February 15, 20233 yr Hallo, ich habe nun seit einigen Monaten einen DynDNS-Dienst, Reverse-Proxy (SWAG) mit einigen Subdomains am Laufen. Dazu gehört Jellyfin, Nextcloud und Vaultwarden. Wenn ich das aktuell richtig einschätzen kann, funktioniert der Zugriff außerhalb meines Heimnetzwerkes auch noch weiterhin. Wenn ich aber innerhalb meines Netzwerkes auf einen der Server zugreifen möchte, bekomme ich die Fehlermeldung: Ich bin nicht sicher warum das heute erst aufploppt. Wie gesagt, es hat bisher immer funktioniert. Ich wollte nun also die drei Domains in besagte Konfiguration eintragen. Bekomme aber dann folgende Fehlermeldung: Ich bin nicht sicher, ob ich den Rebind-Schutz richtig konfiguriert habe. Ich weiß, ich muss nicht über die URL auf den Dienst zugreifen, würde es aber trotzdem gerne richtig konfiguriert bekommen. Habe ich irgendwo was falsch gemacht? Edited February 15, 20233 yr by Pete0
February 15, 20233 yr Community Expert FRITZ!Box nach den Einträgen neu gestartet? steht zumindest so in der Anleitung: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3565_FRITZ-Box-meldet-Der-DNS-Rebind-Schutz-Ihrer-FRITZ-Box-hat-Ihre-Anfrage-aus-Sicherheitsgrunden-abgewiesen/
February 15, 20233 yr Community Expert 29 minutes ago, Pete0 said: Wenn ich das aktuell richtig einschätzen kann, funktioniert der Zugriff außerhalb meines Heimnetzwerkes auch noch weiterhin. Getestet? Die Info wär schon wichtig. 30 minutes ago, Pete0 said: Ich weiß, ich muss nicht über die URL auf den Dienst zugreifen, würde es aber trotzdem gerne richtig konfiguriert bekommen. D.h. der Zugriff über die IP lokal funktioniert?
February 15, 20233 yr Author Just now, cz13 said: Getestet? Die Info wär schon wichtig. Ja, funktioniert definitiv. Alle 3 Docker habe ich mit meinem Smartphone getestet indem ich aus dem WLAN raus bin und über das Handynetz war alles erreichbar. Just now, cz13 said: D.h. der Zugriff über die IP lokal funktioniert? Jellyfin und Vaultwarden funktionieren. Wenn ich aber Nextcloud aufrufe (https://192.168.178.3:2443) lande ich aus irgendeinem Grund wieder auf der FritzBox und die von mir eingegebene IP wird durch den öffentlichen Domain-Namen ersetzt.
February 15, 20233 yr Community Expert 4 minutes ago, Pete0 said: https://192.168.178.3:2443) lande ich aus irgendeinem Grund wieder auf der FritzBox und die von mir eingegebene IP wird durch den öffentlichen Domain-Namen ersetzt. Du könntest mal den Browser Cache löschen bzw. einen anderen testen. geht statt https http://ip:port auch nicht?
February 15, 20233 yr Author 15 minutes ago, cz13 said: Du könntest mal den Browser Cache löschen bzw. einen anderen testen. Browser-Cache gelöscht und mit dem Edge getestet. Hat nichts gebracht. 15 minutes ago, cz13 said: geht statt https http://ip:port auch nicht? HTTP geht nicht. 400 Bad Request Was aber nach dem Browser-Cache-Löschen aber kommt ist die Meldung von Firefox, dass der Seite nicht getraut wird. Hier verstehe ich leider auch nicht warum das kommt. Zertifikate werden ja von SWAG automatisch erstellt via LetsEncrypt.
February 15, 20233 yr Community Expert 5 minutes ago, Pete0 said: Was aber nach dem Browser-Cache-Löschen aber kommt ist die Meldung von Firefox, dass der Seite nicht getraut wird. Wenn du dann hier auf erweitert und ich kenne das Risiko klickst, gehts dann?
February 15, 20233 yr Author Nein, es kommt wieder die Meldung, dass die FritzBox wegen dem DNS-Rebind-Schutz aus Sicherheitsgründen abgewiesen hat.
February 15, 20233 yr Community Expert Was hast du als DNS Server konfiguriert, die FRITZ!Box? Oder läuft bei dir sowas wie pihole oder adguard? Du könntest am Client zum Test temporär auch mal einen anderen DNS versuchen 1.1.1.1 z. B.
