Let's Encrypt auch bei DynDNS?

  • Hallo zusammen hat jemand von euch schon Erfahrungen mit let's encrypt gesammelt denn man kann sich mittlerweile für die bewerben.
    Ich wollte mir nämlich gerne ein paar Zertifikate für meine dynamische DNS Domain holen um damit zu Hause. Owncloud zu betreiben.
    Laut Infos die ich gesammelt habe ist es auch möglich sich Zertifikate auf dynamische DNS Domains ausstellen zu lassen.
    Nachweis:

    http://www.heise.de/forum/c-t/Komm…-23917601/show/
    die Bestätigung dass ich für die Beta angenommen wurde habe ich natürlich halten der Port 80 der für die Kommunikation des Clients benötigt wird ist natürlich durch geroutet an den Zielrechner.
    dynamische DNS Adresse wird vom router aktuell gehalten Anbieter ist NOIP.com bei dem router handelt es sich um einen Speed Port W724v Typ A neueste Firmware Version ist natürlich installiert.

    DNS wird auch korrekt aufgelöst Port 80 ist auch von außen erreichbar aber keine der dokumentierten Anforderung mit Hoden funktioniert bei mir ich bekomme immer die Fehlermeldung dass ich überprüfen soll ob die Firewall den Port blockiert. Oder ob meine IP öffentlich routbare wäre.

    Da meine Englischkenntnisse aber sehr rudimentär sind dachte ich mir vielleicht hat ja einer von euch schon Erfahrungen damit gesammelt und könnte mir vielleicht sagen wie es am einfachsten geht.

    denn der in Heise Forum beschriebene Weg funktioniert irgendwie gar nicht.
    Falls Interesse besteht und sich jemand für die Beta registrieren möchte hier noch mal der Registrierungslink für die Beta.

    Link: https://docs.google.com/forms/d/15Ucm4…7AwYgglV7CKHmM/
    ich hoffe jemand hat einen Tipp viele Liebe Grüße Waylin

  • FAQ --> Nützliche Links / Linksammlung --> Wichtiger Hinweis bzgl. Portweiterleitung mit DS-Lite/Mobilfunk/LTE/UMTS/GSM

    Bedeutet: Nur weil du eine DynDNS hast und Port 80 weiterleitest, kann das nicht deshalb auch von ausserhalb angesprochen werden. 90% aller Internetzugänge sind heutzutage DS-Lite.


    Allerdings sehe ich kein Grund darin nur wegen eines SSL Zertifikates einen extra Dienst wie Let's Encrypt nutzen zu müssen. Das Script vereinfacht vielleicht den Umgang, man kann das aber auch alles von Hand bewerkstelligen.
    Ich würd auch niemalsnie freiwillig jemand anderem Zugriff auf meine Zertifikate geben - das erhöht nur unnötig das Risiko.
    Siehe dazu auch : https://wiki.ubuntuusers.de/Apache/SSL

  • Hallo meigrafd ja das ich mir auch selber SSL Zertifikate erstellen kann dessen bin ich mir schon bewusst ich wollte gerne Zertifikate von Let's Encrypt weil diese ja in den neuen Browserversionen mittlerweile als vertrauenswürdige CA hinterlegt sind zumindest meinem Wissen nach falls dies nicht stimmt nehme ich das gerne zur Kenntnis könntest du vielleicht noch mal erklären was es genau mit dem von dir erwähnten DS-Lite auf sich hat und ob du weißt wie man raus bekommt ob das beim eigenen Anschluss auch so ist
    vielen Dank für deine Antwort und viele Liebe Grüße.

    waylin

  • Kurzer Hinweis, weil das so oft falsch gesagt wird.


    90% aller Internetzugänge sind heutzutage DS-Lite.

    Diese Aussage ist falsch.

    DS-Lite ist eine Tunneling-Technik, bei der IPv4 in IPv6 getunnelt wird. DS-Lite verwenden in Deutschland nur die TV-Kabelprovider. Die betreiben auf Kundenseite nur noch ein IPv6-Netz und müssen deshalb den IPv4-Datenverkehr tunneln. Die Tunneltechnik ist dazu im Endkunden-Router implementiert. Der Effekt, der dabei parallel auftritt ist der, dass IPv4-Adressen aus dem privaten IPv4-Adressbereich verwendet werden.

    DSL- und Mobilfunkprovider arbeiten nicht mit DS-Lite, sondern mit Dual-Stack. Also parallelem IPv6/IPv4 ohne Tunneling. Aber, und das ist identisch mit DS-Lite, arbeiten manche Provider mit privaten IPv4-Adressen, weil sie nicht genug öffentliche IPv4-Adressen haben. Typischerweise wird dann per CG-NAT im Provider-Netz gearbeitet.

    In beiden Fällen, DS-Lite und Dual Stack mit privater IPv4-Adresse, hat der Endkunde keine Möglichkeit per IPv4 aus dem Internet auf sein eigenes Netz zuzugreifen. Private IPv4-Adressen werden nur im privaten Netz geroutet und nicht im Internet.
    Aus Sicherheitsgründen verhindern einige Provider, dass Verbindungen innerhalb des privaten Adressbereichs möglich sind.

