Domain im Heimnetzwerk öffnet immer die Fritzbox Oberfläche

[JonnyFaust]

Hallo Leute,

ich bin langsam am verzweifeln. Eventuell könnt ihr mir einen Tipp geben, wo der Konfigurationsfehler liegt. Tagelanges googln hat mir nicht geholfen.

Zum Problem:
Wenn ich außerhalb meines Heimnetzwerkes auf meine Domain gehe, werde ich korrekt auf meine Cloud in meinem Heimnetzwerk geroutet. Alles funktioniert.

Bin ich in meinem Heimnetzwerk, dann öffnet sich immer die Fritzbox Oberfläche. Zwar könnte ich auch über meine IP im Netzwerk auf den Sever zugreifen, aber das empfinde ich doch etwas umständlich. Ich muss auch ab und zu Dateien freigeben, die im Heimnetzwerk und auch außerhalb erreichbar sein sollen unter dem gleichen Link.

Falls es relevant ist:
FritzBox 6591
Vodafon Business Standleitung
DNS-Rebind-Schutz aktiv
Port 80/443 offen und zeigen auf den Server
Aktuelle Nextcloud

 

[nitech]

Dürfte ein DNS Problem sein? Was kommt zurück wenn du auf die Domain pingst? evt. in der host datei (system32\drivers\etc) die ip + domain eintragen.
mfg

 

[DJKno]

Reden wir von einer öffentlichen oder von einer internen Domain?

 

[up.whatever]

Bei IPv4 mit NAT/Portforwarding ist das das erwartete Verhalten. Dein dns Name zeigt eben nicht auf die Nextcloud, sondern auf die IP der Fritzbox.
Entweder biegst du dir den dns Namen intern auf die lokale IP um, oder du gehst z.B. über IPv6 auf eine globale Adresse ohne NAT.

Mit einem ordentlichen Router könntest du alternativ auch hairpin NAT machen, aber das bringt neue Probleme und wird von der Fritzbox meines Wissens nicht angeboten.

 

[blablub1212]

Wenn der DNS-Rebind Schutz aktiv ist, dann musst du eine Ausnahme für deine Domain einrichten:

https://avm.de/service/wissensdaten...Auflosung-privater-IP-Adressen-nicht-moglich/

 

[Spulface]

Bisschen Spekulation aber könnte es sein das Du eine DNS Rebind Ausnahme eintragen musst, damit die Fritzbox das sauber durchleitet? Andere Idee wäre, keinen Standard http Port zu nutzen.

 

[JonnyFaust]

DNS Rebind Schutz ist die Domain eingetragen. Ansonsten kommt ja die Fehlermeldung, dass der DNS Rebind Schutz aktiv ist.

Reden wir von einer öffentlichen oder von einer internen Domain?

Öffentlich.

Bei IPv4 mit NAT/Portforwarding ist das das erwartete Verhalten. Dein dns Name zeigt eben nicht auf die Nextcloud, sondern auf die IP der Fritzbox.
Entweder biegst du dir den dns Namen intern auf die lokale IP um, oder du gehst z.B. über IPv6 auf eine globale Adresse ohne NAT.

Mit einem ordentlichen Router könntest du alternativ auch hairpin NAT machen, aber das bringt neue Probleme und wird von der Fritzbox meines Wissens nicht angeboten.

Wie biege ich das im Router um? Hoffentlich ist damit nicht gemeint, dass das in jedem Gerät eingestellt werden muss.

 

[niteaholic]

Schon mal mit port versucht? Zbsp 192.168.178.xx: port.von.nextcloud

 

[TheManneken]

Port 80/443 offen und zeigen auf den Server

Du bist sicher, dass du weißt, was du tust? Nie im Leben würde ich meine private Cloud / NAS einfach so ohne weitere Maßnahmen offen ins Internet hängen. VPN oder nichts. Just my 2 cents.

 

[JonnyFaust]

Eventuell hilft der Hinweis:

111.22.333.44 <- Meine öffentliche IP: Außerhalb meines Heimnetzwerkes -> Nextcloud
meine.domain.de <- Meine öffentliche Domain: Außerhalb meines Heimnetzwerkes -> Nextcloud

111.22.333.44 <- Meine öffentliche IP: Innerhalb meines Heimnetzwerkes -> Fritzbox Oberfläche
meine.domain.de <- Meine öffentliche Domain: Innerhalb meines Heimnetzwerkes -> Fritzbox Oberfläche

192.168.178.xx <- IP im Netzwerk -> Nextcloud

Du bist sicher, dass du weißt, was du tust? Nie im Leben würde ich meine private Cloud / NAS einfach so ohne weitere Maßnahmen offen ins Internet hängen. VPN oder nichts. Just my 2 cents.

