[SOLVED] Verständnisfrage zu Portfreigaben

[Rainer22]

Hallo,

ich möchte von meiner Synology auf Unraid umstellen und darauf die Nextcloud laufen lassen.

Jetzt hab ich eine Verständnisfrage zu den Ports.

In der Fritzbox sind für die laufende DiskStation die Ports 80 und 143  freigegeben.

Wenn ich jetzt mit dem UnraidServer Einstellungen mache, dann kommen die Standard Ports immer mit den Ports der DiskStation in Konflikt.
Um die laufenden Nextcloud auf der DiskStation möchte ich die Ports erstmal behalten. In der DSM hab ich nichts gefunden, um die Ports der DS anzupassen.

Bei Unraid kann man die http und https Ports in den Settings-ManagementAccess umstellen.

Ist das sinnvoll zB von 80 auf 180 und von 443 auf 1443 umzustellen?

Was hat das sonst noch für Auswirkungen auf den Betrieb, wenn die Ports umgestellt wären?

Danke.

Grüße
Rainer

[ich777]

1 hour ago, Rainer22 said:

Bei Unraid kann man die http und https Ports in den Settings-ManagementAccess umstellen.

Du willst das Unraid GUI von außen erreichbar machen oder Nextcloud?

(prinzipiell ist es keine gute Idee die Unraid GUI von außern erreichbar zu machen ohne reverse proxy bzw starkem Passwort)

 

1 hour ago, Rainer22 said:

Ist das sinnvoll zB von 80 auf 180 und von 443 auf 1443 umzustellen?

Wenn du nur Nextcloud von außen erreichbar machen willst dann nicht und macht auch so wenig sinn da du die Ports für Unraid im LAN verstellst.

 

Die einfachere Lösung:

Leg in deiner Fritzbox eine Portweiterleitung von extern port 8080 und 8443 auf die IP/Ports deines Nextcloud Containers an (würd dir aber auch empfehlen das du die Ports deines Containers auf etwas anderes änderst also nicht 80 und nicht 443).

 

Dann kannst du zum Beispiel deine Nextcloud über www.deinedomain.net:8080/nextcloud oder www.deinedomain.net:8443/nextcloud erreichen (/nextcloud ist nur nötig wenn du das im LAN auch eingeben musst).

 

 

Der etwas schwere Weg:

Die vernünftigste Lösung wäre aber du installierst dir SWAG und machst dann über SWAG ein Reverse Proxy von und zum Nextcloud Container.

Der Vorteil an dieser Lösung ist das du nur die Ports für SWAG in deiner Fritzbox weiterleiten musst für http und https und du dann direkt in SWAG konfigurierst was du wo haben willst (du kannst dann auch noch andere container über das Reverse Proxy verfügbar machen).

Dann kannst zB deinen Container über nextcloud.deinedomain.net oder www.deinedomain.net/nextcloud erreichen.

[mgutt]

18 hours ago, Rainer22 said:

In der Fritzbox sind für die laufende DiskStation die Ports 80 und 143  freigegeben.

Kurz mal zur Sicherheit: Wenn der Diskstation Webserver oder das Mail-Paket eine Sicherheitslücke hat, hast du die A-Karte gezogen. Das ist was anderes als wenn man Nextcloud in einem Container laufen lässt, der in einem eigenen Subnetz liegt. Soll heißen, wenn die Diskstation übernommen wird, ist der Angreifer in deinem Netz und hat vollen Zugriff auf einen vollwertigen Rechner, während er bei einem Container "gefangen" ist, wo er nur relativ wenig Blödsinn machen kann. Die Frage ist auch wie gut der Webserver und der Mailserver gegen Bruteforce-Attacken abgesichert ist.

 

18 hours ago, Rainer22 said:

Ist das sinnvoll zB von 80 auf 180 und von 443 auf 1443 umzustellen?

Erstmal zum Port 180. Man soll keinen Port unter 1024 nehmen, da das standardisierte Ports sind:

https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

 

Sinnvoll das umzustellen. Sehe ich nicht. Du stellst damit ja die Unraid WebGUI um und nicht Nextcloud. Dem Nextcloud-Container gibst du in aller Regel einen anderen Port oder man arbeitet wie bereits gesagt wurde mit einem Proxy. Und komm bitte nicht auf die Idee die Unraid WebGUI von außen erreichbar zu machen. Auch hier gilt die gleiche Argumentation wie zuvor. Wenn du auf die WebGUI von unterwegs zugreifen möchtest, dann nutze einen VPN, den dir dein Router zur Verfügung stellt (beste Option) oder installiere dir einen VPN Dienst auf einem deiner Server/NAS (selbe Risiken wie mit dem Mailserver).

[Rainer22]

Hallo zusammen,

erstmal vielen Dank für die Infos.

Wir haben die Nextcloud jetzt installiert und von außen erreichbar gemacht. Auch mit LetsEncrypt Zertifikat. Da hatten wir am Anfang auch Probleme.

Dank dem Video

 und Eurer Hilfe hat das dann doch noch geklappt.

 

Jetzt hab ich noch ne Frage zum Aufrufen der Nextcloud.

Von außen geb ich xxx.ddns.net ein und lande im Login von der Nextcloud, soweit ok. Ich brauche keine anderen Serverdienste.

Aber wenn ich von aus meinem (W)Lan mit 192.x.xx.xx:444 zugreifen will dann biegt der das auf xxx.ddns.net um, also von innen nach außen ins Internet und wider zurück.

Für meinen Desktoprechner brauch ich keine Verbindung über das Internet.

Hat das mit den Einstellungen in der config von Nextcloud zu tun?

