Wer DynDNS-Dienste nutzt, um aus dem Internet auf sein Heim- oder Firmennetzwerk zuzugreifen, kennt die Wichtigkeit einer zuverlässigen IP-Aktualisierung. In meinem Fall habe ich Strato DynDNS im Einsatz, um meine Domain mit meiner wechselnden WAN-IP zu verknüpfen.

Bislang lief das über das UniFi Cloud Gateway Ultra (UDM / UDM Pro) – doch plötzlich funktionierte das Update nicht mehr. Hier ist meine Analyse, die Ursache und ein robuster Workaround über meine Synology NAS.

Fehleranalyse auf dem UniFi Gateway

Zunächst stellte ich fest, dass meine Subdomain (z. B. gate.demourl.com ) nicht mehr aktualisiert wurde.
Ein Update über den Browser funktionierte problemlos mittels „https://dyndns.strato.com/nic/update?hostname=“.

„Naja“, dachte ich mir, „dann mache ich DynDNS an Strato halt über die integrierte DDNS-Funktion meiner Synology.“ Fehlanzeige: Auch der integrierte DynDNS-Dienst der Synology konnte den Strato DynDNS-Eintrag nicht mehr updaten. Ich vermutete den Fehler nun zunächst bei Strato, da ja weder Synology, noch Ubiquiti die DynDNS-Einträge erneuern konnten.

Dann probierte ich noch eine rumliegende Fritzbox aus – und siehe da… Die konnte den Eintrag bei Strato updaten.

Ich analysierte das Log von inadyn per ssh auf dem UniFi Gateway:

inadyn: Certificate verification error:num=20:unable to get local issuer certificate
CN=Sectigo Public Server Authentication CA OV R36

Die Fehlermeldung zeigte deutlich:
🔒 Das Intermediate-Zertifikat der Zertifizierungsstelle fehlt auf dem UniFi-System.

Ich feuerte ein manuelles Update über Curl ab und erhielt eine Fehlermeldung die mich auf eine heiße Spur brachte. Da läuft was mit dem Zertifikat des Strato-DynDNS-Servers falsch:


Bei Curl kann man allerings mit dem Schalter „-k“ einen „insecure-Mode“ nutzen (also ohne Zertifikatsprüfung). Und siehe da, das funktionierte:

Ich schaute mir das Zertifikat des Strato DynDNS-Servers genauer an. Konkret: Strato verwendet seit Mitte Juli 2025 ein TLS-Zertifikat mit Zwischenzertifikat von
Sectigo Public Server Authentication CA OV R36, das nicht im Truststore des UniFi-Systems vorhanden zu sein scheint. Und anscheinend auch nicht im Truststore von Synology-Geräten.

Was bedeutet das in Laiensprache?


Anscheinend kennen weder die UDM/Cloudgateways, noch die Synology das zugehörige Intermediate-Zertifikat von Sectigo. Aber Strato hat keinen Fehler gemacht, die Zertifizierungsstelle ist zwar klein und unbekannt aber das Zertifikat funktioniert.
Synology und UDM oder Cloudgateway sagen: Oh da hat ein Server geantwortet, mit Zertifikat. Oh das Zertifikat klingt komisch. Das erkenne ich nicht an, ich kenne die Zertifizierungsstelle überhaupt nicht. Sowas ist aber voll unsicher, da sende ich keine Daten hin. Logmeldung CERTIFICATE INVALID.

Meldung an UniFi (Ubiquiti)

Ich habe den Sachverhalt an Ubiquiti über den offiziellen Support gemeldet und um Korrektur gebeten:
→ Entweder durch Aufnahme des fehlenden Intermediate-Zertifikats
→ Oder durch konfigurierbare CA-Verwaltung im inadyn-Client auf der UDM

Bis zu einer Lösung durch den Hersteller wollte ich jedoch eine eigene Alternative schaffen.

Workaround: DynDNS-Updates über Synology NAS

Da meine Synology NAS ohnehin 24/7 läuft, habe ich den Update-Mechanismus für Strato dorthin verlagert – mit einem sauberen Bash-Skript und intelligentem Verhalten, das nur bei einer IP-Änderung aktiv wird.

