[Beantwortet] [V4.0.1] iPhone/Safari: Visu in der Endlosschleife (WD-2533)

[michael8]

@ms20de Ich habe im Ubiquiti Forum (https://www.facebook.com/groups/ubiquit ... 312751643/) weitere Inputs erhalten die evtl. bei der Erweiterung des Zertifikates berücksichtigt werden könnten damit eine breite Kompatibilität mit den Netzwerken in den EFH erreicht wird:
1) Empfehlung .internal zu verwenden > https://ionos.blog/de/inside-the-intern ... e-the-web/
2) .arpa ist eine aktive TLD die anderweitig verwendet wird, z. B. für Reverse DNS
3) .home.arpa ist auch ein möglicher Weg > https://www.rfc-editor.org/rfc/rfc8375.html

[Marino]

Wo ist der Vorteil?

Ich habe in der Dream Machine Pro dem TWS eine fixe IP gegeben und den Haken "Local DNS Record" aktiviert. Dort habe ich dann eingetragen: "timberwolf1080.fritz.box"

Darunter ist mein TWS bei mit intern erreichbar. In PiHole habe ich das gleiche gemacht, so dass bei dessen Nutzung der Name auch aufgelöst wird.
Ich hätte auch timberwolf####.speedport.ip nutzen können, was im Zertifikat auch hinterlegt ist.

Ich sehe nun nicht direkt eine deutlich höhere Kompatibilität und ob da nun timberwolf1080.fritz.box oder timberwolf1080.home.arpa stehen würde, wäre mir egal. Praktischer wäre es höchstens wenn es dann ebenso automatisch aufgelöst wird wie .fritz.box an einer Fritz!Box. Aber das wäre damit nicht der Falk oder?

[michael8]

@Marino Du hat natürlich Recht, es geht auch mit z.B. .fritz.box. Aber ich würde gerne es etwas einheitlich lösen da ich neben dem TWS noch andere Geärte im Netzwerk habe. Verstehe ich dich richtig, dass .local bei dir auch nicht funktioniert? Funktioniert timberwolf1080.fritz.box bei dir auch per VPN? Intern geht es bei mir, per VPN kommt wieder die Warnung des ungültigen Zertifikates.

Ich würde es einfach sehr begrüssen, wenn das TWS Zertifikat mir mehr Freiheit gibt, was für Adressen ich verwende. Was ich bis jetzt in den div. Foren gefunden habe, haben viele UDM Kunden mit .local Mühe und raten davon ab weill es für mDNS reserviert ist und die UDM beim Anlegen noch extra uf möglich Probleme hinweisst: "Die Verwendung einer .local-Domain kann die Multicast-DNS-Funktionalität stören." Es gibt ja anscheinend div. Domains die für den hier besprochenen Nutzen reserivert sind (.localdomain, .domain, .lan, .home, .host, .corp, .internal, .home.arpa). Was spricht dageben, diese in das TWS Zertifikat aufzunehmen im Sinne einer breiteren Kompatibilität zu verbreitetend Domains?

[Marino]

.local funktioniert bei mir auch nicht, was aber nicht verwunderlich ist, wie Du bereits herausgefunden hast.

Per VPN hingegen, und das habe ich extra eben noch einmal getestet, funktioniert es einwandfrei mit dem iPhone. Dabei baue ich die VPN-Verbindung direkt zur UDM Pro auf.

[michael8]

