Einrichtung von SWAG klappt nicht - Fritzbox


Fenris

Recommended Posts

1 hour ago, Fenris said:

Portfreigabe im Router eingetragen

Wenn du den Port 180 durchleitest, dann wird deine Nextcloud öffentlich auch nur über IP:180 bzw DDNS:180 zu erreichen sein. Dann könntest du dir aber gleich den ganzen Aufwand mit Subdomains sparen. Man will ja Port 443 (https) auf den Server forwarden und der Proxy erkennt an Hand der Subdomain welcher Container geladen werden soll.

  • Thanks 1
Link to comment

Hallo mgutt.

 

Danke für den Hinweis. Kriegsentscheidend ist er allerdings nicht, da ich nicht die DuckyDNS verwenden möchte und ohnehin wieder raus werfe.

 

Wenn ich Dich richtig verstanden habe, soll ich nur die https Variante im Router weiterleiten bzw. einstellen. Das sollte auch nicht das Problem sein.

Habe ich eben auch versucht. Ergebnis ist allerdings auch hier das es nicht will :/

 

Im Endergebnis soll es über meine eigene Subdomain laufen. (Registrar = INWX und eine DynDNS ist mit dabei die auch funktioniert)

Aber auch hier wenn ich den DNS Eintrag erstellt habe und die Subdomain einmal mit A und einmal mit CNAME und der Weiterleitung im Router erstellt habe, klappt es mit Swag auch nicht.

 

Das zerrt langsam etwas an den Nerven :)

 

MfG

Link to comment
20 minutes ago, Fenris said:

Kriegsentscheidend ist er allerdings nicht

Ja doch. Noch mal. https hat den Port 443. Wenn Du nun auf der Fritz!Box Port 180 und 1443 freigibst, dann erreicht man den Unraid Server öffentlich nur über https://subdomain.deinedomain.de:1443/ oder http://subdomain.deinedomain.de:180/ und nicht über https://subdomain.deinedomain.de, was aber eigentlich dein Ziel ist.

 

 

 

Lokal könnte es gehen, aber da ist die Frage ob der Server weiß was er mit Port 443 anfangen soll. Das hängt aber davon ab wie der Port in SWAG konfiguriert wurde. Wie lauten deine SWAG Einstellungen?

 

Also. Du kannst den Nextcloud-Container wie folgt erreichen, korrekt?

http://192.168.178.37:180/

https://192.168.178.37:1443/

 

Du kannst ihn auch so erreichen?

http://blabla.duckdns.org:180/

https://blabla.duckdns.org:1443/

 

Und was ist passiert hier?

http://blabla.duckdns.org/

https://blabla.duckdns.org

 

Die Port-Freigaben in der Fritz!Box können jedenfalls wieder raus. Da gehört nur 443 (https) rein. Bedenke aber und das sollte jeder testen, der sowas macht, dass man den Unraid-Server, also dessen GUI evtl öffentlich erreichbar macht, was man niemals machen sollte! 

 

Alternativ zu SWAG könntest du übrigens auch Nginx Proxy Manager testen. Der hat sogar eine GUI.

  • Thanks 1
Link to comment

@mguttErst einmal Danke das du hier deine Zeit verballerst für mich (und das an einem Sonntag)

 

Okay, habe jetzt noch einmal alles raus geworfen (nicht das ich hier Löcher schaffe, so groß wie Scheunentore).

Danke für den Hinweis.

Vielleicht zäume ich den Gaul auch von der falschen Seite auf.

 

Vielleicht noch einmal von vorne.

Nextcloud ist installiert und lokal klappt alles.

Lokal erreiche ich Nextcloud über https://192.168.178.37:444 (hier komme ich auf die Login Seite)

Es wurde darauf hingewiesen das man 443 nicht nutzen sollte, daher habe ich es so getan wie beschrieben.

grafik.thumb.png.1b348b62f39dda7778b897d46091ee5c.png

 

Jetzt vielleicht gleich mit der Variante mit der es auch laufen soll in Zukunft.

