DynDNS: Unterschied zwischen den Versionen
Stefan (Diskussion | Beiträge) |
Keine Bearbeitungszusammenfassung |
||
| (9 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
Das Problem eines Computers, der mit einer dynamischen Adresse im Internet hängt, teilt sich in die beiden Bereiche: Der zuständige DNS-Server muss wissen, wie die aktuelle IP des Rechners ist und diese in seinen DNS-Daten richtig eintragen. Und zweitens muss die Zeit, die die Daten im DNS-Zwischenspeicher bleiben drastisch reduziert werden. | |||
Ein Server, der diese beiden Dienste anbietet, nennt man DynDNS. | |||
Auf unseren Servern bieten wir diese Möglichkeit an. Dazu bekommt der Nutzer einen Zugang über den die jeweils aktuelle IP-Adresse zum Zeitpunkt der Wiedereinwahl aktualisiert werden kann. Aus diesen Daten wird dann ein Hostname im DNS-Server erstellt, der eine Gültigkeit von 120 Sekunden hat. Das bedeutet, nach spätestens 120 Sekunden muss jeder Nameserver im Internet wieder bei unserem Server nachfragen, ob die Adresse noch stimmt. | |||
Dadurch erreicht man eine sehr hohe Verfügbarkeit. | |||
== | == Vorbereitung == | ||
Zunächst muss [https://config.schokokeks.org/go/dns/dyndns im Webinterface von schokokeks.org] unter ''Domains'' -> ''DynDNS'' ein neuer DynDNS-Account angelegt werden. Dort muss eine frei wählbare Bezeichnung (nur Kleinbuchstaben bzw. Zahlen, kein Leerzeichen) eingetragen werden und dann entweder ein SSH-Public-Key oder ein Passwort für das HTTP-Update hinterlegt werden. | |||
Anschließend kann unter ''Domains'' -> ''DNS-Einträge'' die gewünschte Domain gewählt werden und dort gibt es dann unter "Neuen DNS-Eintrag anlegen" die Möglichkeit, einen Hostname für die Verwendung mit DynDNS festzulegen. | |||
==Das Update== | ==Das Update== | ||
| Zeile 25: | Zeile 19: | ||
Das Update der aktuellen Adresse erfolgt bequem per SSH mit einem [[Key-Login (OpenSSH)|SSH-Key]]. Sobald der Rechner mit dem passenden privaten Schlüssel (private-key) eine Verbindung zum Server aufbaut, wird die IP-Adresse aktualisiert. | Das Update der aktuellen Adresse erfolgt bequem per SSH mit einem [[Key-Login (OpenSSH)|SSH-Key]]. Sobald der Rechner mit dem passenden privaten Schlüssel (private-key) eine Verbindung zum Server aufbaut, wird die IP-Adresse aktualisiert. | ||
Dazu ist ein Key zu erstellen (geschickterweise ohne Passwort) und der nötige öffentliche Schlüssel (public-key) muss auf dem Server ( | Dazu ist ein Key zu erstellen (geschickterweise ohne Passwort) und der nötige öffentliche Schlüssel (public-key) muss auf dem Server (über unser Webinterface) eingefügt werden. | ||
Das Update selbst führt man am einfachsten aus, im dem man den Befehl | Das Update selbst führt man am einfachsten aus, im dem man den Befehl | ||
ssh -q -T dyndns@schokokeks.org | ssh -4 -q -T dyndns@zucker.schokokeks.org | ||
bei jeder Einwahl ausführt. | bei jeder Einwahl ausführt. | ||
| Zeile 34: | Zeile 28: | ||
Unser DNS-Server meldet ein erfolgreiches Update mit der Meldung '''good ''ipadresse'''''. Eventuell möchte man diese Meldung nicht sehen, sondern nur wenn das Update fehlgeschlagen ist. Dann kann man den Befehl noch um den Anhang ''| grep -v -e "good "'' erweitern. | Unser DNS-Server meldet ein erfolgreiches Update mit der Meldung '''good ''ipadresse'''''. Eventuell möchte man diese Meldung nicht sehen, sondern nur wenn das Update fehlgeschlagen ist. Dann kann man den Befehl noch um den Anhang ''| grep -v -e "good "'' erweitern. | ||