Das hat nichts mit meinem Problem zu tun. Bitte beim Thema bleiben

 

[Raijin]

Schau dir mal konkret an was die DNS-Auflösung ausspuckt:

Start --> cmd
--> nslookup deine.domain 8.8.8.8
--> nslookup deine.domain
--> nslookup deine.domain die.ip.deiner.fritzbox


Es gibt verschiedene Szenarien für sowas.

Wenn die Domain auch lokal im DNS des Routers auf die öffentliche IP-Adresse auflöst, muss der Router NAT-loopback bzw. hairpin-NAT unterstützen. Dabei merkt der Router im letzten Moment, also ausgehend im WAN-Port, dass er selbst das Ziel ist, und dreht die Verbindung um 180° um. Das heißt, dass die Verbindung zwar von innen kommt, aber trotzdem die komplette NAT- und Portweiterleitungskette durchläuft. Das kann im übrigen auch dazu führen, dass etwas schwache Router mit mäßiger NAT-Performance die Übertragungsrate massiv drücken können, weil die Verbindnug vom Client über den Router, dessen WAN-Port + NAT + Portweiterleitung bis hin zum Server läuft, obwohl Client und Server womöglich direkt nebeneinander am selben Switch angeschlossen sind.
Durch das NAT am WAN sieht es für den lokalen Server zudem so aus als wenn die Verbindungsanfrage aus dem www kommt, da der Server nicht die lokale IP des Clients, sondern die WAN-IP des Routers als Quell-IP sieht - wenn denn überhaupt die Portweiterleitung greift. Ist selbige nämlich beispielsweise auf bestimmte Quell-IPs eingeschränkt (zB nur von der statischen öffentlichen IP der Firma erlaubt), greift die Portweiterleitung nicht, wenn nicht explizit die (aktuelle) WAN-IP des Routers als Quell-IP ebenfalls eingetragen wird.

NAT-Loopback ist aufgrund dieser Nachteile nach Möglichkeit grundsätzlich zu vermeiden.



Enthält der DNS im Router jedoch einen expliziten Eintrag zu der jeweiligen Domain mit der lokalen IP-Adresse des Servers, baut ein lokaler Client eine direkte Verbindung zum Server auf, ohne irgendwelche Umwege über den Router. Genau dieser Eintrag im Router ist jedoch der Knackpunkt beim DNS Rebind Schutz. Dieser blockiert nämlich DNS-Einträge, die auf eine lokale IP verweisen, da dies auf eine DNS-Rebind-Attacke hindeuten kann. Deswegen braucht man in diesem Falle die Ausnahme für den lokalen DNS bzw. die entsprechende Domain.
In diesem Szenario kann der Server sehr wohl unterscheiden ob er lokal oder aus dem www angesteuert wird, da er die lokale IP des Clients als Quell-IP sieht.

 

[JonnyFaust]

@Raijin hier die Ausgaben:

Nicht autorisierende Antwort:
Name: meine.cloud.de
Address: 111.22.333.44

Meine Domain ist allerdings unter DNS-Rebind-Schutz eingetragen. Kann es einfach sein, dass die FritzBox ein problem hat?

 

[Raijin]

hier die Ausgaben:

Ich sehe da nur eine. Beachte, dass ich 3x nslookups gepostet habe. Es ist entscheidend welcher DNS welche Antwort liefert.

Je nachdem ob du nun den Weg über NAT-Loopback gehen willst (Domain wird lokal mit der öffentlichen IP aufgelöst) oder über die Ausnahme im DNS-Rebind (Domain wird lokal mit der lokalen IP aufgelöst) unterscheidet sich das weitere Prozedere bzw. die weiteren Diagnosen. Im ersteren Fall wäre beispielsweise die Frage ob die Portweiterleitung überhaupt ausgelöst wird, also ob am Server überhaupt eine Verbindungsanfrage ankommt. Dies könnte man mittels WireShark bw. tcpdump am Server prüfen. Kommt beim Server nichts an, wird vom Router auch nichts weitergeleitet. Kommt etwas an, aber der Server reagiert nicht, blockt ggfs die Firewall des Servers selbst.

 

[JonnyFaust]

PS C:\Users\xx> nslookup meine.domain.de
Server: fritz.box
Address: fd00::de15:c8ff:feec:ac29

Nicht autorisierende Antwort:
Name: meine.domain.de
Address: 111.22.333.44

PS C:\Users\xx> nslookup meine.domain.de 8.8.8.8
Server: dns.google
Address: 8.8.8.8

Nicht autorisierende Antwort:
Name: meine.domain.de
Address: 111.22.333.44

PS C:\Users\xx> nslookup meine.domain.de 111.22.333.44
Server: ip-111.22.333.44.um36.pools.vodafone-ip.de
Address: 111.22.333.44

Nicht autorisierende Antwort:
Name: meine.domain.de
Address: 111.22.333.44

Ich könnte mal die Firewall prüfen.


