Går og lejer med tanken om at få mig et domænenavn som jeg kan bruge til emails, home server og måske en lille simpel offentlig hjemmeside med lidt oldschool html. Lige nu bruger jeg bare Duckdns og så vpn og ip adresser til alt mit home server, men det ville være fedt hvis jeg kunne få sat traefik op med noget reverse proxy til mine containere.
Jeg er ved ikke rigtig hvor jeg skal starte med at købe domænet. Har læst mig til at webhosting.dk skulle være stedet for domæner til indkøbspris og så bruge Cloudflare til DNS men aner ikke om det er den rigtig vej at gå for mig?
Det skal helst bare være så simpelt som muligt. Er det ikke noget med at man kan koble sit domæne på sin Gmail så man bruger Gmails servere, men med sit eget domæne? Igen så er jeg helt grøn på det her område og mangler lidt en god solid guide at starte med som gennemgår køb af domænet, ssl og lets incrypt etc.
Håber der er nogen herinde som kan hjælpe mig igang.
Du køber dit domæne, og får det styret et sted som understøtter Let’s encrypt DNS (lego listen). Det er din eksterne DNS.
I den eksterne DNS peger du server.domæne.dk med en A til din ip.
Bagefter peger du de services du vil have eksternt med CNAME til server.domæne.dk. F.eks. jellyfin.domæne.dk CNAME -> server.domæne.dk
Hjemme hos dig selv, konfigurerer du NAT i din router, til at føre alt på port 443 (SSL) til din server.
Så kan du bruge nginx proxy manager (f.eks.) til at pege jellyfin.domæne.dk til den service - måske i docker, måske på en anden computer.
Du har måske samtidig en Pi-Hole til at blokere for trackere og reklamer på dit netværk. Den er din interne DNS.
I pi-hole sætter du en DNS regel op, som hedder intern.domæne.dk (A) og peger den på din server også.
Derefter sætter du i Pi-hole en CNAME regel op, med den service som kun skal være på dit interne netværk.
radarr.domæne.dk CNAME -> intern.domæne.dk
Fordi du har nginx proxy manager sat op med Let’s encrypt DNS challenge så vil den kunne skaffe et SSL certifikat til en service som kun har et rigtigt navn internt på dit netværk.
Så skal du ikke huske IP adresser eller porte når du tilgår dine services, og de vil allesammen kunne have et godt navn, med SSL. Mange services kræver SSL for at virke ordentligt. Der er en masse sikkerheds-ting i browsere som kun virker når der er SSL.
Det eneste du skal gøre for at eksponere en service, er at tilføje CNAME til den i din eksterne DNS.
----- DISCLAIMER ----- Du skal dog huske, at du har din server tilgængelig på nettet med IP adresse. SSL certifikater er ikke hemmelige. Så når du beder om et certifikat til radarr.domæne.dk, så vil det fremgå på en liste på nettet, og spammere og hackere vil prøve at få adgang til din service.
Når du “kun” skjuler dine interne ting ved ikke at eksponere dem med navn, så er de som sådan stadig tilgængelige, hvis man virkelig gerne vil have fingre i dem.
Du kan have 2 servere internt (evt. virtuelle), og have nginx proxy manager på begge. Den ene til offentlige ting, og den anden til interne. Så peger du din router på den eksterne, og den kan kun svare på de navne. Du peger Pi-hole på den interne, og så kan den kun svare på de navne.
På den måde kan man ikke så nemt snyde sig ind, ved f.eks. at lade som om at man kalder din server med et andet navn.
Altså: Hvis din nginx proxy manager kender navnene på både interne og eksterne services, så kan den snydes til at give adgang til de interne, ude fra.