Benötige Hilfe zum Thema SWAG/Nextcloud und Zertifikate

[hawihoney]

Wie sich bereits vor zwei Tagen ankündigte, habe ich große Probleme mit meiner seit Jahren mehr oder weniger unverändert laufenden Nextcloud Instanz. Ich fummele und surfe seit 1,5 Tagen rund um das Problem aber finde einfach keine Lösung. Das Problem kam auf einen Schlag ohne das auf meiner Seite etwas geändert wurde - glaube ich jedenfalls.

 

In Kurzform:

 

Der Zugriff auf meine Nextcloud Instanz funktioniert von außerhalb meines Netzwerks (Mobilfunk-Verbindung) einwandfrei. Es funktioniert auch einwandfrei von Windows Rechnern im lokalen Netzwerk (WLAN). Es funktionert aber von keinem Android Gerät im selben lokalen Netzwerk. Schalte ich auf den Android Geräten das WLAN ab, dann funktioniert alles. Schalte ich WLAN wieder an, dann klappt es wieder nicht mehr.

 

Ich vermute, dass es weder etwas mit dem Router, SWAG oder Nextcloud zu tun hat, bin mir aber nicht sicher und benötige Eure Hilfe.

 

Details:

 

Ich erhalte auf den Android Geräten im WLAN die Fehlermeldung "NET::ERR_CERT_AUTHORITY_INVALID". Diese Fehlermeldung erscheint sowohl im Browser beim Zugriff auf Nextcloud (Chrome), im File Browser beim Zugriff auf die DAV Ressource der Nextcloud Instanz, als auch in der Nextcloud App selbst.

 

Im Router, den ich auf Grund der funktionierenden lokalen Windows Rechner eigentlich ausschließe, ist im DNS-Rebind Schutz folgendes eingetragen:

 

****.myfritz.net
nextcloud.****.duckdns.org
plex.****.duckdns.org

 

Hier die Fehlermeldung im Screenshot:

 

Hier die Details zur Fehlermeldung:

 

Die beiden folgenden Screenshots zeigen die Details zu den verwendeten Zertifikaten. Die Screenshots überlappen ein wenig. Wie Ihr sehen könnt sind m.M.n alle relevanten Zertikatspfade aufgeführt:

 

Hätte Ihr eine Idee?

 

Nachtrag 01: Zeilen wie diese finde ich im SWAG/nginx log sobald DAVX von den Android Devices versucht auf DAV Kalender/Kontakte der Nextcloud zuzugreifen. Es wird Multistatus 207 retourniert. 2xx klingt zunächst gut, DAVX meldet aber für alles einen Fehler:

 

xxx.xxx.xxx.xxx - **** [15/Mar/2022:18:51:10 +0100] "PROPFIND /remote.php/dav/calendars/****/geburtstage_shared_by_****/ HTTP/1.1" 207 444 "-" "DAVx5/4.1.1-gplay (2022/02/01; dav4jvm; okhttp/4.9.1) Android/10"

 

Vielen Dank im voraus.

 

Edited March 16, 2022 by hawihoney

[alturismo]

sieht ja nur nach cert Fehler aus, zum Spaß, hol mal den rebind Schutz für NC raus, sollte dafür eigentlich nicht benötigt werden ...

 

wenn da was dahinter über die lokale Adresse läuft passt das cert nicht mehr, wäre das einzige was mir dazu einfällt ...

 

Gleiches gilt für Plex, da braucht es das normal auch nicht aber jetzt mal egal.

 

es gab auch mal diesen Fehler mit einer beta version, aber ich denke da hast du nichts mit gemacht ...

[hawihoney]

2 hours ago, alturismo said:

hol mal den rebind Schutz für NC raus

 

Hab ich eben gemacht und den Router auch noch neu gestartet. Das hat nichts an der beschriebenen Situation geändert.

 

Durch Zufall habe ich eben gesehen, dass ich nicht mit http://tower auf meinen Server komme. Ob das auch damit zusammenhängt?

 

[alturismo]

5 minutes ago, hawihoney said:

http://tower auf meinen Server komme. Ob das auch damit zusammenhängt?

 

nur wenn dein swag im bridge oder host mode laufen würde, ansonsten ... wobei "gesund ist es nicht"

[hawihoney]

1 hour ago, alturismo said:

nur wenn dein swag im bridge oder host mode laufen würde, ansonsten ... wobei "gesund ist es nicht"

 

SWAG läuft seit Jahren im Bridge Mode. Hab allerdings nie probiert mit "http://Tower" - hab in all meinen Lesezeichen die IP Adresse.

 

Selbst wenn ich in der Fritzbox auf den Namen klicke kommt irgendwann der Zugriff über die IP-Nummer.

 

Wieso ist das nicht gesund? Hab ich ein Problem, und wenn ja, was könnte es sein.

 

Habs gefunden. In Chrome war Cloudflare mit 1.1.1.1 bei der benutzerdefinierten Einstellung aktiv. Das habe ich umgestellt und schon läuft zumndest die Namensauflösung von Tower wieder:

 

 

Edited March 16, 2022 by hawihoney

[jj1987]

Ich habe dasselbe Problem mit den neuen Wildcard Zertifikat in rc3.

