HTTPS på hjemmeserver uten statisk IP

[Kirchhoff]

Hei,

Jeg (og chatGPT) har laget en webside som tidligere har blitt hostet på neocities. Men så ønsket jeg mulighet til å ta i mot kommentarer, og da trengte jeg en backend til å ta i mot kommentarene. Dette støtter ikke neocities, så jeg fant fram en gammel raspberry pi og implementerte et kommentarsystem. Men nå klarer jeg ikke å få HTTPS til å fungere med min nye hjemmeserver.

Min nettleverandør har ikke støtte for statisk IP, jeg er derfor nødt til å bruke en dynamisk dns. Heldigvis så var dette veldig enkelt å sette opp på min router:

https://ersiderenklar.asuscomm.com

Men jeg har ikke fått til å få domenet jeg har kjøpt til å fungere med denne DDNSen. ersiderenklar.no.

Om jeg vha et CNAME record omdirigerer www.ersiderenklar.no til https://ersiderenklar.asuscomm.com, så får jeg en error I nettleseren fordi https sertifikatet ikke gjelder for www.ersiderenklar.no.

Har dere noen forslag på hva jeg bør gjøre?

[barfoo]

Du må skaffe deg sertifikat for domenet du bruker. Det kan du gjere med t.d. Lets Encrypt.

[Kirchhoff]

Hei barfoo. Jeg trenger vel i så fall et sertifikat som gjelder for både ddns domenet og domenet? Da jeg prøvde å lage et slikt dobbelt sertifikat med certbot, så krevde de bevis som viste at jeg eide ddns domenet. De ba meg legge til et TXT record. Det tror jeg ikke mulighet til med asuscomm.com sin DDNS.

Kjenner du en tilbyder som tilbyr dette? Gjerne en på denne listen:

Endret 29. april 2023 av Kirchhoff

[Gjest Gjest slettet-ld9eg7s96q]

Har fiber hjemme med dynamisk IP og hoster sånn rundt 12 forskjellige nettsteder for ulike ting (Gitea, Seafile, Jellyfin, Mastadon, Matrix, Guacomole + et mylder av nettsteder jeg har lagd selv). Det enkleste å gjøre i dette tilfellet er å sette opp en reverse proxy (enten i Nginx eller Apache, jeg bruker apache) og få all HTTPS trafikk rutet gjennom den webserveren. Så installerer du sikkerhets sertifikatet på reverse proxy serveren for hvert enkelt nettsted.

Du trenger bare et sikkerhetssertifikat for domenet (og eventuelt underdomener du hoster). Du trenger ikke noe sikkerhetssertifikat for ddns. Det eneste du trenger er å ha et API mot ddns tilbyderen din du kan "pinge" når ip adressen din endrer seg med den nye ip adressen din. Jeg bruker dynu.com for dette og har bare et cron script som kjører med javne mellomrom ved bruk av CURL. Og så har jeg mitt eget script som oppdaterer sikkerhetssertifikatene mine med javne mellomrom før de utgår.

[Gjest Gjest slettet-ld9eg7s96q]

Kirchhoff skrev (1 time siden):

Om jeg vha et CNAME record omdirigerer www.ersiderenklar.no til https://ersiderenklar.asuscomm.com

Det er helt unødvendig. Du legger til DNS serverne til DDNS tilbyderen din i ersiderenklar.no NS oppføringer og så konfigurerer du ersiderenklar.no sin A oppføring til å peke rett mot IP adressen til ruteren din. DDNS tilbyderen vil oppdatere A oppføringene automatisk når du "pinger" de med den nye ip adressen hvis den endrer seg. Revers proxy serveren (hvis du har satt det opp) vil da ta imot alle innkommende forespørsler via port 80 (Http) eller 443 (Https) og rute trafikken fra intern nettverket ditt og kryptere utgående trafikk hvis du har satt opp sertifikatet på den gitt at du har åpnet ruteren for de portene og NAT'er trafikken for 80 og 443 mellom ruteren og reverse proxy tjeneren.

Endret 29. april 2023 av Gjest slettet-ld9eg7s96q

[NULL]

Uten at jeg helt har studert detaljene her, så ville jeg kanskje sagt at det blir bedre å unngå videresendingen med Asus-domenet. 

En del domene-aktører har APIer som gjør at du ikke trenger å bruke en DynDNS-tjeneste. Hos de fleste er det sjeldent at IP-adressen endres. F.eks. hos Telenor og Altibox kan man ende opp med å ha samme IP-adresse i mange måneder. Det man da ganske enkelt kan gjøre, er å ha et skript som sjekker om IP er endret som f.eks. kjøres hvert X minutt, og hvis det er endring, kjører man en operasjon mot domenehåndtererens API og setter ny IP-adresse. Her vil man kunne få noen minutter der det ikke fungerer (DNS-info skal jo distribueres også...), men slik kan det være for dyn-dns-tjenester også (prinsippielt er det ikke så forskjellig).

Da får du en løsning som peker domenet til IP-en, og webserver kan være konfigurert i henhold til det egentlige domenenavnet og man kan bruke et Lets Encrypt-sertifikat for sitt eget domene på den.

Sjekk med domenehåndterer at det ikke er et API man enkelt kan bruke for å endre hvilke IP domenet skal peke mot. 

Med det sagt, å kjøre ting hjemme, i hvert fall uten en løsning i front, kan jo være en risiko....

Endret 29. april 2023 av NULL

[Kirchhoff]

NULL skrev (På 29.4.2023 den 15.48):

Med det sagt, å kjøre ting hjemme, i hvert fall uten en løsning i front, kan jo være en risiko....

