DeSec: DDNS dienst met DNSSEC ondersteuning

[Atmikes]

@Briolet : deze zonet ontdekt, ondersteunen DNSSEC + DANE en ook de let's encrypt certificaten -> https://desec.io/#!/en/

en nog gratis ook 

[Briolet]

Ziet er leuk uit. Het is geen ddns service die in de nas voorgeprogrammeerd is. Met DSM 6.0 kon je geloof ik nog een custom provider via de GUI toevoegen. Dat kan nu niet meer. Het toevoegen gaat nu alleen nog via editten van de "/etc.defaults/ddns_provider.conf file" file.

[Briolet]

Ik zie op het Duitse forum ook een vermelding over desec.io plus methode om dit op de nas werkend te krijgen. Een draadje uit 2015, dus zo lang bestaat die dienst in elk geval al.

[Atmikes]

Ik heb voor de RT2600 nog een router hangen die voor de digitale tv dient en die ondersteund wel een custom setup dus via daar zou ik een mooi alternatief hebben.

Mijn idee was dat je dit in een vroegere versie van DSM ook kon maar mogelijk is het enkel in mijn hoofd zo

[Briolet]

Dat zit niet alleen in je hoofd. Zie dit screenshot van het DDNS menu van Synology om dit in te stellen.
Waarschijnlijk riep dit te veel vragen op bij de gemiddelde gebruiker. Nu moet je dit alles in de conf file instellen.

[Atmikes]

Dat was inderdaad het scherm, ik begrijp de keuze ergens wel om dit af te schaffen, mogelijk kregen ze hiervoor veel support tickets

[Briolet]

Ik heb het eens getest allemaal.

1) Bij desec.io een domeinnaam aangevraagd. Kwestie van naam en e-mail adres invullen. Per omgaand krijg je een mail terug met een aantal linkjes. In een van de laatste linkjes kun je direct de domeinnaam activeren in de browser en hij werkt dan onmiddellijk.

2) Voor de auto update via de nas voeg ik het volgende record toe aan bovenstaande conf file

Code: [Selecteer]

[DeSec.io]
        modulepath=DynDNS
        queryurl=https://update.dedyn.io/username=__USERNAME__&password=__PASSWORD__
Hierna staat deze ddns dienst ook in het Synology lijstje. (Ik moest wel even zoeken want de volgorde is anders dan in de conf file.)
De hostnaam en gebruikersnaam zijn beide je nieuw ddns-domeinnaam. Het wachtwoord staat in de mail.

En dan testen:



Synology zal ook deze naam blijven updaten. Als ik mijn eigen domeinnaam via een CNAME aan deze ddns naam koppel moet ik ook de DNSSEC bescherming hebben . (Nog niet getest)

[Briolet]

Nu ook getest. De desec.io naam geeft nu:



De synology naam geeft



Echter, met mijn eigen domeinnaam van hostnet met een CNAME naar desec.io geeft ook een fail. 

Moet ik verder bekijken, want hostnet ondersteunt tegenwoordig DNSSEC. Zonder CNAME maar met mijn IP zelf bij hostnet, krijg ik wel een DNSSEC pass.

[Briolet]

Ik zag net dat de ddns verbinding verbroken was:



In het log zie ik dat dit sinds de dsm update het geval is. Een blik in de config file laat zien dat die door de update overschreven is. Ik heb de verandering weer toegevoegd. Gelukkig was deze ddns voor mij slechts een test en gebruik ik hem niet.

Heeft iemand een idee of dit ook elders aan te passen is? Vroeger kon je via de GUI een eigen provider toevoegen. Dat ging via dezelfde string die ik nu in de algemene conf file gezet heb. Is die oude custom file er nog en aktief?

NB. Er bestaat ook een lege file "/etc/ddns_provider.conf", maar het daar in zetten werkt niet. (Kon zijn dat hij achter de default conf in "/etc.defaults/ddns_provider.conf" geplakt werd bij het inladen.)

[Briolet]

Ik kreeg vandaag het volgende mailtje van de DDNS dienst:

We noticed that the above domains have not received a DNS update
during the last 6 months. As our dynDNS service is intended for domain
names with changing IP addresses, active users are assumed to update
their domain records regularly.

Als ik in het log van de nas kijk, wordt deze DDNS dienst nog dagelijks geüpdate. Misschien een fout bij deze dienst waardoor deze mail per abuis verstuurd is? Zijn er andere gebruikers van deze dienst?

Ik had hem indertijd in gebruik genomen omdat de Synology DDNS geen DNSSEC ondersteunt. Mijn eigen domein hoster ondersteunt ook DNSSEC en via CNAME naar deze dienst  van DeSec wordt mijn domein ook als DNSSEC proof gezien.

En even gekeken: De Synology dienst ondersteunt nog steeds geen DNSSEC.