Beratung erwünscht: Fritzbox, DynDNS, Synology, Docker, Reverse Proxy, Caddy, Nextcloud

IPv64.net - Services DynDNS2
, , , ,
1

Das ist mein Szenario:

  1. Fritzbox an einem DualStack DSL-Anschluß von der Telekom

  2. Auf https://ipv64.net habe ich eine eigene Domian für DnyDNS registriert (bin Suppporter😉), bspw foo.bar.com. Die Fritzbox aktualisiert ohne Probleme.

  3. Dahinter im LAN eine Synology mit neuestem DSM 7.2

  4. Auf der Syno läufen in mehreren Docker Compose Stacks verschiedene Webapps (Nextcloud, Vaultwarden, Immich, Jellyfin, …)

  5. Einzelne Webapps sollen aus dem Internet erreichbar sein. Also habe ich Caddy (auch in einem Docker Compose Stack) als Reverse Proxy eingerichtet.

  6. Bei meinem Webhoster habe ich für die Webapps verschiende CNAME-Record angelegt welche auf die Fritzbox zeigten, zB nx.bar.com IN CNAME foo.bar.com

  7. Caddy macht seinen Job und schaut von welcher Adresse die Anfrage kam und leitet diese an die richtigen internen Docker Container weiter.

Nix Besonderes oder Ungewöhnliches soweit. Oder?

Bisher hatte ich ich nur IPv4 aktiv. Weil auf der Syno die Start-Ports 80 und 443 von belegt sind hatte ich meinem Caddy-Container die Ports 11180 und 11443 gegeben. Dann habe mit dem PortForwarding der Fritzbox den externen Port 80 auf den internen Port 11180 der Syno weitergeleiter. Analog dazu Port externen Port 443 zu internen Port 11443.

Jetzt muss/will ich IPv6 anschalten. Das ändert einiges:

  1. Die Syno bekommt eine weltweit gültige IPv6-Internetadresse (IPv6 Privacy Extensions ist ausgeschalten).

  2. Für die Syno habe ich eine neue Subdomain angelegt: syno.foo.bar.com

  • IPv6-Adresse wird von https://ipv64.net wunderbar aktualisiert. :+1: Der Präfix kommt von der Telekom und ändert, die Interface-ID bleibt gleich.

  1. IPv4-Adresse ist noch eine Baustelle, siehe Beitrag im Discourse

  2. Fritzbox macht für IPv6 kein PortForwarding mehr, sondern ist nur noch Firewall.

  3. Deswegen muss ich den den CNAME-Record der Webapps nicht mehr auf den Fritzbox zeigen lassen sondern auf die Syno. nx.bar.com IN CNAME syno.foo.bar.com Okay?!

Alles soweit korrekt. Oder? Nun stolpere ich aber über verschiedene Dinge:

  • Weil nun die Syno direkt die Anfragen aus dem Netz bekommt kommen die Anfragen auch bei den Standart-Ports 80 und 443 an. Da läuft ja aber mein Caddy nicht.

  • Also war meine Idee den Docker Compose Stack für den Caddy Reverse Proxy so zu ändern, dass er in einem macvlan sitzt und direkt von der Fritzbox eine als eigene Host gesehen wird.

  • Auch dieser Host bekommt eigene Subdomain: reproxy.foo.bar.com

  • Diese neue Host kann dann 80 und 443 verwenden und er hat auch eine weltweit gültige IPv6-Internetadresse.

  • Also ändere den CNAME-Einträge nochmal: nx.bar.com IN CNAME revproxy.foo.bar.com

  • Aber nun stehe ich vor dem Problem das Container aus einem macvlan Docker-Network nicht mit Containern in einem default bridge Docker-Network sprechen dürfen. :woozy_face:

Ich habe mich jetzt schon mehrere Stunden mit ChatGPT gestritten wie es wohl am, besten umzusetzen ist. Mir platzt langsam der Kopf. :exploding_head:

Wie würdet ihr das machen? Ist das mit dem macvlan überhaupt notwendig?

2

Ich habe jetzt nicht alles im Detail gelesen, aber ich leite den ganzen eingehenden Verkehr von extern zum Reverse-Proxy meines Haupt-NAS, einer DS1522+ und leite dann intern weiter.
Auf der Fritte geht also alles für Port 80 und 443 weiter zur DS1522+, dort werden die Zertifikate verwaltet, und von dort aus weiter zu den anderen Geräten.
Bei IPv64.net gibt es eigentlich die Haupt-Domain mit der externen IPv4 meiner Fritte und Subdomains (AAAA-Records) für die internen Geräte mit deren IPv6-Interface-Identifier fest hinterlegt. Der Prefix kommt über ein Prefix-Update über die Fritte mit dazu.
Also im Prinzip nur
https://ipv64.net/update.php?key=...&domain=irgendwas.ipv64.net&ip=<ipaddr>&ipv6prefix=<ip6lanprefix>
Die externe IPv6 der Fritte brauche ich nicht.