[Eisfair] Interne Nutzung von letencrypt Zertifikat

[Hendrik Orep]

Hallo Marcus,

Am 13.11.18 um 19:15 schrieb Marcus Roeckrath:
> Hallo,
> 
> um ein letsencrypt-Zertifikat auch im internen Netz nutzen zu können, muss
> ja der interne Webserver per externen Adresse aufgerufen werden.
Nicht zwangsläufig. Das ist nur der Fall, wenn man zur Validierung das
http-01-Verfahren nutzt. Für meine internen Zertifikate nutze ich die
dns-01-Validierung, d.h. im DNS werden TXT-Records gesetzt. Ein
Webserver oder Portfreigaben in der Firewall werden dann gar nicht benötigt.

> 
> Damit der Datenverkehr aber internen Netz verbleibt, müsste man spätestens
> auf dem Router den Datenverkehr umbiegen oder in allen Clients die
> hosts-Datei editieren.

Kommt drauf an. Wenn man IPv6 nutzt, kann man im DNS einfach die GUA
(Global Unicast Address) des Servers eintragen. Da Client und Server im
selben Netz sind bzw. der Defaultrouter einen Weg in das entsprechende
Netz kennt, verbleibt der Datenverkehr intern. Verbindungen von extern
(wenn nicht gewünscht) enden ja schon an der Firewall (in deinem Fall
der Fritzbox).
Das wäre wahrscheinlich der eleganteste Weg. Auch noch einigermaßen
elegant wären Lösungen wie Split-Horizon-DNS, d.h. der autoritative
DNS-Server antwortet für Anfragen aus deinem internen Netz anders,
nämlich mit den Unique Local Adressen (v6)/privaten Adressen (v4); oder
der DNS-Resolver in deinem internen Netz fängt Anfragen auf die Domains
für deine internen Server ab und leitet sie an einen internen
autoritativen DNS-Server weiter bzw. beantwortet sie selbst schon
entsprechend.

Selber habe ich (noch) keine elegante Lösung umgesetzt, sondern habe
einfach meine ULA-Adressen ins globale/öffentliche DNS eingetragen.
Nicht unbedingt schön, sollte aber auch keinen großen Schaden anrichten
und funktioniert. (Mit privaten (RFC 1918) v4-Adressen wäre ich da schon
vorsichtiger, denn die sind nicht eindeutig. Das ist also eher nicht
gewünscht, das ein DNS-Server im Internet mit diesen Adressen antwortet.)

> […]
> Wenn ein fli4l dort Dienst täte, wäre das wohl problemlos möglich.
> 
> Sehe ich es richtig, das man das einer Fritzbox nicht beibiegen kann.
> 
> Ich kann in der Weboberfläche keine derartige Konfigurationsmöglichkeit
> entdecken oder habe ich etwas übersehen.
> 

Nein, in der Fritzbox gibt es eine solche Möglichkeit meines Wissens
nicht. Wenn du "echte" Domains verwendest, die auf IP-Adressen im
eigenen Netz verweisen, und deine Clients den DNS-Resolver/Forwarder der
Fritzbox verwenden, musst du allerdings daran denken, diese in den
Netzwerkeinstellungen der Fritzbox von dem "DNS-Rebind-Schutz"
auszunehmen. Sonst filtert die Fritzbox die DNS-Antworten einfach weg.

Das nur so als mein Senf zu dem Thema. Wenn ich noch etwas davon genauer
ausführen soll, gerne fragen.

Gruß
Hendrik