Das Skript: update-strato-ddns.sh

Das Skript holt sich die externe WAN IPv4 von ipify.org und schreibt diese in die Datei last_ip.txt.
Sobald sich die externe WAN IPv4 von der zuvor gespeicherten IP unterscheidet, wird per „Curl -k“ (-k schaltet die Zertifikatsprüfung ab) die neue WAN-Adresse an Stratos DynDNS-Infrastruktur gesendet. Alle Durchläufe werden im Log festgehalten.

#!/bin/bash
# Speicherort für die zuletzt bekannte IP-Adresse
IP_FILE="/volume1/Administration/DynDNS/last_ip.txt"
# Aktuelle öffentliche IP abrufen
CURRENT_IP=$(curl -s https://api.ipify.org)
# Abbrechen, wenn keine IP ermittelt werden konnte
if [[ -z "$CURRENT_IP" ]]; then
echo "$(date) - Keine WAN-IP ermittelt." >> /volume1/Administration/DynDNS/ddns.log
exit 1
fi
# Vorherige IP laden (wenn vorhanden)
if [[ -f "$IP_FILE" ]]; then
LAST_IP=$(cat "$IP_FILE")
else
LAST_IP=""
fi
# Nur bei Änderung die DynDNS-Aktualisierung ausführen
if [[ "$CURRENT_IP" != "$LAST_IP" ]]; then
echo "$(date) - WAN-IP hat sich geändert: $LAST_IP → $CURRENT_IP" >> /volume1/Administration/DynDNS/ddns.log
# DynDNS-Update bei Strato ausführen
curl -k "https://demourl.com:Password1234@dyndns.strato.com/nic/update?hostname=gate.demourl.com&myip=$CURRENT_IP" >> /volume1/Administration/DynDNS/ddns.log 2>&1
# Neue IP speichern
echo "$CURRENT_IP" > "$IP_FILE"
else
echo "$(date) - Keine Änderung der IP ($CURRENT_IP), kein Update." >> /volume1/Administration/DynDNS/ddns.logfi

Wenn Ihr Euch fragt, warum ich soviel Aufwand treibe und die IPs erst auf Änderung prüfe und nicht einfach alle 5 Minuten den Curl-Aufruf abfeuere: Weil ich damit auf die Schnauze gefallen bin. Nach 24 Stunden meldete der Strato DynDNS „abuse“ zurück und nahm auf diesem einfachen Wege von mir keine Änderungen mehr an. Weil ich ihm 24 Stunden lang alle 5 Minuten die gleiche IP-Adresse geschickt hatte.

Mit dem o.g. Script wird der DynDNS-Server nur einmal benachrichtig und zwar nur dann, wenn sich die WAN IPv4 geändert hat.

Einrichtung auf der Synology

  1. Verzeichnis anlegen unter dem das Script später abgelegt werden soll. Ich habe dafür eine neue Freigabe namens „Adminsitration“ und dem Unterordner „DynDNS“ erstellt. Der Pfad lautet also „
    /volume1/Administration/DynDNS/“
  2. o.g. Skript speichern unter
    /volume1/Administration/DynDNS/ update-strato-ddns.sh
  3. Aufgabe im DSM Aufgabenplaner einrichten:
    • Typ: Benutzerdefiniertes Skript
    • Benutzer: root
    • Intervall: Alle 5 Minuten
    • Skriptbefehl: /volume1/Administration/DynDNS/update-strato-ddns.sh

Ergebnis

  • Die öffentliche WAN-IP wird nur bei Änderung an Strato gemeldet
  • Keine „abuse“-Fehlermeldungen mehr
  • Updates sind sicher per HTTPS (Zertifikat wird bewusst ignoriert per -k , da Strato kein vollständiges Chain-File liefert)
  • UniFi bleibt unberührt und stabil

Fazit

Wenn dein UniFi Gateway (UDM, Cloud Gateway Ultra) oder Deine Synology Strato DynDNS nicht mehr aktualisieren kann, liegt das sehr wahrscheinlich an einem fehlenden Intermediate-Zertifikat. Bis Ubiquiti und Synology das Problem beheben oder Strato die Zertifikatskette sauberzieht, ist die Synology NAS eine ideale Plattform für den Update-Job – sauber, zuverlässig und anpassbar.

Quellen und Referenzen

https://ubiquiti-networks-forum.de/board/thread/9705-strato-dyndns-update-der-ip-erfolgt-nicht/?postID=154048#post154048

https://www.synology-forum.de/threads/ddns-bei-strato-funktioniert-von-heute-auf-morgen-nicht-mehr.139112/page-4