EDIT: Die gleichen Meldungen bekomme ich direkt auf dem Server

 

[Raijin]

Dann löst die Fritzbox die Domain offensichtlich nach wie vor mit der öffentlichen IP-Adresse auf.


Der DNS-Rebind-Schutz macht im Prinzip nur das:

1. Fritzbox bekommt einen DNS-Query für "deine.domain"
2. Fritzbox prüft ihre lokalen DNS-Einträge (zB hosts-Datei, o.ä.)
3. Wenn in 2. nichts gefunden wird, Weiterleitung des DNS-Query an den Upstream-DNS (zB Provider-DNS)
4. Upstream-DNS liefert IP-Adresse zurück
5. Fritzbox prüft IP-Adresse
   • IP-Adresse = öffentlich => Kein DNS-Rebind => zurück zum Client
   • IP-Adresse = privat => mögliche DNS-Rebind-Attack => Ausnahmen prüfen
     • DNS-Rebind-Ausnahme gefunden => zurück zum Client
     • Keine DNS-Rebind-Ausnahme gefunden => mögliche DNS-Rebind-Attack => BLOCK

Die Ausnahme im DNS-Rebind-Schutz beeinflusst also lediglich die Prüfung der ermittelten IP-Adresse zu der Domain. Es muss aber nichtsdestotrotz überhaupt erstmal eine lokale IP-Adresse zu der Domain ermittelt werden, um etwas auszulösen. Das bedeutet auch, dass du noch so viele DNS-Rebind-Ausnahmen machen kannst, wenn die Domain nach wie vor nur auf eine öffentliche IP auflöst.
Du benötigst also einen manuellen Eintrag im DNS der Fritzbox, der "deine.domain" auf zB 192.168.1.23 festlegt. Fragt man zB google (8.8.8.8) nach "deine.domain", erhält man die öffentliche IP, fragt man deine Fritzbox, erhält man die 192.168.1.23 - das wäre das Ziel.

Wie und wo du in der Fritzbox einen manuellen DNS-Eintrag vornehmen kannst, entzieht sich mangels eigener Fritzbox meiner Kenntnis. Eventuell geht das auch gar nicht, keine Ahnung. Ich kann nur die technischen Hintergründe erklären.



Alternativ kannst du natürlich auch einfach am Client in der hosts-Datei einen manuellen Eintrag vornehmen. Dieser gilt allerdings nur für das Gerät selbst, während ein manueller Eintrag im lokalen DNS für alle Geräte gelten würde.



Den Einwand von @TheManneken solltest du im übrigen nicht so einfach beiseite schieben. Du musst dich mit der Thematik intensiv auseinandersetzen, weil du deine Daten riskierst und eventuell sogar einen Bot für die nächste DDoS-Attacke einer beliebigen Hackergruppe baust. Direkte Portweiterleitungen auf Geräte im Heimnetzwerk sollte man nur dann erstellen, wenn man sich wirklich sehr sehr sicher ist was man da tut. Nur weil es in einem Tutorial bei youtube so gemacht wurde oder weil ein unbekannter Nutzer in einem öffentlichen Forum einen auf "Ich-weiß-alles" macht und total professionell wirkt, muss das noch lange nicht richtig und sicher sein.

 

[snaxilian]

Wie und wo du in der Fritzbox einen manuellen DNS-Eintrag vornehmen kannst, entzieht sich mangels eigener Fritzbox meiner Kenntnis. Eventuell geht das auch gar nicht, keine Ahnung.

Kann die Fritzbox nicht. Das ist ein gutes all-in-one Gerät für den 0815 Durchschnittsanwender der das Internet nutzen will und die Komfortfunktionen möchte.
Leute, die eigene Dienste öffentlich erreichbar im Internet betreiben wollen sind nicht Zielgruppe der Fritzbox
In Zeiten von immer mehr ds-lite/CGN im Privatkundenbereich sollte man sich auch überlegen ob man wirklich Dinge selbst zuhause betreiben muss/will oder ob ein Hosting oder ...-as-a-service nicht sinnvoller ist. Dann hat man die ganzen Probleme mit Split-DNS oder RPZs nämlich nicht.

Die Alternative lautet: Zuhause eigenen DNS-Server betreiben anstatt der Fritzbox. Da kannst du dann entweder Split-DNS ODER RPZs (Response Policy Zones) entsprechend deiner Wünsche konfigurieren und allen anderen Traffic lässt du von upstream auflösen.
In dem Fall wird dann, wenn du zuhause bist, dein FQDN auf die private interne IP aufgelöst und wenn du unterwegs bist wird auf die öffentliche Adresse aufgelöst.

Den Einwand von @TheManneken solltest du im übrigen nicht so einfach beiseite schieben.

Genau DAS! Wer für alle öffentlich erreichbare Dienste betreibt muss sich auch mit dem Schutz und Absicherung dessen beschäftigen egal ob diese bei $Hoster laufen oder zuhause.