Moin zusammen,
zugegeben: Recht spezielles Problem, aber vielleicht hat ja jemand eine Idee.
Gegeben ist ein sehr kleiner Kunde, der an einem privaten Glasfaser-Anschluss eines lokalen Anbieters hängt. Dort bekommt er Internet incl. IPv6-Adresse, was sich durch die Provider-seitig vorkonfigurierte Fritz!Box auch nicht ändern lässt. Immerhin konnten wir den Anschluss von DSLite auf "echte" WAN-IPv4 umstellen lassen, so dass eingehende IPv4-Verbindungen für Davids ActiveSync kein Problem mehr sind.
Da sich die IPv4 jedoch jede Nacht ändert, haben wir zur Verwendung des Let's-Encrypt-Zertifikats einen kleinen Umweg gebaut: Die Subdomain david.kundenname.xx verweist per CNAME auf einen dyndns-Host, letzterer wird durch die Fritz!Box automatisch aktualisiert. Direkt auf eine dyndns.org-Adresse lässt sich ja leider kein Zertifikat ausstellen (nachvollziehbar).
Ein wenig wuselig, aber es funktioniert. Zumindest bisher, denn plötzlich (vermutlich Provider-seitige Umstellung) aktualisiert die Fritz!Box bei dyndns nicht nur die IPv4, sondern gibt auch eine IPv6 an. Ein Problem ist das deshalb, weil bei der Anforderung des Zertifikats Let's Encrypt immer zuerst nach dem AAAA-Record schaut - dieser ist im konkreten Fall vorhanden, zeigt aber ins Nirgendwo. Nur wenn kein AAAA-Record anliegt, schnappt sich LE die IPv4 (A-Record) und kann das neue Zertifikat über den durchgeleiteten Port 80 ausstellen.
Ich müsste nun also entweder der Fritz!Box die Übermittlung der IPv6-Adresse abgewöhnen (geht nicht) oder bei dyndns.org die IPv6 deaktivieren (geht nicht, da kann ich den Eintrag lediglich manuell löschen). Ziemlich mühsam.
Schon klar, der Köngisweg wäre eine feste IP und ein "echter" DNS-Eintrag für die Subdomain. Aber der Kunde ziert sich, da dies nur in einem Business-Tarif möglich ist und es sich wie gesagt um einen ganz kleinen Laden (2 User) handelt.
Habt ihr eine andere Idee für dieses Problem? Mir ist bekannt, dass dyndns.org sowieso den Dienst bis 2022 einstellt, von daher wäre mir auch ein anderer Anbieter genehm. Gute Erfahrungen hab' ich mit Strato (da kann man bei einer Subdomain direkt einen dynamischen Eintrag setzen), wo mir bislang auch keine IPv6 übergeben wird - durchaus möglich aber, dass sich das irgendwann ändert, oder? Eine Einstellung, IPv6 explizit nicht zu übertragen, finde ich dort nicht.