Jump to content

Fritzbox und NGINX Reverse Proxy - kein Zugriff aus dem Heimnetz?


Go to solution Solved by Slotherus,

Recommended Posts

Hallo zusammen,

 

ich habe den NGINX Reverse Proxy über die User Apps als Docker installiert (Unraid auf 192.168.178.100; NGINX per br0 auf 192.168.178.101).

Damit die Fritzbox den Proxy erkennt und ich Portfreigaben erstellen kann, habe ich das Docker-Netzwerk auf macvlan umgestellt.

In der Fritzbox habe ich die Ports 80 und 443 für den NGINX Proxy freigegeben. Die Fritzbox ist eine 6690 Kabel-Box (eigenes Gerät, Netz von Vodafonde West, Dual Stack ist freigeschaltet. DDNS habe ich über DuckDNS direkt in der Fritzbox eingerichtet.

 

Nun folgendes Problem: Wenn ich von außen auf meine Dienste zugreifen will, dann funktioniert alles wie es soll (also feeds.username.duckdns... landet auf meinem FreshRSS). Wenn dich die gleiche URL aber vom Heimnetz aus aufrufe, dann lande ich auf der Fritzbox-Login-Seite.

In den Netzwerk-Einstellungen habe ich alle externen Domains in die Rebind-Schutz-Liste eingetragen (also username.duckdns....; feeds.username.duckdns...; usw.)

 

Kurzum: Jemand eine Idee wo mein Fehler liegt? Da die Fritten im deutschsprachigen Raum ja weit verbreitet sind, hoffe ich mal, dass jemand schon mal ähnliche Probleme hatte.

 

Danke schonmal :)

Link to comment
46 minutes ago, Slotherus said:

Wenn dich die gleiche URL aber vom Heimnetz aus aufrufe, dann lande ich auf der Fritzbox-Login-Seite.

In den Netzwerk-Einstellungen habe ich alle externen Domains in die Rebind-Schutz-Liste eingetragen (also username.duckdns....; feeds.username.duckdns...; usw.)

Habe keine Fritz, aber NAT-Loopback bzw hairpin-NAAT sollte eigentlich so gehen: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7362-SL/663_DNS-Auflosung-privater-IP-Adressen-nicht-moglich/ Hast Du das alles wirklich so gemacht?

 

Edit: prüfe mal, ob die Fritz Deine Domain dauf die öffentliche IP auflöst?

Dann musst Du natürlich im lokalen DNS dafür noch einen Eintrag mit der Heimnetz-IP machen...weiss aber nicht, ob die Fritz sowas kann.

Edited by Ford Prefect
Link to comment
35 minutes ago, Pete0 said:

Ich habe das gleiche Problem. Bis heute keine Lösung gefunden. Passiert jedoch nur, wenn DNS zu einer IPv6 auflöst.

 

https://forums.unraid.net/topic/135125-fritzbox-verhindert-plötzlich-zugriff-auf-docker-innerhalb-des-netzwerkes/

 

Ich glaube mein Fall ist bisschen anders. Der Eintrag im Rebind-Schutz funktioniert. Wenn der fehlt, dann kommt ja die Rebind-Fehlermeldung.

Ich lande jedoch immer auf der Login-Seite der Fritte, wenn ich aus dem Heimnetz versuche, die externe Domain aufzurufen.

 

1 hour ago, Ford Prefect said:

Habe keine Fritz, aber NAT-Loopback bzw hairpin-NAAT sollte eigentlich so gehen: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7362-SL/663_DNS-Auflosung-privater-IP-Adressen-nicht-moglich/ Hast Du das alles wirklich so gemacht?

 

Edit: prüfe mal, ob die Fritz Deine Domain dauf die öffentliche IP auflöst?

Dann musst Du natürlich im lokalen DNS dafür noch einen Eintrag mit der Heimnetz-IP machen...weiss aber nicht, ob die Fritz sowas kann.

 

Mit Cloudflare-DNS das gleiche Problem, an der Auflösung liegt es also nicht.
Edit: Dachte erst es geht, hatte aber vergessen den VPN zum Testen wieder auszumachen.

Edited by Slotherus
Link to comment
3 minutes ago, Slotherus said:

Ich glaube mein Fall ist bisschen anders. Der Eintrag im Rebind-Schutz funktioniert. Wenn der fehlt, dann kommt ja die Rebind-Fehlermeldung.

Ich lande jedoch immer auf der Login-Seite der Fritte, wenn ich aus dem Heimnetz versuche, die externe Domain aufzurufen.

Ist bei mir auch so beim Nextcloud Container. Beim Jellyfin Container kommt jedoch nur die Melung, dass die angegebene Adresse unbekannt ist.

Link to comment
3 minutes ago, Slotherus said:

Ich glaube mein Fall ist bisschen anders. Der Eintrag im Rebind-Schutz funktioniert. Wenn der fehlt, dann kommt ja die Rebind-Fehlermeldung.

Ich lande jedoch immer auf der Login-Seite der Fritte, wenn ich aus dem Heimnetz versuche, die externe Domain aufzurufen.

Tut er ja offensichtlich nicht 🙂

 

Du willst ja gar nicht auf die Fritte, sondern zu 192.168.178.101, oder?