Updates ohne dass sich die IP wirklich geändert hat sollten vermieden werden, um nicht unnötige SSH-Verbindungen herzustellen. Um die IP in einem Cronjob zu aktualisieren, sobald sie geändert hat, kann beispielsweise folgendes Skript benutzt werden: | |||
<nowiki> | |||
#!/bin/bash | |||
hostname="example.com" | |||
keyfile="/root/.ssh/id_rsa_schokokeks" | |||
dyndns_host="dyndns@zucker.schokokeks.org" | |||
# Beim ersten Fehler abbrechen | |||
set -e | |||
set -o pipefail | |||
dns_ip=$(dig +short "$hostname") | |||
real_ip=$(wget -4qO- https://ip.schokokeks.org) | |||
if [[ -n "$dns_ip" && "$dns_ip" != "$real_ip" ]]; then | |||
ssh -4 -q -T -i "$keyfile" "$dyndns_host" | grep -vE '^(good|nochg)' | |||
elif [[ $1 == --verbose ]]; then | |||
echo "$dns_ip (DNS) == $real_ip (real)" | |||
fi | |||
</nowiki> | |||
===per HTTPS=== | ===per HTTPS=== | ||
Es kamen immer wieder Anfragen, ob man unsere DynDNS-Einträge auch per HTTPS aktualisieren kann. | Es kamen immer wieder Anfragen, ob man unsere DynDNS-Einträge auch per HTTPS aktualisieren kann. Das ist nützlich für Hardware-Router, die mit dem Service von dnydns.org kompatibel sind und trotzdem einen frei wählbaren update-Server-Name erlauben. | ||
Technisch funktioniert das so: | Technisch funktioniert das so: | ||
| Zeile 46: | Zeile 61: | ||
aufgerufen. Dyndns.org kennt noch mehr Parameter, die sind für uns aber unerheblich. | aufgerufen. Dyndns.org kennt noch mehr Parameter, die sind für uns aber unerheblich. | ||
:'''[user]''' ist | :'''[user]''' ist der Name des DynDNS-Account, wie im Webinterface zu sehen. | ||
:'''[password]''' ist das Passwort, | :'''[password]''' ist das Passwort des DynDNS-Accounts, wie im Webinterface festgelegt. | ||
:'''[IP]''' ist die aktuelle IP des Clients. Der Parameter ist optional, wenn er angegeben wird hat er Priorität gegenüber dem was der Webserver als REMOTE_ADDR sagt. | :'''[IP]''' ist die aktuelle IP des Clients. Der Parameter ist optional, wenn er angegeben wird hat er Priorität gegenüber dem was der Webserver als REMOTE_ADDR sagt. | ||
| Zeile 101: | Zeile 116: | ||
Das Beispiel wäre für die Domain ''machine.mydyndnsdomain.de'' als DynDNS Adresse. Es wird der Dienst ''whatismyip.com'' verwendet um die aktuelle öffentliche IP des Netzwerks (bzw. Routers) herauszubekommen. | Das Beispiel wäre für die Domain ''machine.mydyndnsdomain.de'' als DynDNS Adresse. Es wird der Dienst ''whatismyip.com'' verwendet um die aktuelle öffentliche IP des Netzwerks (bzw. Routers) herauszubekommen. | ||
'''Anmerkung:''' Die Datei heißt ddclient.conf und befindet sich entweder in /etc/ oder /etc/ddclient/. Gestartet wird der Dienst wie üblich mit '/etc/init.d/ddclient start'. | |||
== DynDNS-Update mit Synology DiskStation == | |||
Die DiskStation-Reihe von Synology setzt auf ein embedded Linux und erlaubt eine feste Liste von DynDNS-Anbietern. Darunter ist schokokeks.org bislang nicht. Mit etwas Aufwand, lässt sich schokokeks.org aber hinzufügen. Dazu muss man SSH aktivieren (unter Terminal-Dienste) und sich als root einloggen. Das geht mit dem gleichen Kennwort wie für den Webinterface-Benutzer "admin". Dann editiert man die Datei ''/etc.defaults/ddns_provider.conf'' und fügt folgenden Eintrag hinzu: | |||
[schokokeks.org] | |||
modulepath=DynDNS | |||
queryurl=dyndns.schokokeks.org/nic/update?myip=__MYIP__ | |||
