[SOLVED] DynamicDNS, Hetzner wechselt API

[konrad63897]

Hallo und guten Tag,

Hetzner integriert die "DNS Console" in die "Hetzner Console" und damit ändert sich auch das API.
(https://docs.hetzner.com/dns-console/dns/general/faq/)

Wenn man nun eine Migration einer Domäne in die "neue" Console vornimmt, funktioniert das DNS-Update
per os-ddclient (Service: Hetzner DNS Console) nicht mehr, da das API über eine andere URI zu erreichen ist.
alt: dns.netzner.com/api/v1/
neu: api.hetzner.cloud/v1/

Hat da vielleicht jemand schon eine Idee dazu, oder sollte man besser auf die Kollegen vom os-ddclient warten?

Gruß,
Stefan

[JeGr]

Hat da vielleicht jemand schon eine Idee dazu, oder sollte man besser auf die Kollegen vom os-ddclient warten?

Hängt davon ab, was nutzt du denn aktuell um DDNS zu machen?
Ansonsten haben die meisten Plugins ja "Custom" Varianten, wo man einfach die neue API entsprechend reinwerfen kann.

Cheers

[konrad63897]

Danke für Deine Antwort!

Hängt davon ab, was nutzt du denn aktuell um DDNS zu machen?

Nun das plugin os-ddclient mit dem "Service" "Hetzner DNS Console".

Das "custom" kann man zwar mit den aktuellen Werten füttern wird aber nicht zum Erfolg führen. Bei der Hetzner API läuft es scheinbar etwas anders, soweit ich verstanden habe muss man erst eine ID abfragen die man dann benötigt um den DNS Eintrag updaten zu können, also mindestens eine zweistufige Abfrage, das leistet der "custom" Eintrag nicht. Der custom geht auf <URI>/nic/update?.... Das kann die Hetzner API nicht interpretieren.

Gruß,
Stefan

[konrad63897]

Nachtrag, habe noch was gefunden:

https://github.com/ddclient/ddclient/pull/852
(Added support for new Hetzner Cloud Api)

Weiß jemand wie lange es erfahrungsgemäß dauert bis es so ein Pull letzlich ins Opnsense Repo schafft?

Danke und Gruß,
Stefan

[meyergru]

Das ist leider nur die Spitze des Eisbergs...

1. Es geht eigentlich nicht um os-ddclient, sondern um ddclient selbst. Der muss erstmal angepasst werden und einen neuen Service-Typ bekommen, ehe man es in os-ddclient integrieren kann und es dann - danach - in OpnSense bekommt.

2. Neben os-ddclient/ddclient ist auch os-acme/acme.sh betroffen, wo die Hetzner-API für DNS-01 challenges verwendet wird.

3. Ab voraussichtlich 10.11.2025 werden in der alten DNS-Console keine neuen Domains mehr akzepiert. Das ist viel zu knapp, um die Tools ddclient und acme.sh zu ändern und in OpnSense zu integrieren.

Siehe:

https://forum.hetzner.com/index.php?thread/32203-neue-dns-verwaltung-in-der-hetzner-console-startet-in-die-beta-phase-new-dns-man/&postID=310247#post310247

https://github.com/ddclient/ddclient/issues/855

Für ACME.sh habe ich noch nichts gemacht, mal sehen, was Hetzner dazu sagt...

[konrad63897]

Danke für Deine wichtigen und zusätzlichen Infos.

Das habe ich mir schon gedacht das das Ganze ein wenig *intensiver* wird und zeitlich gar nicht zu bewerkstelligen ist bis zum genannten Termin.
Na dann schauen wird doch mal was da auf uns zukommt ...

Danke und Gruß,
Stefan

[JeGr]

Das "custom" kann man zwar mit den aktuellen Werten füttern wird aber nicht zum Erfolg führen. Bei der Hetzner API läuft es scheinbar etwas anders, soweit ich verstanden habe muss man erst eine ID abfragen die man dann benötigt um den DNS Eintrag updaten zu können, also mindestens eine zweistufige Abfrage, das leistet der "custom" Eintrag nicht. Der custom geht auf <URI>/nic/update?.... Das kann die Hetzner API nicht interpretieren.

Evtl. kann @meyergru da was aus seinem persönlichen Fundus erzählen, er hat ja schon mit dem DNS gekämpft ;) aber soweit ich das im Hinterkopf hatte war das IMHO so, dass die IDs wenn mal angelegt nicht mehr geändert werden. Somit musst du einmal deine ID für den A/AAAA Record rausholen, aber die ändert sich nicht, die kannst du also dann in den "Custom" Eintrag reinpacken und good2go. ACME ist dann ein anderes Beast wenn da DNS-01 mit dran hängt. Autsch. Allerdings ist zumindest acme.sh eigentlich recht fix, mal DNS Provider zu ändern. Kann man aber nur hoffen.


Ich bin da aber auch mit den letzten Sachen in Punkto "Console" Umstellung, DNS, Mail und Support bei Hetzner weiter eher an dem Punkt, für DNS lieber was Anderes zu nutzen. Keine Werbung - weil kostet nichts - an der Stelle, aber wenn man die Domain via NS Einträgen woanders hin delegiert, sollte das bspw. zu deSEC zu schieben kein Thema sein. Ich hab meinen Kram mit dem ich DDNS & ACME spiele dahin gepackt, weil Verein, Fokus auf OSS, DNSSEC und Kompatibilität und ich habe mit dem Team schon ein zwei kleine Verbesserungen speziell für das Zusammenspiel mit den Sensen eingebaut.
Auch sowas wie v6 Prefix Update ist gerade in der Mache, damit man nicht mehrere v6 DNS Einträge einzeln ändern muss, sondern einmal für mehrere ein neues Prefix schicken kann - Adressbereich bleibt. Da wird viel gearbeitet und ausgebaut was Features angeht. Die machen da nicht nur DynDNS, da kannst du auch mal deine normale Domain sehr vernünftig parken.

Cheers!

[meyergru]

Also ich warte das Drama auch nicht ab und setze einfach statisch Aliases auf _acme-challenge für alle Domains.

Wenn Hetzner seine  APIs nicht stabil halten kann und derartige Probleme verursacht, muss ich ja ohnehin etwas tun, spätestens Mitte Mai, wie Hetzner jetzt sagt, weil dann die alte Konsole und API stirbt.

Wenn ich also sowieso etwas umstellen muss, will ich das gar nicht auf die lange Bank schieben und nutze gleich etwas Vernünftiges - in meinem Fall meinen eigenen DDNS (da weiß ich, was ich habe).

[Patrick M. Hausen]

Ich hab hier - aber ich habe ja auch statische Adressen - ebenfalls einen eigenen ACME-DNS Server. Hab ja schließlich den FreeBSD-Port gebaut.