    Die einzige Lösung ist die, die Verbindung über IPv6 herzustellen. Aber leider ist das nicht immer durchgängig implementiert: DynDNS, Provider-Netz, Netzzugangsrouter, Raspberry Pi, etc.

  • Auch Telekom, also ein überwiegend *DSL Anbieter, verwendet DS-Lite und mittlerweile auch einige andere wie zB der Vodafone Konzern usw.

    Aber nichts für ungut. Scheint son Diskussionsgrund wie Standard Port und Standardisierter Port zu sein...


    Gib einen Port im Router frei, leite den auf den Pi und zB Port 22 weiter, und dann machst du einen Portscan mithilfe von zB http://www.whatsmyip.org/port-scanner/ oder http://www.dnstools.ch/port-scanner.html


  • Auch Telekom, also ein überwiegend *DSL Anbieter, verwendet DS-Lite und mittlerweile auch einige andere wie zB der Vodafone Konzern usw.

    [url=http://www.computerwoche.de/a/ratgeber-ipv6-in-deutschland,3217923]Siehe bei "Deutsche Telekom"[/url]

    Zitat: "Eine Dual-Stack Lite-Version gibt es laut Telekom nicht."

    [url=http://www.computerwoche.de/a/ratgeber-ipv6-in-deutschland,3217923][/url]Vodafone ist praktisch Kabel Deutschland. Und die machen oft DS-Lite, aber nicht immer.


  • Zitat: "Eine Dual-Stack Lite-Version gibt es laut Telekom nicht."

    BTW: Dafür gibt es aber eine DS-lite-Version beim DSL-Provider m-net (siehe in deinem Link, bei m-net):

    Zitat


    Dabei wird Neu- und Bestandskunden ein Dual-Stack IPv4/IPv6 angeboten, wobei Kunden im Privatumfeld eine DS Lite-Version zur Verfügung gestellt bekommen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Vodafone hat auch schon vor der Übernahme von KabelDeutschland, DSL usw angeboten - und auch da ua. DS-Lite verwendet.
    Wenn du aber schon den einen Satz von mir als Anlass nimmst irgend was klar zu stellen - kann man deinen Satz "DS-Lite verwenden in Deutschland nur die TV-Kabelprovider" auch ankreiden, der so nämlich auch falsch ist. Nicht nur Kabelprovider verwenden DS-Lite. Auch telekom nutzt ua. DS-Lite, nicht überall aber das schließt die vorherige Aussage deshalb nicht aus.
    Faktisch ist es einfach so das keine neuen IPv4 Adressbereiche mehr zur Verfügung stehen und die Internetprovider sich deshalb dazu entschieden haben auf DS-Lite umzurüsten, und sich DS extra bezahlen lassen.

    Nichts desto trotz ist diese Diskussion hier in diesem Thread Offtopic und bringt dem ThemenErsteller nichts.

    Um nun endlich Schluss mit dem "fremdgehen" in diesem Thread einher zu halten, empfehle ich dem TE sich folgendes durchzulesen: http://www.pc-magazin.de/ratgeber/ds-li…er-2746458.html
    (aber auch unter Vorbehalt da dieser Artikel schon älter ist - vermittelt trotzdem die Problematik recht gut)

  • OT:
    Die Telekom hat genügend IPv4-Adressen in ihrem Pool, um allen ihren Kunden einen vollständigen Dual-Stack-Betrieb zu ermöglichen (wenn es denn dort schon IPv6 gibt).
    Nicht alle Telekom-DSL-Verträge haben im Moment schon zusätzlich IPv6, da die Telekom aber auf VoIP umstellt, werden diese Anschlüsse auch mit IPv6 versorgt.

    Beim Mobilfunk bietet die Telekom, also T-Mobile, immer mehr IPv6 an, hier wird dann IPv4 oft per CGN bereitgestellt, das ist aber kein DS-Lite.

    Zurück zum Topic:
    Um zu sehen, ob der Anschluss per CGN bedienst wird, wäre ein Vergleich der IP, die mittels NOIP geliefert wird wird und die WAN-IP des Routers wichtig.

    Sind beide gleich, arbeitet der Anschluss nicht per CGN, dann liegt es nur noch an der Portfreigabe.
    Offizielles CGN verwendet im ISP-Netz (also auf der WAN-Seite des Routers) IP-Adressen aus dem bereich 100.64.0.0/10
    Inoffizielles CGN IP-Adressen aus dem Bereich 10.0.0.0/8 (hier hauptsächlich von den Mobilfunk-Providern)
    https://de.wikipedia.org/wiki/Carrier-grade_NAT

    Computer ..... grrrrrr

  • @waylin

    Ich benutze Let´s Encrypt jetzt seit beginn der Beta, allerdings nicht mit DynDNS.
    Den Client hast du aber per github gezogen, und dann so gestartet wie es in der eMail steht, oder?

    Code
    git clone https://github.com/letsencrypt/letsencrypt
    cd letsencrypt
    ./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory auth

    Auf meinen Systemen musst ich den apache vorher abschalten, da das Script einen eigenen Server auf Port 80 startet. Die Zertifikate habe ich dann ganz normal in die config eingebunden.

    Ich denke das sich das in den nächsten Tagen noch ändert und einfacher wird, da ab morgen (03.12.) die öffentliche Beta startet.

    Gruß
    Harpi

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!