== DynDNS-Update mit einer pfSense-Firewall == | |||
pfSense ist eine freie Firewall-Distribution, die auf x86-Hardware läuft und einen DynDNS-Client beinhaltet. Um den DynDNS-Dienst von schokokeks.org zu benutzen, kann man im Webinterface unter Services/Dynamic DNS/Dynamic DNS Clients einen Custom Client mit folgenden Einstellungen anlegen: | |||
Service type: Custom | |||
Interface to monitor: Name der Schnittstelle mit der öffentlichen IP-Adresse | |||
Interface to send update from: abhängig vom jeweiligen Setup, im Zweifelsfall wie oben | |||
Verbose logging: deaktiviert (außer zur Fehlersuche) | |||
CURL options: | |||
Force IPv4 resolving: Setup-abhängig, im Zweifelsfall aktiv | |||
Verify SSL peer: aktiv | |||
Username: loginname_dyndnsname | |||
Password: 'PASSWORT' | |||
Update URL: https://dyndns.schokokeks.org/nic/update?myip=%IP% | |||
Result match: good %IP%|nochg %IP% | |||
Description: schokokeks.org | |||
== DynDNS-Update mit einer OPNSense-Firewall via SSH == | |||
Die Überlegungen aus dem Abschnitt [[#per SSH|Update per SSH]] bzgl. Key etc. sind weiterhin anzuwenden. Der Key liegt bei OPNSense ebenfalls in <nowiki>/root/.ssh/id_XXX</nowiki>, best practice ist ein Key pro Host, z.B. <nowiki>/root/.ssh/id_dyndnsupdate{,.pub}</nowiki> | |||
Im Anschluss ist eine Datei <nowiki>/usr/local/bin/dyndnsupdate</nowiki> anzulegen. Die Anpassungen im Vergleich zum oberen Script sind der Tatsache geschuldet, dass es auf einem FreeBSD-basierenden System wie OPNSense manche Tools nicht gibt, bzw. andere Tools genutzt werden müssen. Vorbereitungen für eine zusätzliche Nutzung von IPv6 sind bereits getroffen, IPv6 ist allerdings im Script noch nicht aktiv. | |||
<nowiki> | |||
#!/bin/sh | |||
set -e | |||
set -o pipefail | |||
hostname="example.org" | |||
keyfile="/root/.ssh/id_dyndnsupdate" | |||
dyndns_host="dyndns@zucker.schokokeks.org" | |||
dns_ip4=$(drill -4 "$hostname" | grep 'ANSWER SECTION' -A1 | grep "$hostname" | awk -F ' ' '{print $5}') | |||
real_ip4=$(curl -4q https://ip.schokokeks.org) | |||
if [ -n "$dns_ip4" ] && [ "$dns_ip4" != "$real_ip4" ]; then | |||
ssh -4 -q -T -i "$keyfile" "$dyndns_host" | grep -vE '^(good|nochg)' | |||
elif [ $1 == "--verbose" ]; then | |||
echo "$dns_ip4 (DNS) == $real_ip4 (real)" | |||
fi | |||
</nowiki> | |||
Danach wird ein Cronjob angelegt in <nowiki>/usr/local/opnsense/service/conf/actions.d/actions_dyndns.conf</nowiki> | |||
<nowiki> | |||
[start] | |||
command:/usr/local/bin/dyndnsupdate | |||
parameters: | |||
type:script | |||
message:Custom DynDNS update | |||
description:Custom DynDNS update using schokokeks.org | |||
</nowiki> | |||
Der Cronjob muss über die GUI aktiviert werden, damit er dort auch verwaltet werden kann (sonst muss jedes Mal ein Konsolenzugriff erfolgen) | |||
<nowiki> | |||
System -> Settings -> Cron -> Add -> gewünschte Parameter eingeben und dann bei "Command" "Custom DynDNS update using schokokeks.org" auswählen -> Save -> Apply | |||
</nowiki> | |||
[[Kategorie:DNS]] | [[Kategorie:DNS]] | ||
Aktuelle Version vom 13. Juli 2024, 07:31 Uhr
Das Problem eines Computers, der mit einer dynamischen Adresse im Internet hängt, teilt sich in die beiden Bereiche: Der zuständige DNS-Server muss wissen, wie die aktuelle IP des Rechners ist und diese in seinen DNS-Daten richtig eintragen. Und zweitens muss die Zeit, die die Daten im DNS-Zwischenspeicher bleiben drastisch reduziert werden.