Habe bei meinem Registrar DynDNS aktiviert und ein Konto dafür angelegt.

(Beispielname: freiwählbarername.meinedomain.de)

Dazu Username und Passwort.

 

Wenn ich in den DNS Einstellungen meiner Domain nachsehe habe ich nun einen A Eintrag auf freiwählbarername (freiwählbarername Typ A Wert xxx.x.x.x)

 

In der Fritzbox habe ich jetzt unter Internet->Freigaben->DynDNS die Daten von INWX eingetragen (DynDNS Anbieter: Benutzerdefiniert, Update URL: von INWX eingetragen, Domainname: freiwählbarername.meinedomain.de, Benutzername und Passwort)

 

In der Fritzbox habe ich jetzt nur noch wie empfohlen unter Internet->Freigaben->Portfreigaben für das Gerät (in diesem Fall ja Unraid in meinem Netzwerk) die Freigabe HTTPS und 443 freigegeben.

 

SWAG habe ich noch einmal gelöscht (Docker) und unter appdata auch den hier erstellten Ordner.

 

Soweit okay?

Wie sollte es weiter gehen?

 

MfG

 

Link to comment
2 hours ago, Fenris said:

Es wurde darauf hingewiesen das man 443 nicht nutzen sollte, daher habe ich es so getan wie beschrieben.

 

Das ist korrekt. Lokal bleibt der Container über einen "fremden" Port erreichbar. Alle Anfragen von "außen" sollen dagegen auf dem Proxy Container über die 443 (https) landen. Der entscheidet dann wohin die Anfragen geroutet werden sollen.

 

2 hours ago, Fenris said:

Wenn ich in den DNS Einstellungen meiner Domain nachsehe habe ich nun einen A Eintrag auf freiwählbarername (freiwählbarername Typ A Wert xxx.x.x.x)

 

Gut, dann prüfe lokal per Ping ob diese Subdomain wirklich auch auf diese IP auflöst.

 

2 hours ago, Fenris said:

In der Fritzbox habe ich jetzt unter Internet->Freigaben->DynDNS die Daten von INWX eingetragen

Genau. Die Fritz!Box aktualisiert jetzt jedes mal, wenn dein Anschluss eine neue IP bekommt auch den DNS Eintrag beim Anbieter. Könntest du sogar testen, in dem du kurz die Verbindung neu aufbauen lässt und dann nach ca 10 Minuten wieder einen Ping auf die Domain machst. Die sollte dann die neue öffentliche IP anzeigen.

 

2 hours ago, Fenris said:

die Freigabe HTTPS und 443 freigegeben.

 

Moment. Jetzt kommt es auf den Container an. Ich würde dir jetzt den Nginx Proxy Manager empfehlen. Machen wir es erstmal ohne SSL. Du installierst den Proxy Manager, aber ändere dabei den WebUI Port auf 8181, denn der Verwalter von dem Template hat leider einen kleinen Fehler eingebaut. Diese beiden Ports müssen 8181 sein:

836696856_2021-01-1716_49_27.png.c8f40425ee5b19777b3788038a73cbe1.png

 

Nun gibst in der Fritz!Box diese beiden Ports an deinen Unraid Server frei:

443 -> 18443

80 -> 1880

 

Beispiel:

1053941688_2021-01-1717_17_55.png.dc6198289e98a7b586e7796b6bec37ab.png

 

Auf diesen beiden Ports lauscht nun der Proxy Manager. Du startest die WebGUI des Proxy Managers und nutzt diese Standard-Login-Daten:

Email: [email protected]

Password: changeme

 

Du wirst nach dem Login gezwungen die Daten zu ändern, was du natürlich machst.

