IPv6 vs. Let's Encrypt bei CNAME-Umweg

  • Moin zusammen,


    zugegeben: Recht spezielles Problem, aber vielleicht hat ja jemand eine Idee.


    Gegeben ist ein sehr kleiner Kunde, der an einem privaten Glasfaser-Anschluss eines lokalen Anbieters hängt. Dort bekommt er Internet incl. IPv6-Adresse, was sich durch die Provider-seitig vorkonfigurierte Fritz!Box auch nicht ändern lässt. Immerhin konnten wir den Anschluss von DSLite auf "echte" WAN-IPv4 umstellen lassen, so dass eingehende IPv4-Verbindungen für Davids ActiveSync kein Problem mehr sind.


    Da sich die IPv4 jedoch jede Nacht ändert, haben wir zur Verwendung des Let's-Encrypt-Zertifikats einen kleinen Umweg gebaut: Die Subdomain david.kundenname.xx verweist per CNAME auf einen dyndns-Host, letzterer wird durch die Fritz!Box automatisch aktualisiert. Direkt auf eine dyndns.org-Adresse lässt sich ja leider kein Zertifikat ausstellen (nachvollziehbar).


    Ein wenig wuselig, aber es funktioniert. Zumindest bisher, denn plötzlich (vermutlich Provider-seitige Umstellung) aktualisiert die Fritz!Box bei dyndns nicht nur die IPv4, sondern gibt auch eine IPv6 an. Ein Problem ist das deshalb, weil bei der Anforderung des Zertifikats Let's Encrypt immer zuerst nach dem AAAA-Record schaut - dieser ist im konkreten Fall vorhanden, zeigt aber ins Nirgendwo. Nur wenn kein AAAA-Record anliegt, schnappt sich LE die IPv4 (A-Record) und kann das neue Zertifikat über den durchgeleiteten Port 80 ausstellen.


    Ich müsste nun also entweder der Fritz!Box die Übermittlung der IPv6-Adresse abgewöhnen (geht nicht) oder bei dyndns.org die IPv6 deaktivieren (geht nicht, da kann ich den Eintrag lediglich manuell löschen). Ziemlich mühsam.


    Schon klar, der Köngisweg wäre eine feste IP und ein "echter" DNS-Eintrag für die Subdomain. Aber der Kunde ziert sich, da dies nur in einem Business-Tarif möglich ist und es sich wie gesagt um einen ganz kleinen Laden (2 User) handelt.


    Habt ihr eine andere Idee für dieses Problem? Mir ist bekannt, dass dyndns.org sowieso den Dienst bis 2022 einstellt, von daher wäre mir auch ein anderer Anbieter genehm. Gute Erfahrungen hab' ich mit Strato (da kann man bei einer Subdomain direkt einen dynamischen Eintrag setzen), wo mir bislang auch keine IPv6 übergeben wird - durchaus möglich aber, dass sich das irgendwann ändert, oder? Eine Einstellung, IPv6 explizit nicht zu übertragen, finde ich dort nicht.

  • Hallo nordtech


    Ist ein etwas anderer Ansatz, aber vielleicht hilft's.


    Ich hatte mal einen Host mit zwei unterschiedlichen Dyn-Adressen (spdyn.de). Die Fritzbox konnte aber nur eine aktualisieren, also wurde die andere mit einem Skript aktualisiert. In dem Skript könnte man dann vielleicht nur den IPv4-Parameter nutzen.


    Ein Kollege benutzt nen cloudflare.com-Accound für eine "dynamische feste IP", indem ein Skript einmal pro Tag den A-Record neu setzt. Vielleicht wäre das bei dir auch möglich.


    Leider #1: Ich keinen dyndns-Login mehr um da irgandwas zu prüfen.

    Leider #2: spdyn/spdns die Registrierung für Privatkunden abgeschaltet, um dir den als Alternative zu Empfehlen. Hier hat man aber IPv4 und IPv6 getrennt einstellbar.

    Mein Versuch, die Informationen über David an einem Ort zusammenfassen -> Mein David Wiki

  • Schon klar, der Köngisweg wäre eine feste IP und ein "echter" DNS-Eintrag für die Subdomain. Aber der Kunde ziert sich, da dies nur in einem Business-Tarif möglich ist und es sich wie gesagt um einen ganz kleinen Laden (2 User) hande

    Zufällig Deutsche Glasfaser?

    Ist bei uns auch der Fall, ich habe nen DG BUsiness Tarif, damit habe ich eine IPV4, aber privat zu Hause habe ich natürlich keinen Business Tarif und erhalte nur eine IPV4 bzw diese fest IPv4 die für ein ganzes Netz gilt, also von außen nicht erreichbar.


    Es gibt aber möglichkeiten sich auch im privatenkunden Bereich sich eine "feste" Ip zu besorgen.


    Bspw mit https://www.feste-ip.net/ oder https://www.edv-kossmann.de/festeip/


    Bei Kossmann sind es 10€ / MOnat, vielleicht wäre das der einfachste Weg ?!

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!