Ein Server, der diese beiden Dienste anbietet, nennt man DynDNS.
Auf unseren Servern bieten wir diese Möglichkeit an. Dazu bekommt der Nutzer einen Zugang über den die jeweils aktuelle IP-Adresse zum Zeitpunkt der Wiedereinwahl aktualisiert werden kann. Aus diesen Daten wird dann ein Hostname im DNS-Server erstellt, der eine Gültigkeit von 120 Sekunden hat. Das bedeutet, nach spätestens 120 Sekunden muss jeder Nameserver im Internet wieder bei unserem Server nachfragen, ob die Adresse noch stimmt.
Dadurch erreicht man eine sehr hohe Verfügbarkeit.
Vorbereitung
Zunächst muss im Webinterface von schokokeks.org unter Domains -> DynDNS ein neuer DynDNS-Account angelegt werden. Dort muss eine frei wählbare Bezeichnung (nur Kleinbuchstaben bzw. Zahlen, kein Leerzeichen) eingetragen werden und dann entweder ein SSH-Public-Key oder ein Passwort für das HTTP-Update hinterlegt werden.
Anschließend kann unter Domains -> DNS-Einträge die gewünschte Domain gewählt werden und dort gibt es dann unter "Neuen DNS-Eintrag anlegen" die Möglichkeit, einen Hostname für die Verwendung mit DynDNS festzulegen.
Das Update
per SSH
Das Update der aktuellen Adresse erfolgt bequem per SSH mit einem SSH-Key. Sobald der Rechner mit dem passenden privaten Schlüssel (private-key) eine Verbindung zum Server aufbaut, wird die IP-Adresse aktualisiert.
Dazu ist ein Key zu erstellen (geschickterweise ohne Passwort) und der nötige öffentliche Schlüssel (public-key) muss auf dem Server (über unser Webinterface) eingefügt werden.
Das Update selbst führt man am einfachsten aus, im dem man den Befehl
ssh -4 -q -T dyndns@zucker.schokokeks.org
bei jeder Einwahl ausführt.
Eventuell möchte man eine spezielle SSH-Key-Datei angeben, das macht man dann mit -i pfad/zur/id_rsa.
Unser DNS-Server meldet ein erfolgreiches Update mit der Meldung good ipadresse. Eventuell möchte man diese Meldung nicht sehen, sondern nur wenn das Update fehlgeschlagen ist. Dann kann man den Befehl noch um den Anhang | grep -v -e "good " erweitern.
Updates ohne dass sich die IP wirklich geändert hat sollten vermieden werden, um nicht unnötige SSH-Verbindungen herzustellen. Um die IP in einem Cronjob zu aktualisieren, sobald sie geändert hat, kann beispielsweise folgendes Skript benutzt werden:
#!/bin/bash
hostname="example.com"
keyfile="/root/.ssh/id_rsa_schokokeks"
dyndns_host="dyndns@zucker.schokokeks.org"
# Beim ersten Fehler abbrechen
set -e
set -o pipefail
dns_ip=$(dig +short "$hostname")
real_ip=$(wget -4qO- https://ip.schokokeks.org)
if [[ -n "$dns_ip" && "$dns_ip" != "$real_ip" ]]; then
ssh -4 -q -T -i "$keyfile" "$dyndns_host" | grep -vE '^(good|nochg)'
elif [[ $1 == --verbose ]]; then
echo "$dns_ip (DNS) == $real_ip (real)"
fi
per HTTPS
Es kamen immer wieder Anfragen, ob man unsere DynDNS-Einträge auch per HTTPS aktualisieren kann. Das ist nützlich für Hardware-Router, die mit dem Service von dnydns.org kompatibel sind und trotzdem einen frei wählbaren update-Server-Name erlauben.