 

Jetzt legst du bei Proxy Hosts den Eintrag an:

30409867_2021-01-1718_12_40.png.af4c25b740003650ace26962c19a299e.png

 

Wichtig ist wie du siehst:

- beide müssen im gleichen "Network" sein, also "bridge"

- im Proxy Manager gibst du die externe IP des Nextcloud-Containers und dessen Port an

 

Nun solltest du Nextcloud wie folgt aufrufen können:

http://nextcloud.deinedomain.de/

 

Also http nicht https, da wir ja jetzt erst mal nur mit Port 80 testen.

 

Nextcloud sollte sich nun beschweren, weil die Domain nicht in der Config freigegeben ist. Korrekt?

 

Nun installierst du dir über Apps den Config Editor und bearbeitest die /config/config.php des Nextcloud-Containers, so dass auch die Domain für den Zugriff erlaubt ist:

796884709_2021-01-1718_16_09.png.4439870d85a7156685898845a10a8402.png

 

Jetzt wird Nextcloud auch mit deiner Domain laden:

940095410_2021-01-1718_17_54.png.30335fe61ad45b98da9b54845800802f.png

 

Damit haben wir nun http, also den unverschlüsselten Zugang zum Nextcloud-Container geschafft. Nun können wir https aktivieren. Wieder den Nginx Proxy Manager öffnen, den Proxy Host bearbeiten und auf den Tab "SSL" wechseln. Dort trägst du nun deine E-Mail-Adresse ein und aktivierst "Force SSL":

1124349809_2021-01-1718_56_02.png.93524e82f63a78dc7b143c8b8be384ab.png

 

Abspeichern und nun kannst du Nextcloud auch per https erreichen:

https://nextcloud.deinedomain.de/

  • Thanks 1
Link to comment

Okay Step by Step.

 

Ich habe jetzt einmal die IP (also der Wert der hinter dem A Eintrag in den DNS Einträgen bei INWX steht) getestet.

Das scheint schon einmal geklappt zu haben. Habe es statt der IP auch einmal mit dem kompletten Namen versucht also suddomain.domain.de. Auch geklappt.

grafik.png.999ccfca34caf33ab1edb225b1620f77.png

 

Wenn ich die Subdomain im Browser aufrufe komme ich aktuell auf eine Loginseite meiner Fritzbox mit Benutzernamen und Kennwort (normal muss ich da nur immer das Kennwort eintragen). Ich nehme an, das liegt daran das ich noch den Eintrag nicht aktualisiert habe?

 

Nginx Proxy Manager von DJOSS ist hoffe ich richtig? (Noch nicht erstellt, nur auf Install geklickt und auf dem gelandet)

Ich bin hier nur etwas verwirrt, da es bei mir anders aussieht als in deinem Screenshot:

grafik.thumb.png.cf88c88e329c364c14aa67b57ef4e97c.png

grafik.thumb.png.ad7ff39cb94a168c71ed9cac1c0f36f0.png

 

Bevor ich die nächsten Schritte mache wollte ich noch einmal nachfragen (lieber zweimal fragen als wieder murks zu bauen :) )

 

Also das obere WebUI wie in deinem Screenshot habe ich nicht. Soll ich dennoch den WebUI Port bei mir (über HTTP Port) auf 8181 ändern oder 7818 stehen lassen?

 

Und noch eine Frage nebenher. Ich habe nach diesen Anleitungen auch ein neues "Network" erstellt. Nextcloud ist allerdings auf Bridge und wenn ich nun die App NginxProxyManager nutze und es, wie Du schreibst auf dem gleichen liegen muss, häte ich mir diesen Part ein eigenes anzulegen wohl sparen können. Dann lass ich alles auf Bridge, dann sollte es passen, oder?

 

MfG

Edited by Fenris
Link to comment
38 minutes ago, Fenris said:

Wenn ich die Subdomain im Browser aufrufe komme ich aktuell auf eine Loginseite meiner Fritzbox

 

Dann ist keine Port-Weiterleitung aktiv. Sobald die Port-Weiterleitung aktiv ist, darfst du die Fritzbox nicht mehr sehen können. 