February 15, 20233 yr Author Da läuft ein Pihole. Ich glaube ich habe mehr oder weniger das Problem eingrenzen können. Beim Start von SWAG bekam ich diese Meldung: **** The following active confs have different version dates than the samples that are shipped. **** **** This may be due to user customization or an update to the samples. **** **** You should compare the following files to the samples in the same folder and update them. **** **** Use the link at the top of the file to view the changelog. **** ┌────────────┬────────────┬────────────────────────────────────────────────────────────────────────┐ │ old date │ new date │ path │ ├────────────┼────────────┼────────────────────────────────────────────────────────────────────────┤ │ 2022-09-22 │ 2023-02-09 │ /config/nginx/authelia-server.conf │ └────────────┴────────────┴────────────────────────────────────────────────────────────────────────┘ Für mehrere Datien. Auch für die Datei authelia-location.conf. Vor dem Update habe ich zum Glück eine Backup-Datei von dem funktionierenden Original erstellt. Als ich die Backupdateien der zwei authelia-Konfigurationen wiederhergestellt habe, hat es wieder funktioniert. Nur verwirrend ist, um sagen zu können an welcher der beiden es liegt habe ich die eine Datei von *.sample wieder zu *.conf umbenannt und neugestartet. Nach authelia-location.conf.sample -> authelia-location.conf: Alle Docker waren erreichbar. Also war ich mir sicher, dass es an authelia-server.conf liegen muss. Um das zu verifizieren habe ich also auch authelia-server.conf.sample zu authelia-server-conf umbenannt und SWAG wieder neugestaret. Ich habe erwartet, dass es wieder nicht funktioniert. Es funktioniert aber immer noch. 😫
February 15, 20233 yr Community Expert 9 minutes ago, Pete0 said: Nach authelia-location.conf.sample -> authelia-location.conf: Alle Docker waren erreichbar. Also war ich mir sicher, dass es an authelia-server.conf liegen muss. Um das zu verifizieren habe ich also auch authelia-server.conf.sample zu authelia-server-conf umbenannt und SWAG wieder neugestaret. Ich habe erwartet, dass es wieder nicht funktioniert. Vielleicht verstehe ich es gerade falsch: du hast den Inhalt der authelia-location.conf durch die authelia-location.conf.sample „ersetzt“ und es geht. Dann kann es doch gar nicht an der authelia-server.conf liegen🤔 Edit: und von einem Update war bisher nicht die Rede 😉 Edited February 15, 20233 yr by cz13
February 15, 20233 yr Author Wenn ich das richtig verstehe (ich musste googeln) ist Authelia ein Docker für 2-Faktor-Authentifizierung. Ich nutze diesen gar nicht, der Container ist nicht installiert. Er wurde halt von SWAG angezeigt, dass die Datei veraltet sei. Ich nahm an, dass das eine SWAG Konfigurationsdatei ist. Ein Update vom Swag-Container habe ich nicht gemacht. Nicht diese Woche. So oder so, jetzt läuft ja gerade wieder der Stand, der eigentlich nicht funktionieren dürfe, wenn es denn überhaupt an diesen zwei Dateien liegt. Meine Container-Konfigurationsdateien wurden auch angezeigt, dass die Aktualisiert werden sollten. Ich habe alle mit vimdiff verglichen und es wurden nur Dinge in Kommentaren geändert. Aktuell stehe ich komplett auf dem Schlauch. Es tut plötzlich alles wieder. Edited February 15, 20233 yr by Pete0
February 15, 20233 yr Community Expert 6 minutes ago, Pete0 said: Aktuell stehe ich komplett auf dem Schlauch. Es tut plötzlich alles wieder. Das ist doch das wichtigste 🤘auch wenn es ärgerlich ist, dass man die Ursache nicht finden konnte. Servus.
February 15, 20233 yr Author Nur zur Info. Die Einträge im DNS-Rebind-Schutz sind auch nicht mehr drinnen.
February 16, 20233 yr 21 minutes ago, Pete0 said: Leider ist das Problem wieder da. Also vom Neuen... 21 hours ago, Pete0 said: Er wurde halt von SWAG angezeigt, dass die Datei veraltet sei. Ich nahm an, dass das eine SWAG Konfigurationsdatei ist. exakt, ist aber hier nicht das Problem, von Zeit zu Zeit sollten die Konfigurationen aber updated werden ... und Nein, das läuft nicht automatisch da es user gibt (wie mich) die Änderungen vornehmen und nicht möchten dass diese einfach ersetzt werden daher ist das schon elegant gelöst mit den Meldungen im log, nur als Hinweis. 21 hours ago, Pete0 said: Da läuft ein Pihole. nimm den doch mal "aus dem Spiel" ob dann dein Problem weiterhin besteht ... grundsätzlich kann die Fritz NAT loopback und rebind Schutz kommt "eigentlich" nur bei seltenen Adressen vor, Beispiel die unraid.net Adresse wenn in Nutzung (myservers), wenn du deine Fritz in den reverse proxy einbindest, manchmal auch HA ... aber eigentlich wirklich selten, schaden tut es übrigens nicht, daher ist der Eintrag auch nicht die Ursache (normal).