Technisch funktioniert das so: Es wird die URL
- https://[user]:[password]@dyndns.schokokeks.org/nic/update?myip=[IP]
aufgerufen. Dyndns.org kennt noch mehr Parameter, die sind für uns aber unerheblich.
- [user] ist der Name des DynDNS-Account, wie im Webinterface zu sehen.
- [password] ist das Passwort des DynDNS-Accounts, wie im Webinterface festgelegt.
- [IP] ist die aktuelle IP des Clients. Der Parameter ist optional, wenn er angegeben wird hat er Priorität gegenüber dem was der Webserver als REMOTE_ADDR sagt.
Aufgrund der Tatsache, dass viele Hardware-Router das Update nur über HTTP und nicht über HTTPS durchführen können, wurde unsere Richtlinie in diesem Punkt etwas gelockert. Das Update darf nun auf gleiche Art und Weise auch über HTTP gemacht werden. Sofern HTTPS vom benutzen Gerät unterstützt wird, ist dies natürlich zu bevorzugen!
DynDNS-Update mit einem DD-WRT-Router
Sofern man einen Router mit der Linux-Firmware DD-WRT hat, kann man diesen für das DynDNS-Update benutzen. Dazu muss folgendes eingetragen werden:
DDNS-Service: DynDNS.org Nutzername: USERNAME Passwort: PASSWORT Hostname: HOSTNAME --dyndns_server_name dyndns.schokokeks.org --dyndns_server_url /nic/update?
Der Hostname wird nur gebraucht um herauszufinden ob ein Update nötig ist. Beachten Sie, dass die zusätzlichen Parameter mit in das Feld für den Hostname eingetragen werden müssen!
DynDNS-Update mit einem Router von AVM (und anderen)
Die meisten handelsüblichen DSL-Router haben eine DynDNS-Update-Möglichkeit eingebaut, der auch mit unserem DynDNS-Service genutzt werden kann. Das Kriterium dafür ist normalerweise ob ein eigener Update-Server-Name eingegeben werden kann. Oftmals kann man DynDNS-Anbieter auf "Benutzerdefiniert" setzen.
Geräte dieser Bauart können i.d.R. kein https-Update durchführen. Ausnahmsweise ist daher für DynDNS-Updates keine Verschlüsselung zwingend notwendig.
Am Beispiel einer AVM Fritz!Box müssen folgende Einstellungen gesetzt werden:
| Feld | Eintrag in diesem Feld |
|---|---|
| Dynamic DNS-Anbieter | Benutzerdefiniert |
| Update-URL | dyndns.schokokeks.org/nic/update?myip=<ipaddr> |
| Domainname | Hier muss Ihr DynDNS-Hostname eingetragen werden. Der Router nutzt diesen Hostname um herauszufinden ob die Adresse geändert werden muss. |
| Benutzername | Der Benutzername, der sich wie folgt zusammensetzt: loginname_dyndnsname |
| Kennwort / Kennwortbestätigung | Ihr selbst vergebenes Kennwort für diesen DynDNS-Zugang. Nicht Ihr Login-Passwort! |
DynDNS-Update mit ddclient
ddclient ist ein simpler Dienst der sich auf Linux Rechnern installieren lässt. Die meisten Distributoren führen das Paket ddclient direkt in ihrer Paketverwaltung, d.h. lässt es sich einfach installieren. ddclient läuft im Hintergrund und überwacht regelmäßig ob die IP für die Domain noch aktuell ist. Dabei ist nur eine kleine Konfigurationsdatei nötig um den Schokokeks DynDNS zu nutzen:
# /etc/ddclient.conf ssl=yes protocol=dyndns2 use=web, if=whatismyip.org server=dyndns.schokokeks.org login=loginname_dyndnsname password='PASSWORT' machine.mydyndnsdomain.de
Das Beispiel wäre für die Domain machine.mydyndnsdomain.de als DynDNS Adresse. Es wird der Dienst whatismyip.com verwendet um die aktuelle öffentliche IP des Netzwerks (bzw. Routers) herauszubekommen.