 

EDIT: Ich habe in der Anleitung nun auch den letzten Schritt mit der Aktivierung von SSL hinzugefügt.

  • Thanks 1
Link to comment

Kurzer Break. Ich bin noch nicht so weit, aber es wird. :)

 

Also ich konnte beim erstellen der nextcloud keinen Port 80 oder ähnliches eintragen, dass sieht so aus bei mir

grafik.thumb.png.4d82badd674087e1219ea5925175201a.png

 

Das erstellen des NginxProxyManager hat funktioniert wenn ich die 7818 stehen lasse, wie sie schon drin stand.

 

In der Fritzbox habe ich eingetragen, wie von Dir beschrieben:

grafik.png.79458ed2852994478d2a6a2ffe59d4ba.png

grafik.png.7fd0ed1b34a32ea45ad7d7a457defbdc.png

 

Im Nginx Proxy Manger habe ich jetzt einmal angelegt mit IP und Port die ich neben der Nextcloud sehe als https. (da ich kein http, sprich 80 oder 8080 sehe).

 

Um jetzt zu sehen ob das PortForwarding funktioniert habe ich einfach mal am Smartphone WLAN abgschalten und bin dann über LTE auf die nextcloud.meinedomain.de. (hoffe der Gedankengang war richtig um das zu testen).
Und jap, ich lande auf meiner Nextcloud (Also Nextcloud Logo und Hintergrund) mit dem Hinweis:
Zugriff über eine nicht vertrauenswürdige Domain, usw.

 

Soweit trotzdem alles richtig gemacht von meiner Seite?

Dann installiere ich jetzt noch diesen Config Manager und passe nach deiner Anleitung an? (CA Config Editor by Squid?)

 

MfG

 

Edited by Fenris
Link to comment

Ich lasse wohl keinen Fallstrick aus.

 

Unter Docker (Übersicht) finde ich

grafik.thumb.png.8461484e3160d526a927f2bf3ab81a1f.png

 

Also gehe ich davon aus das unter mnt/user/appdata/nextcloud auch die config zu finden ist wie von dir beschrieben.

 

Config Editor installiert und gesucht:

grafik.thumb.png.05f76378c64a92fb36b8da6dfacc449b.png

 

Kein Ordner oder Datei mit diesem Namen.

 

Eben noch einmal mit Filezilla verbunden und bestätigt:

grafik.png.e9f5cc84573ec338dd164e492171e190.png

 

Jetzt bin ich maximal verwirrt. Warum kann ich lokal zugreifen und auch einloggen und warum kann ich jetzt schon ohne alles auch quasi von außen drauf? (geht das auch ohne config?)

 

Muss ich jetzt eine per Hand erstellen? (bitte sag jetzt nicht "ja")

 

MfG

Link to comment
21 minutes ago, Fenris said:

Also ich konnte beim erstellen der nextcloud keinen Port 80 oder ähnliches eintragen, dass sieht so aus bei mir

 

 

Ja das ist ein anderer Nextcloud-Container. Ich hatte den Original Container von Hand installiert. Der ist nicht bei den Apps gelistet.

 

Beim Nginx Proxy Manager würdest du nun also nicht 8080 als Port eintragen, sondern 444.

 

22 minutes ago, Fenris said:

Um jetzt zu sehen ob das PortForwarding funktioniert habe ich einfach mal am Smartphone WLAN abgschalten und bin dann über LTE auf die nextcloud.meinedomain.de. (hoffe der Gedankengang war richtig um das zu testen).

 

Das funktioniert auch über das WLAN, weil die Domain ja auf die öffentliche IP aufgelöst wird. Dh die Anfrage geht zur Fritz!Box und wird dann "von außen" durch die Firewall zurückgeleitet. Das das überhaupt geht, hast du übrigens der Fritz!Box zu verdanken. Sie unterstützt "NAT Loopback". Das kann nicht jeder Router. Andere wären "verwirrt" und würden einen Fehler anzeigen, weil die öffentliche IP auf den Router selbst verweist und wüssten dann nicht wohin die Anfrage eigentlich soll ;)

 

25 minutes ago, Fenris said:

Dann installiere ich jetzt noch diesen Config Manager und passe nach deiner Anleitung an? (CA Config Editor by Squid?)