Meine 5 Cents aus der bisherigen Analyse:
1) Die im TWS-Zertifikat hinterlegten Domains .wolf und .ip werden in meinem Basic Setup von Chrome und Safari auf dem Mac nicht an den internen DNS sondern an die Google-Suche gesendet. Die Domains welche bekannte TLDs sind, die funktionieren wie z.B. .box
2) .local ist für mDNS. UDM warnt beim Anlegen einer Adresse mit .local, dass dies zu Problemen führen kann. UDM: "Die Verwendung einer .local-Domain kann die Multicast-DNS-Funktionalität stören.".
3) timberwolfXXXX.local kann ich ohne DNS Record im lokalen Netzwerk erreichen, per VPN geht es nicht und es braucht einen anderen DNS Record.
4) Für das interne Netzwerk, gibt es div. andere TLDs. Infos dazu: https://en.wikipedia.org/wiki/List_of_I ... cal%20TLDs Bei mir auf dem Mac mit Safari, wird aber nur timberwolf1070.home.arpa an den DNS gesendet. Die anderen TLDs (.internal, .intranet, .privat, .corp, .home, .lan) werden an die Google Suche gesendet.
5) Das alles ist für mich als nicht Netzwerk-Profi schon sehr anspruchsvoll. Im Sinne, dass möglich viele TWSs verkauft werden und dies nicht nur an Nerds sondern auch an EFH Besitzer die nicht so tief abtauchen, fände ich eine breitere Abdeckung von TLDs ideal. Ubiquiti ist doch recht verbreitet. Daher wäre ein Vermeiden eines tech. Konfliktes aus Sicht Kundenerlebnis und Verkaufszahlen super.

Falls ich mich irre, freu ich mich auf konstruktives Feedback

Es zwar ist noch nicht Weihnachten, aber wenn ich an das Team von @StefanW / Elabnet für das nächste Update Wünsche äussern darf:
A) Das TWS-Zertifikat erweitern mit Domains wie z.B. .home.arpa, .internal usw. Für mich muss auch nicht umbedingt die SN im der Adresse stehen aber für multi-TWS-Besitzer sicher wichtig. Dann gerne timberwolf. ergänzen für alle singel-TWS-Besitzer.
B) Im TWS anzeigen, wenn der DNS Record noch nicht eingerichtet ist und der TWS per IP Aufgerufen wird.

Wenn das UDM Setup seinen Weg ins Wiki findet und noch Beschreibungen oder Screenshots benötigt werden, gerne melden. Auch für das Testen von den neuen TLDs in meiner UDM Umgebung.

[reentier]

Hallo,

Ja, bei mir läuft das, neben einigen anderen Diensten auch, über ein ReverseProxy. Ist eigentlich auch ganz einfach umzusetzen, es müssen nur ein paar Vorbedingungen erfüllt sein.

- irgendeine Art von Domain wo man selbst Subdomains anlegen kann
- ein Gerät auf dem man den ReverseProxy installieren kann
- Weiterleitung der TCP-Ports 80 und 443 von dem Perimeter-Router auf den ReverseProxy

Als ReverseProxy setze ich den NPM https://nginxproxymanager.com/ ein. Der läuft auf einem LXC-Container in der Proxmox Umgebung, sollte aber eigentlich auch direkt auf dem Wolf laufen, zumindest gibt es den auch für eine Docker-Umgebung.
Der empfängt durch die Weiterleitung der Ports 80 und 443 zu ihm alle Anfragen auf die konfigurierten DynDNS-Adressen und kann hier auch eine SSL-Verbindung erzwingen auf dem weiteren Weg zum eigentlichen Ziel, den Wolf. Die notwendigen Zertifikate erstellt man mit Hilfe der GUI des ReverseProxys selbst und weist diese den gewünschten Zielen zu. Um das Erneuern der Zertifikate kümmert sich das Ding dann komplett selbst.

Damit das ganze auch aus dem lokalen Netz über die gleichen Einstellungen erreichbar ist muss der DNS-Eintrag dafür noch angelegt werden auf dem lokalen DNS-Server, andernfalls würde der Traffic auch aus dem eigenen Netz durch das Internet geroutet werden, was mitunter merkwürdige Nebeneffekte mit sich bringt. DNS-Einträge lassen sich in der neuesten Version von UniFi-Network ja sehr komfortabel anlegen.

Viel mehr ist da schon gar nicht zu machen um das Thema zu fliegen zu bekommen.

Der ReverseProxy bietet auch die Möglichkeit nochmal eine zusätzlichen Authentifizierung vorzuschalten, das sollte die Sicherheit nochmal ein klein wenig erhöhen. Generell ist noch zu sagen das man bei dem Thema schon wissen sollte was man tut, die Löcher die unter Umständen in der FireWall entstehen kann man nicht wegdiskutieren. Ich empfehle dazu auf jeden Fall IDS/IPS mitlaufen zu lassen um möglichst zeitnah Angriffe zu sehen und gegebenfalls reagieren zu können.

Gruß