Let's Encrypt mit dyndns.org und CNAME

  • Moin! Mal eine Frage an die DNS-Spezis: Ich habe einen kleinen Kunden, der an einem Telekom-DSL mit Fritz!Box hängt. Standard-Tarif, also keine feste externe IPv4. Der möchte mit seinem David den ActiveSync-Zugriff nutzen und dies via Let's-Encrypt-Zertifikat abwickeln.


    Der Domain-Provider ist 1&1, da gibt es leider keinen dynamischen Host wie bei Strato. Also habe ich eine Subdomain david.{kundendomain} angelegt, dort alle DNS-Einträge entfernt und nur einen CNAME-Eintrag mit Verweis auf den dyndns.org-Hostnamen des Kunden gelegt, der über die Fritz!Box aktuell gehalten wird. Im Prinzip klappt das auch alles.


    Problem: An der Box ist IPv6 aktiv, und dyndns.org übergibt somit für den dynamischen Host einen AAAA-Record. Im Zuge dessen ist Let's Encrypt beleidigt, weil dieser natürlich für den dyndns-Host passt, aber nicht zu der Subdomain, für die das Zertifikat erstellt werden soll. Daher klappt das Anfordern jenes Zertifikats nicht.


    Spontan beholfen habe ich mir damit, IPv6 an der Fritz!Box komplett zu deaktivieren, somit wird offenbar auch kein AAAA-Record mehr übergeben, und das Ausstellen des Zertifikats klappt. Aber sonderlich elegant scheint mir das nicht. Bei dyndns konnte ich keine Möglichkeit entdecken, AAAA bzw. IPv6 zu deaktivieren, in den dyndns-Einstellungen der Fritz!Box ebenfalls nicht.


    Hat jemand von euch eine Idee, wie man das handhaben könnte? Notfalls ginge ja eine Strato-Domain, die man nur für den Mail-Austausch nutzt und dabei die Strato-eigene dyndns-Lösung hernimmt. Fallen euch Alternativen ein?

  • Mit externen DynDNS-Anbietern habe ich aus dem gleichen Grund nicht gearbeitet, sondern mir was eigenes gebaut...


    Ich habe dafür die Notifizierungs-Mails der FritzBox bei neuer IP-Adresse genutzt.

    Dafür habe ich ein eigenes Programm geschrieben, dass alle Mails aus einem bestimmten Verzeichnis ausließt (wo nur die IP-Mails landen), aus dem Betreff die Adressen (v4 und v6) ausließt, die in die entsprechende DNS-Zone einträgt und anschließend in einen anderen Ordner verschiebt.


    Als Authentifizeriung nutze ich die Absender- und Empfänger-Adresse, die zufällig generiert werden. Ist zwar nicht 100&ig sicher, aber für nen einfachen DynDNS, der nur für Let's Encrypt genutzt wird, reicht's.

    Und das funktioniert nur, wenn der DNS auf dem David-Server installiert ist, sonst müsste man da noch was umbauen...

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!