Die Chrome Fehlermeldung klingt aber ja eher so, als ob der Aussteller nicht akzeptiert wird

4 hours ago, hawihoney said:

NET::ERR_CERT_AUTHORITY_INVALID

Habe es bislang noch nicht in einem anderen Browser getestet. Habe aber die Vermutung es hängt irgendwie mit Chrome, lets encrypt und vielleicht noch Duck DNS zusammen.

16 minutes ago, hawihoney said:

Nachtrag 01: Guck Dir mal den Screenshot an: CMD macht die Namensauflösung, Chrome aber nicht. Was ist das?

Was passiert denn in Chrome wenn du dort (wie bei cmd) tower.fritz.box eingibst?

[hawihoney]

6 minutes ago, jj1987 said:

Was passiert denn in Chrome wenn du dort (wie bei cmd) tower.fritz.box eingibst?

 

Hatte in CMD nur tower eingetragen. CMD hat das dann selbst durch tower.fritz.box geändert.

 

Bin seit 2 Tagen mehr oder weniger permanent an meinem Nextcloud Problem dran. Bin sehr schnell im Ändern und Ausprobieren, deshalb hat sich das mit der Namensauflösung schon mal erledigt (siehe Edit im vorherigen Post). Ich hatte Cloudflare 1.1.1.1 als Secure DNS eingetragen. Hab das wieder auf Telekom gesetzt und schwupps läufts wieder. Diese Cloudflare Änderung liegt allerdings ein Jahr oder so zurück. Aber jetzt erst hatte es Auswirkungen. Ich tippe wie Du schwer auf Chrome ...

 

Vielen Dank.

 

Edited March 16, 2022 by hawihoney

[hawihoney]

Ich kann noch etwas Info nachschieben:

 

Am selben Androidgerät habe ich nacheinander folgende Szenarien durchgespielt:

 

1.) Zugriff mit dem Browser über Mobilfunk auf meine Nextcloud Instanz läuft (hatte ich schon geschrieben).

 

2.) Zugriff mit dem Browser über Mobilfunk, und VPN auf den Router, auf meine Nextcloud Instanz läuft. Das finde ich befremdlich, denn eigentlich wird das Gerät somit Teil des lokalen Netzwerks.

 

3.) Zugriff mit dem Browser über WLAN auf meine Nextcloud Instanz läuft NICHT (hatte ich schon geschrieben).

 

Habe dann im WLAN mal den MI-Browser statt Chrome genommen. Damit läuft es ebenso nicht, aber die Fehlermeldung sagt etwas anderes aus. Es geht tatsächlich ums Zertifkat - was aber nur im WLAN mit Android Geräten ein Problem zu sein scheint:

 

 

Edited March 16, 2022 by hawihoney

[hawihoney]

Hatte zunächst mit Nextcloud aufgegeben. Ich bekomme das einfach nicht hin. Das lief unmodifiziert einige Jahre und jetzt nicht mehr.

 

Gestern habe ich dann versucht Nextcloud durch Google zu ersetzen, bis ich gemerkt habe, dass deren Kalender nicht so funktioniert wie wir das handhaben - viele Kalender freigegeben und bei anderen integriert.

 

Als letztes habe ich jetzt VPN auf den Android Devices als Always-On von intern zum eigenen Router konfiguriert. Dann funktioniert Nextcloud wieder.

 

Was für ein Mist.

 

Edited March 17, 2022 by hawihoney

[mgutt]

Wenn Nextcloud lokal nicht geht, klingt das für mich so als würde etwas in deinem Netzwerk die IP von der Domain ändern. Kannst du mal eine ping App auf dein Android laden und die IP der Domain prüfen?

 

Haben die Androiden bei den WLAN Einstellungen evtl benutzerdefinierte DNS hinterlegt?

[hawihoney]

13 hours ago, mgutt said:

Haben die Androiden bei den WLAN Einstellungen evtl benutzerdefinierte DNS hinterlegt?

 

Das steht auf "Automatisch" sollte somit über meinen Provider gehen.

 

13 hours ago, mgutt said:

Wenn Nextcloud lokal nicht geht, klingt das für mich so als würde etwas in deinem Netzwerk die IP von der Domain ändern. Kannst du mal eine ping App auf dein Android laden und die IP der Domain prüfen?

 

Oh, Gott. Beim nächsten Besuch bekommst Du auf jeden Fall ein Bier von mir:

 

Habe ein IP-Tool installiert und einen Ping auf meine Nextcloud Adresse gemacht "nextcloud.********.duckdns.org". Da kommt dann eine IPV6 Adresse. Hab dann gleich noch ein Traceroute hinterhergeschoben und siehe da, das läuft alles über IPv6. Dabei arbeite ich überhaupt nicht mit IPV6.

 

In der Fritzbox sehe ich, dass IPv6 aktiviert ist. Das habe ich deaktiviert und schwupps läuft wieder alles.

 

Dein Tipp mit dem IP-Tool auf einem Android Gerät war Gold wert.

 

Vielen Dank.