February 16, 20233 yr Author 1 minute ago, alturismo said: schaden tut es übrigens nicht, daher ist der Eintrag auch nicht die Ursache (normal). Mag ja sein, dass es nicht schadet und ich habe es ja auch zu der Liste von Ausnahmen hinzugefügt. Es hat aber nicht geholfen.
February 16, 20233 yr Just now, Pete0 said: Mag ja sein, dass es nicht schadet und ich habe es ja auch zu der Liste von Ausnahmen hinzugefügt. Es hat aber nicht geholfen. das habe ich mir ja auch gedacht ... daher auch der Kommentar 3 minutes ago, alturismo said: und rebind Schutz kommt "eigentlich" nur bei seltenen Adressen vor ich würde eher auf ein anderes "lokales" Problem tippen, wie erwähnt, pihole ... wäre mal mein erster Ansatz den aus der Kette zu nehmen. ich nutze auch eine Fritz mittlerweile (aus Faulheit) und für all die normalen Zwecke macht Sie einfach Ihren Job ok, und ich rufe ziemlich alles mit der domain Adresse auf (auch zuhause) ... und dies ohne jegliche Issues ... außer ich bin offline dann geht nur LAN
February 16, 20233 yr Author Ich habe Pihole mal deaktiviert in gesamten Netzwerk und die FritzBox neugestartet. Sowie den Rechner (+ ipconfig /flushdns). Und ja, ich erreiche jetzt wieder meine Container aus dem lokalen Netz. Aber wie kann ich sicher sein, dass es tatsächlich am Pihole liegt? Immerhin hat es gestern ja auch mit Pihole funktioniert? Allgemein hat es Monate lang mit Pihole funktioniert. Ich weiß auch nicht, wie ich jetzt weiter verfahre oder in welcher Richtung ich suchen soll. Bei Pihole bleiben würde ich schon gern.
February 16, 20233 yr Community Expert Du könntest im pihole die Adressen unter local DNS eintragen und nochmal testen
February 16, 20233 yr Author Werde ich auch mal versuchen. Gerade tippe ich einen Beitrag im Pihole-Hilfeforum.
February 16, 20233 yr 54 minutes ago, Pete0 said: Ich weiß auch nicht, wie ich jetzt weiter verfahre oder in welcher Richtung ich suchen soll. Bei Pihole bleiben würde ich schon gern. naja, lass mal 3 Tage laufen, wenn ok, wechsel nochmal mit und teste dann ... wenn es dann wieder nach 1 - 2 Tagen Probleme gibt wäre es ja offensichtlich.
March 7, 20233 yr Author Solution Kleines Update von mir. Ich habe auch nochmal nach Hilfe im Pi-hole Forum gesucht. Dort wurde mir bestätigt, dass das ganze Thema nichts mit Pi-hole zutun hat. Ich habe also weiter gesucht und mir ist eine Sache immer wieder aufgefallen. Wenn mein DNS-Dienst eine IPv6 meiner FritzBox zurückliefert, tritt das beschriebene Problem auf. Wenn eine IPv4 zurück kommt, funktioniert alles wunderbar. Das Problem liegt also irgendwo auf FritzBox-Seite. Ich kann das beliebig oft nachstellen indem ich IPv6 im DNS entferne bzw. wieder hinzufüge. Ich bin nur leider nicht dazu gekommen mit weiter um das Problem zu kümmern. Aktuell läuft alles 'nur' mit IPv6. Ich werde versuchen demnächst ein FritzBox-Forum zu finden und dort um Hilfe zu bitten.
March 7, 20233 yr Community Expert Ich kann dazu nur sagen, dass der Rebind Schutz auch bei IPv6 greift, aber die hast du ja schon in deiner Liste stehen. Das hatte ich auch irgendwann rausgefunden: https://forums.unraid.net/topic/105909-mein-10-zoll-server/?do=findComment&comment=1177837
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.