 

[mgutt]

Das hat schon mal jemand angemerkt. Da ist die Frage woher diese Weiterleitung kommt. Also von Nextcloud, dem Webserver oder dem Proxy. 

 

Ich tippe auf "overwrite.cli.url". Entferne da mal die URL. Also dass da nur zwei Anführungszeichen stehen bleiben wie bei "dbport". Zum Testen musst du allerdings einen Inkognito-Tab nehmen, da der Browser Weiterleitungen cached. Oder eben den kompletten Cache des Browsers löschen und am besten den Browser noch mal neu starten.

[Rainer22]

Moin,

"overwrite.cli.url" war es nicht.

Bevor ich weiter in der config rumpfusche frag ich lieber Dich noch mal, ob Du noch eine Idee hast 🙂

[mgutt]

Fusch ruhig herum. Da wird nichts schief gehen, außer dass du es evtl wieder rückgänig machen musst.

 

Alle Konfigurationen sind hier beschrieben:

https://docs.nextcloud.com/server/19/admin_manual/configuration_server/config_sample_php_parameters.html

 

Die relevant sein könnten:

Quote

 

'overwritehost' => '',

The automatic hostname detection of Nextcloud can fail in certain reverse proxy and CLI/cron situations. This option allows you to manually override the automatic detection; for example www.example.com, or specify the port www.example.com:8080.

 

Quote

 

'overwriteprotocol' => '',

When generating URLs, Nextcloud attempts to detect whether the server is accessed via https or http. However, if Nextcloud is behind a proxy and the proxy handles the https calls, Nextcloud would not know that ssl is in use, which would result in incorrect URLs being generated.

Valid values are http and https.

 

 

Quote

 

'overwrite.cli.url' => '',

Use this configuration parameter to specify the base URL for any URLs which are generated within Nextcloud using any kind of command line tools (cron or occ). The value should contain the full base URL: https://www.example.com/nextcloud

Defaults to '' (empty string)

 

Quote

 

'trusted_domains' => [ 'demo.example.org', 'otherdomain.example.org', '10.111.112.113', '[2001:db8::1]' ],

Your list of trusted domains that users can log into. Specifying trusted domains prevents host header poisoning. Do not remove this, as it performs necessary security checks.

You can specify:

the exact hostname of your host or virtual host, e.g. demo.example.org.

the exact hostname with permitted port, e.g. demo.example.org:443. This disallows all other ports on this host

use * as a wildcard, e.g. ubos-raspberry-pi*.local will allow ubos-raspberry-pi.local and ubos-raspberry-pi-2.local

the IP address with or without permitted port, e.g. [2001:db8::1]:8080 Using TLS certificates where commonName=<IP address> is deprecated

 

 

Daraus schließe ich:

- overwritehost ersetzt die Host-Domain. Theoretisch sollte die keine Weiterleitung verursachen, aber jedesmal wenn Nextcloud eine Weiterleitung macht zB nach einem Login, könnte er von der IP zur Domain weiterleiten. Ich würde es daher mal leer versuchen

- overwriteprotocol setzt https voraus. Eine IP kann man zwar per https aufrufen, aber erstens würde der Browser eine Fehlermeldung ausgeben und zweitens weiß ich nicht wie Nextcloud das https prüft. Prüft Nextcloud zB auch den Port, würde der Port "444" auf "443" umgeleitet werden, weil 443 der Standardport von https ist. Entweder Feld leeren oder mal versuchen die IP mit https aufzurufen, also https://ip.adresse:444/

- overwrite.cli.url die Base URL sollte eigentlich nicht zu einer Weiterleitung führen, aber jeder Link der angeklickt wird, würde dahin leiten bzw selbe Thematik wie oben beschriebenn mit dem Login. Also auch hier leeren testen.

- trusted_domains erlaubt nur https://ip.adresse:444/ oder http://ip.adresse.de:444/". Lass zum Test das ":444" bei der IP weg. Dann wäre zumindest schon mal jeder Port erlaubt. Die Frage ist auch ob man da eigentlich die IP von deinem Netz oder die aus dem Subnetz eintragen muss bzw wie hast du den Container konfiguriert? Bridge oder Host? Wenn es Bridge ist, dann füge bei Trusted Domains beide IPs hinzu. Auch mal die IPs vom Proxy hinzufügen.

 

Wie du siehst, kann quasi jede Einstellung davon eine Weiterleitung verursachen, je nachdem wie das im Code von Nextcloud verwendet wird. Die einfachste Methode wäre alle Werte leeren und bei trusted_domains die ganzen IPs ergänzen und das ":444" weg. Dann Nextcloud sowohl mit http://ip.adresse:444/ aufrufen als auch mit https://ip.adresse:444/ und bei jedem Versuch alle Inkognito-Tabs schließen und einen neuen aufmachen, weil erst dann der Weiterleitungs-Cache sicher gelöscht wurde. Auch ein Trick um den Weiterleitungscache zu umgehen ist jedesmal einen anderen URL-Parameter anhängen:

https://ip.adresse:444/?1

https://ip.adresse:444/?2

https://ip.adresse:444/?3

usw

 

Zuletzt wäre auch die Frage ob man im Proxy neben der DDNS Domain auch eine IP für Nextcloud konfigurieren kann. Dann wäre Nextcloud über die Host IP des Proxy Containers erreichbar.

 

[Rainer22]

Hallo,

 mir "overwritehost" leer lassen klappt das.

War ja ganz einfach 🙂

Vielen Dank für die ausführlichen Infos.

 

Grüße

Rainer

[mgutt]

Gerne.

 

Hast du die anderen Optionen so gelassen wie sie waren? Mach vielleicht noch mal einen Screenshot, falls jemand danach sucht.

[Rainer22]

Auch gerne.

Hier :