På hvilken måte er det en risiko?

NULL skrev (På 29.4.2023 den 15.48):

En del domene-aktører har APIer som gjør at du ikke trenger å bruke en DynDNS-tjeneste.

Jeg tror ikke domene.no tilbyr et API: "Ingen dokumenter samsvarte med søket ditt på «api site:domene.no»."

Gjest slettet-ld9eg7s96q skrev (På 29.4.2023 den 13.43):

Du legger til DNS serverne til DDNS tilbyderen din i ersiderenklar.no NS oppføringer og så konfigurerer du ersiderenklar.no sin A oppføring til å peke rett mot IP adressen til ruteren din. DDNS tilbyderen vil oppdatere A oppføringene automatisk når du "pinger" de med den nye ip adressen hvis den endrer seg. Revers proxy serveren (hvis du har satt det opp) vil da ta imot alle innkommende forespørsler via port 80 (Http) eller 443 (Https) og rute trafikken fra intern nettverket ditt og kryptere utgående trafikk hvis du har satt opp sertifikatet på den gitt at du har åpnet ruteren for de portene og NAT'er trafikken for 80 og 443 mellom ruteren og reverse proxy tjeneren.

Jeg forstår dessverre ikke alt du sier her 😅

Nå har jeg laget en A oppføring på "ersiderenklar.no", som peker på den eksterne IPen til min server, som jeg tror er den samme som til min router.

Jeg skjønner ikke helt hvordan dette vil fortsette å fungere når Isen min forandrer seg igjen.

 

[NULL]

5 minutes ago, Kirchhoff said:

På hvilken måte er det en risiko?

Du eksponerer en enhet direkte mot internett. Denne enheten vil da kunne være en inngangsport inn til ditt nettverk ved f.eks. sikkerhetshull. Med tanke på at du ser ut til å kjøre med en vanlig Asus-ruter, er vel ikke denne enheten isolert fra andre enheter på nettverket ditt hjemme.

I stedet for å kjøre det hjemme, så kan man også gjerne ta i bruk et webhotell e.l. Men ja, det koster noen kroner. Eller at man websiden kanskje også også greit å kjøre i mer "ferdige løsninger", om det så er hos en aktør som tilbyr ferdig hosting av Wordpress o.l.

Quote

Jeg tror ikke domene.no tilbyr et API: "Ingen dokumenter samsvarte med søket ditt på «api site:domene.no»."

OK. En del andre aktører har slikt. F.eks. Domeneshop: https://api.domeneshop.no/docs/

 

[Gjest Gjest slettet-ld9eg7s96q]

Kirchhoff skrev (3 timer siden):

Jeg forstår dessverre ikke alt du sier her 😅

Nå har jeg laget en A oppføring på "ersiderenklar.no", som peker på den eksterne IPen til min server, som jeg tror er den samme som til min router.

Jeg skjønner ikke helt hvordan dette vil fortsette å fungere når Isen min forandrer seg igjen

For å bruke et eksempel fra mitt eget bruk.

Jeg har domenet xyz.no registrert hos domeneshop og bruker dynu.com for å oppdatere DNS med ny IP

1. Jeg logger meg inn på domeneshop.no. Går til domenet mitt (xyz.no) og velger å sette opp "egne DNS servere". Her kan jeg selv redigere mitt domenes NS oppføringer
2. I NS oppføringene hos domeneshop, spesifiserer jeg dynu.com sine DNS servere. (ns1.dynu.com, ns2.dynu.com, ns3.dynu.com osv). Merk at disse endringene tar litt tid før det blir oppdatert hos alle DNS servere
3. Når jeg har lagret disse endringene logger jeg meg inn på kontoen min hos dynu.com
4. Hos dynu.com oppretter jeg et nytt domenenavnoppføring for xyz.no
5. Nå kan jeg opprette hva som helst av DNS oppføringer for domenet mitt xyz.no hos dynu, inkludert A oppføringen som jeg nevnte
6. dynu.com har også et eget shell script du kan laste ned som du kan kjøre regelmessig (via cron e.l) fra f.eks raspberryen din. Det er dokumentasjon på dynu.com hvordan du genererer din egen API nøkkel for å autentisere fornyelser av IP. Når IP'en din endrer seg vil dette scriptet automatisk oppdatere A oppføringen på DNS serveren slik at domenet til enhver tid peker mot korrekt IP.

Hvis du ikke endrer NS oppføringen først vil ikke dynu (eller en annen dynamisk ip tilbyder) kunne besvare forespørsler når noen går til domenet ditt, så du må starte der.

[siDDis]

Det finnes programvare som bare enabler TLS(https) der du konfigurerer peker mot webserveren. Dette er enkelt på Raspberry Pi. Prøv https://hitch-tls.org/
 

Selvsagt kan en også bruke Apache, Nginx, HaProxy, men disse er gjerne litt heavy om du ikke allerede bruker de.

EDIT: Ser at det ikke er TLS som er problemet, men sertifikatet. Da kan en bruke letsencrypt sin certbot. Så lager du sertifikatet for ersiderenklar.asuscomm.com og kanskje www.ersiderenklar.asuscomm.com

Endret 16. mai 2023 av siDDis

[SnusBoks]

Har hostet hjemmefra i sikkert 10 år nå. Dynamisk IP og https løser du rimelig enkelt med dyndns og cloudflare. Trenger du hjelp til å sette opp, send meg en pm.