als je eerst deed, maar vervang dan alleen het IP adres door NAS.[je_domein].nl