Anmerkung: Die Datei heißt ddclient.conf und befindet sich entweder in /etc/ oder /etc/ddclient/. Gestartet wird der Dienst wie üblich mit '/etc/init.d/ddclient start'.
DynDNS-Update mit Synology DiskStation
Die DiskStation-Reihe von Synology setzt auf ein embedded Linux und erlaubt eine feste Liste von DynDNS-Anbietern. Darunter ist schokokeks.org bislang nicht. Mit etwas Aufwand, lässt sich schokokeks.org aber hinzufügen. Dazu muss man SSH aktivieren (unter Terminal-Dienste) und sich als root einloggen. Das geht mit dem gleichen Kennwort wie für den Webinterface-Benutzer "admin". Dann editiert man die Datei /etc.defaults/ddns_provider.conf und fügt folgenden Eintrag hinzu:
[schokokeks.org]
modulepath=DynDNS
queryurl=dyndns.schokokeks.org/nic/update?myip=__MYIP__
DynDNS-Update mit einer pfSense-Firewall
pfSense ist eine freie Firewall-Distribution, die auf x86-Hardware läuft und einen DynDNS-Client beinhaltet. Um den DynDNS-Dienst von schokokeks.org zu benutzen, kann man im Webinterface unter Services/Dynamic DNS/Dynamic DNS Clients einen Custom Client mit folgenden Einstellungen anlegen:
Service type: Custom Interface to monitor: Name der Schnittstelle mit der öffentlichen IP-Adresse Interface to send update from: abhängig vom jeweiligen Setup, im Zweifelsfall wie oben Verbose logging: deaktiviert (außer zur Fehlersuche) CURL options: Force IPv4 resolving: Setup-abhängig, im Zweifelsfall aktiv Verify SSL peer: aktiv Username: loginname_dyndnsname Password: 'PASSWORT' Update URL: https://dyndns.schokokeks.org/nic/update?myip=%IP% Result match: good %IP%|nochg %IP% Description: schokokeks.org
DynDNS-Update mit einer OPNSense-Firewall via SSH
Die Überlegungen aus dem Abschnitt Update per SSH bzgl. Key etc. sind weiterhin anzuwenden. Der Key liegt bei OPNSense ebenfalls in /root/.ssh/id_XXX, best practice ist ein Key pro Host, z.B. /root/.ssh/id_dyndnsupdate{,.pub}
Im Anschluss ist eine Datei /usr/local/bin/dyndnsupdate anzulegen. Die Anpassungen im Vergleich zum oberen Script sind der Tatsache geschuldet, dass es auf einem FreeBSD-basierenden System wie OPNSense manche Tools nicht gibt, bzw. andere Tools genutzt werden müssen. Vorbereitungen für eine zusätzliche Nutzung von IPv6 sind bereits getroffen, IPv6 ist allerdings im Script noch nicht aktiv.
#!/bin/sh
set -e
set -o pipefail
hostname="example.org"
keyfile="/root/.ssh/id_dyndnsupdate"
dyndns_host="dyndns@zucker.schokokeks.org"
dns_ip4=$(drill -4 "$hostname" | grep 'ANSWER SECTION' -A1 | grep "$hostname" | awk -F ' ' '{print $5}')
real_ip4=$(curl -4q https://ip.schokokeks.org)
if [ -n "$dns_ip4" ] && [ "$dns_ip4" != "$real_ip4" ]; then
ssh -4 -q -T -i "$keyfile" "$dyndns_host" | grep -vE '^(good|nochg)'
elif [ $1 == "--verbose" ]; then
echo "$dns_ip4 (DNS) == $real_ip4 (real)"
fi
Danach wird ein Cronjob angelegt in /usr/local/opnsense/service/conf/actions.d/actions_dyndns.conf
[start] command:/usr/local/bin/dyndnsupdate parameters: type:script message:Custom DynDNS update description:Custom DynDNS update using schokokeks.org
Der Cronjob muss über die GUI aktiviert werden, damit er dort auch verwaltet werden kann (sonst muss jedes Mal ein Konsolenzugriff erfolgen)
System -> Settings -> Cron -> Add -> gewünschte Parameter eingeben und dann bei "Command" "Custom DynDNS update using schokokeks.org" auswählen -> Save -> Apply