 

Genau.

  • Thanks 1
Link to comment

Ich weiß nicht ob das dass richtige ist:

https://blog.linuxserver.io/2016/07/28/installing-nextcloud-on-unraid/

Ziemlich weit unten und meine Variane wäre dann wohl die nextcloud.server.com

Wenn das hier die richtige Anleitung ist, dann wäre diese config also unter /cache versteckt?

Oder ist das etwas komplett anderes?

 

github habe ich auch heruntergeladen als .zip, da findet sich auch keine.

 

 

Also wenn ich mir die config.php ansehe wie dort beschrieben, dann sieht das ähnlich aus und ist es vielleicht auch

grafik.thumb.png.8c933435816685ac45196b6ae9560f86.png

 

Die findet man hier:

grafik.png.cdbadf0aac66e2289b366766e0ca84c6.png

 

Wenn ich das richtig verstehe müsste ich hier auch nur eine Zeile unter 0 => 'die IP' einfügen ?

Wenn das passt, dann im NginxProxyManager den eintrag auf https und port 444 eintragen und unter dem Reiter SSL noch einstellen wie von dir beschrieben?

Edited by Fenris
Link to comment
11 minutes ago, Fenris said:

Wenn ich das richtig verstehe müsste ich hier auch nur eine Zeile unter 0 => 'die IP' einfügen ?

Wenn das passt, dann im NginxProxyManager den eintrag auf https und port 444 eintragen und unter dem Reiter SSL noch einstellen wie von dir beschrieben?

 

Ja genau. Die Datei könntest du dann auch über den Config Editor bearbeiten. Das sollte dir eigentlich den Teil mit dem FTP Client ersparen ;)

 

PS Allgemeiner Tipp: Ich würde FTP bei Unraid nicht aktivieren. Der ist zu unsicher, weil der User wirklich auf alles des Servers zugreifen kann. Wenn dein PC mal gehackt wird, kann der Angreifer den ganzen Server platt machen. Besser nur SMB und ein paar Ordner freigeben. Appdata wäre zb ein Share, den ich niemandem freigeben würde. Am besten so tun als sei man selbst der Angreifer. Was kann man dann alles machen.

 

  • Thanks 1
Link to comment
47 minutes ago, Fenris said:

Jetzt bin ich maximal verwirrt. Warum kann ich lokal zugreifen und auch einloggen und warum kann ich jetzt schon ohne alles auch quasi von außen drauf? (geht das auch ohne config?)

 

Bei dem Absatz bin ich verwirrt ^^

 

Du hattest doch geschrieben, dass Nextcloud den Fehler anzeigt:

1 hour ago, Fenris said:

Und jap, ich lande auf meiner Nextcloud (Also Nextcloud Logo und Hintergrund) mit dem Hinweis:
Zugriff über eine nicht vertrauenswürdige Domain, usw.

 

Oder meintest du mit "auch einloggen", dass du über FTP auf den Nextcloud Ordner kommst? Das ist FTP läuft direkt über Unraid. Hat also nichts mit Nextcloud zu tun.

Link to comment

Ja, meinte das einloggen.

Was Filezilla angeht habe ich mich via SFTP verbunden, nicht per FTP. (habe da noch nichts aktiviert oder eingestellt muss ich zugeben. War eher ein "Das kenne ich, mal sehen-Effekt" :)

 

Okay alles erledigt.

 

Wenn ich nun wieder via Smartphone (ohne WLAN) auf meine Subdomain gehe, komme ich nun auf meine Nextcloud und kann mich einloggen.

Auch ein sauberes Schloss davor und alle Infos passen.