 

Rebind-Schutz kannst Du aus Deinem Gedächtnis speichern, der schützt nur die Oberfläche der Fritte und zeigt an, dass Du ein DNS Problem hast (sonst wärst Du ja gar nicht da )

 

Link to comment
1 minute ago, Slotherus said:

Aber würde der Rebind-Schutz greifen, dann würde ich ja nicht auf der Login-Seite sondern auf der Rebind-Warnmeldung landen, oder?

Ja, aber das ist doch egal, da du ja eh nicht dahin willst.

 

2 minutes ago, Slotherus said:

Wie oben schon gesagt: Scheint eher beim Resolving durch die Fritzbox zu liegen. Mit Cloudflare als eingestelltem DNS geht es.

Also Fritten sind schon spezielle Spielzeuge, sie können viele Dinge einfach gar nicht. Z.B. können sie nicht die Bridgeadresse verarbeiten, da die Fritte intern immer über die MAC Adresse geht (und die ist ja bei beiden gleich).

Du wirst nicht umhinkommen, den NPM "richtig" zu installieren. Im Hostmode auf Adresse ...100. (Dafür musst Du aber vorher die UNRAID GUI auf andere Ports verschieben, denn im Hostmode sind die Port 80,81 und 443 fest verdrahtet)

 

Link to comment

naja, hier geht das immer, VF (West) Original 6591 oder meine 6660.

 

alles im br0 mode, lokale Auflösung wie gewollt, Thema Rebind Schutz ... muss ich nur für unraid.net, für den RP die Fritz an sich und HA nehmen, der Rest geht auch so oob ...

 

das auch mit CF DNS, duckdns und spdns domains ... ich tippe auch eher auf ipv6 Thema oder irgendwelche pihole und co Geschichten ...

Link to comment

ach, wir reden von Fritzbox & IP V6 ???

Ich denk, es geht um 192.168.x (also V4) Adressen?

Du solltest vielleicht mal erst Deine komplette Konfiguration offenlegen, oder sollen die potentiellen Antworter Knochenwerfen?

 

Allerdings, bei V6 und Fritte bin ich raus. Das ist so grausam, das kann man sich nicht antun. Da besorg Dir vorher lieber einen ordentlichen Router. (ich hab zwar hier auch ne ZwangsFritte von Vodafone, aber die darf hier nur V4 machen, V6 mach ich mir lieber selber über einen Tunnel)

 

Link to comment
  • Solution

Des Rätsels Lösung:

Mit DuckDNS habe ich es nicht hinbekommen. Ich bin jetzt auf DynV6 umgestiegen und habe da für meine Subdomains dann jeweils die MAC des Reverse Proxy angegeben. Damit gehts.

 

Ich vermute es liegt daran dass anders als IPv4 ja nicht das ganze Netzwerk eine gemeinsame Adresse hat, sondern jedes Endgerät eine eigene IPv6 und die Fritte wusste bei Anfragen über v6 dann nicht, wohin sie umleiten soll. Ist zwar dämlich weil ja nur an einem Gerät die Ports freigeschaltet sind, aber scheinbar ist die Kiste nicht so klug.

 

Kurzum: Mit einer vollständigen IPv6 des Endgeräts funktioniert es bei mir jetzt.

 

Danke an alle für's mitdenken :)

 

2 hours ago, MAM59 said:

Du solltest vielleicht mal erst Deine komplette Konfiguration offenlegen, oder sollen die potentiellen Antworter Knochenwerfen?

Ich hab oben geschrieben, dass Dual Stack aktiv ist. ;) IPv6 ist für mich noch Neuland und in der Fritte selbst wird es ja auch eher nur immer am Rande behandelt, von daher habe ich das als Problemquelle wohl unterschätzt. Aber das Problem ist jetzt gelöst also von daher alles tutti.

Edited by Slotherus
Link to comment
  • 4 months later...
Quote

Kurzum: Mit einer vollständigen IPv6 des Endgeräts funktioniert es bei mir jetzt.

Wo genau hast du diese eingetragen und was hast du gemacht?

 

Ich habe das gleiche Problem und bekomme bitwarden intern aus dem WLAN einfach nicht ans laufen. Von außen aus dme Mobilfunknetz zugreifen funktioniert problemlos.

Edited by fictional-counterrevolution1830
Link to comment
  • 7 months later...

Hallo zusammen,

freut mich das ich nicht alleine bin.
Meine Docker Container erreiche ich von außen. Möchte Sie aber mit SSL ja verschlüsseln.
So, bin auch bei dynv6 nur irgendwie bekomme ich das ganze nicht zum laufen.

Hat jemand grob eine Anleitung? :(

 

Fehler: Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet.

Nur irgendwie kann er die Datei nicht laden, also muss bei mir eine Konfig noch das Problem sein.
Gruß Daniel - Hoffe jemand hat eine Lösung. :)

Link to comment
  • 1 month later...

Hey, also ich hab die Ursache gefunden. Es ist tastächlich IP v6. Wenn ihr aber euch sicher seit das ihr das nicht braucht könnt ihr das ganz einfach in der Fritz Box unter Internet->Zugangsdate->IPv6 einfach deaktivieren. Danach funktioniert alles über v4 und der zugriff auf die Domäne innerhalb des Netzwerks funktioniert.

  • Like 1
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...