Går og lejer med tanken om at få mig et domænenavn som jeg kan bruge til emails, home server og måske en lille simpel offentlig hjemmeside med lidt oldschool html. Lige nu bruger jeg bare Duckdns og så vpn og ip adresser til alt mit home server, men det ville være fedt hvis jeg kunne få sat traefik op med noget reverse proxy til mine containere.
Jeg er ved ikke rigtig hvor jeg skal starte med at købe domænet. Har læst mig til at webhosting.dk skulle være stedet for domæner til indkøbspris og så bruge Cloudflare til DNS men aner ikke om det er den rigtig vej at gå for mig?
Det skal helst bare være så simpelt som muligt. Er det ikke noget med at man kan koble sit domæne på sin Gmail så man bruger Gmails servere, men med sit eget domæne? Igen så er jeg helt grøn på det her område og mangler lidt en god solid guide at starte med som gennemgår køb af domænet, ssl og lets incrypt etc.
Håber der er nogen herinde som kan hjælpe mig igang.
Du køber dit domæne, og får det styret et sted som understøtter Let’s encrypt DNS (lego listen). Det er din eksterne DNS.
I den eksterne DNS peger du server.domæne.dk med en A til din ip.
Bagefter peger du de services du vil have eksternt med CNAME til server.domæne.dk. F.eks. jellyfin.domæne.dk CNAME -> server.domæne.dk
Hjemme hos dig selv, konfigurerer du NAT i din router, til at føre alt på port 443 (SSL) til din server.
Så kan du bruge nginx proxy manager (f.eks.) til at pege jellyfin.domæne.dk til den service - måske i docker, måske på en anden computer.
Du har måske samtidig en Pi-Hole til at blokere for trackere og reklamer på dit netværk. Den er din interne DNS.
I pi-hole sætter du en DNS regel op, som hedder intern.domæne.dk (A) og peger den på din server også.
Derefter sætter du i Pi-hole en CNAME regel op, med den service som kun skal være på dit interne netværk.
radarr.domæne.dk CNAME -> intern.domæne.dk
Fordi du har nginx proxy manager sat op med Let’s encrypt DNS challenge så vil den kunne skaffe et SSL certifikat til en service som kun har et rigtigt navn internt på dit netværk.
Så skal du ikke huske IP adresser eller porte når du tilgår dine services, og de vil allesammen kunne have et godt navn, med SSL. Mange services kræver SSL for at virke ordentligt. Der er en masse sikkerheds-ting i browsere som kun virker når der er SSL.
Det eneste du skal gøre for at eksponere en service, er at tilføje CNAME til den i din eksterne DNS.
----- DISCLAIMER -----
Du skal dog huske, at du har din server tilgængelig på nettet med IP adresse. SSL certifikater er ikke hemmelige. Så når du beder om et certifikat til radarr.domæne.dk, så vil det fremgå på en liste på nettet, og spammere og hackere vil prøve at få adgang til din service.
Når du “kun” skjuler dine interne ting ved ikke at eksponere dem med navn, så er de som sådan stadig tilgængelige, hvis man virkelig gerne vil have fingre i dem.
Du kan have 2 servere internt (evt. virtuelle), og have nginx proxy manager på begge. Den ene til offentlige ting, og den anden til interne. Så peger du din router på den eksterne, og den kan kun svare på de navne. Du peger Pi-hole på den interne, og så kan den kun svare på de navne.
På den måde kan man ikke så nemt snyde sig ind, ved f.eks. at lade som om at man kalder din server med et andet navn.
Altså: Hvis din nginx proxy manager kender navnene på både interne og eksterne services, så kan den snydes til at give adgang til de interne, ude fra.
Igen tusind tak for et langt og udførligt svar. Jeg har læst en masse information om opsætning af dns, cname etc og er ved at forstå hvordan tingene hænger sammen så nu har jeg sku købt mig et domæne på webhosting.dk til indkøbspris og så tager jeg den derfra og ser hvad der sker 😅 nu skal jeg have sat en pi op som test server tror jeg og så pege port 443 på den og linke med mit nye domæne. Tænker at nginx og traefik er noget af det første jeg skal prøve af.
God fornøjelse med det :)
Webhosting.dk er ikke på listen over supporterede lego systemer som passer med Let’s encrypt DNS challenge.
Det betyder at du skal have de domæner som skal have et SSL certifikat offentligt tilgængeligt fra nettet på port 80, for at få et certifikat med HTTP challenge.
Du kan dog højst sandsynligt flytte din DNS til et andet sted. Jeg har selv noget af mit DNS hos hetzner.com i Tyskland.
Redigering:
Du skal forbi dk-hostmaster for at skifte din NS server til et andet sted. Det koster ikke noget.
Jeg vil anbefale dig at skifte til et sted hvor DNS challenge er understøttet. Så skal du ikke have noget åbent på port 80 ud til verden.
Tak for godt input. Det var også lidt forvirrende da de beskriver letsencrypt i deres support, men ved så ikke om det kun gælder deres webhosting? Jeg må lige grave lidt dybere for at forstå hvordan dns challenges virker
De understøtter ikke DNS challenge. De er slet ikke på listen over understøttede udbydere. Så jeg vil anbefale dig at flytte din DNS et andet sted hen. Du kan stadig godt lade dem sørge for årlig betaling af dit domæne.
Havde jeg måske også lidt på fornemmelsen, men som andre skriver og hvad jeg også kan læse mig til så er det ikke noget problem at flytte dns inde på punktum.dk eller endda sætte sig selv som betaler og så bare glemme webhosting.dk bagefter… Hvertfald sådan som jeg forstår det. Domænet var rimelig billigt alligevel uden en masse andet ekstra som jeg ikke skal bruge lige nu.