Damit sollte der Part von außen also klappen.

 

Rufe ich am Rechner meine Subdomain auf lande ich aber immer noch auf dem FritzBox Login (habe zur sicherheit mal den Cache im Browser gelöscht und auch am Notebook meiner Frau probiert) ? (das leuchtet mir jetzt nicht ganz ein)

Link to comment
6 minutes ago, Fenris said:

Rufe ich am Rechner meine Subdomain auf lande ich aber immer noch auf dem FritzBox Login

 

Komisch. Ein Ping von diesem Rechner löst aber die Subdomain auf die öffentliche IP auf?

 

Hast du evtl den DDNS Service von der Fritz!Box selbst auch aktiv? Keine Ahnung ob die sich gegenseitig "stören".

 

Gilt das bei http und https? Auch bei einem Inkognito Tab?

Link to comment
15 minutes ago, Fenris said:

Was Filezilla angeht habe ich mich via SFTP verbunden, nicht per FTP.

 

Ich meinte mit unsicher nicht die Verschlüsselung der Verbindung, sondern dass du wirklich jeden Ordner auf dem Server über FTP sehen, verändern und löschen kannst. Wenn du einen Trojaner auf deinem PC hast, freut der sich über so umfangreiche Zugriffsrechte auf deinem Server. Beispiel: er installiert innerhalb deines Nextcloud Containers eine php-Datei, womit er sich über das Internet weiter verbreiten kann. Und das wäre noch das geringste Übel ;)

Link to comment

Ja, das sieht gut aus

grafik.png.c2f50ce7a4a5378a8b0b7630c4c59f7a.png

 

Ja. Auch wenn ich es ausschreibe im Browser und Inkognito (also privater Tab im Firefox) passiert es auch noch.

 

Nein keine Fritzbox eigenen Dienste dazu aktiviert und auch nicht über Internet-Freigaben

Internetzugriff auf die FRITZ!Box über HTTPS aktiviert

Diese Option ermöglicht den Zugang auf die FRITZ!Box aus dem Internet. Zugang haben alle FRITZ!Box-Benutzer, denen im Menü "System > FRITZ!Box-Benutzer" das Recht "Zugang auch aus dem Internet erlaubt" eingeräumt wurde. Bitte beachten Sie bei dieser Einstellung unsere Hinweise für sichere Kennwörter.

Also das ist nicht aktiviert. (kein Haken drin)

 

 

Edited by Fenris
Link to comment
7 minutes ago, Fenris said:

Ja, das sieht gut aus

 

Tut es das? Also ist die angezeigte IPv6 deine öffentliche IPv6 bzw hast du für die Subdomain überhaupt einen IPv6 DNS Eintrag? (AAAA). Ich habe in der Fritz!Box IPv6 deaktiviert, weil mir das sonst zu kompliziert wird.

 

14 minutes ago, Fenris said:

Ich weiß zwar nicht was der DDNS Service ist

Bei der Fritz!Box ist das der "Fernzugriff". Dadurch erhält die Box eine blabla.myfritz.net Adresse. Ich tippe als Ursache aktuell aber auf IPv6. Prüfe das erst mal.

Link to comment

Eben noch einmal in den DNS Einträgen bei INWX nachgesehen.

Jap da stehen beide Einträge drin einmal einer mit A und einer mit AAAA.

 

Auch gerade noch einmal die IP mit Ping probiert und die IPv6 Nummer. Bei beiden sieht das gut aus. 4 von 4.

 

Ich werde mal etwas stöbern ob ich dazu noch etwas finde. Brauche ich vielleicht noch einen Eintrag mit CNAME ? (wobei ich dann nicht wüsste welchen Wert ich eintragen soll)

 

Aber für heute mache ich erst einmal Feierabend, sonst habe ich die Scheidungspapiere auf dem Tisch :)

 

Herzlichen Dank mgutt!

 

Melde mich morgen wieder.

 

MfG

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.