ComputerBase Menü
Aktuelles

Nextcloudpi von außerhalb ereichen.

martinallnet schrieb:
Sollte sich doch über die http-Challenge zertifizieren lassen?
Zum Vergrößern anklicken....

Eben, du kannst jede Adresse, die auf dich zeigt, "zertifizieren". Du wirst wahrscheinlich an irgendeiner Stelle der Einrichtung deines PI danach gefragt. Wenn nicht, dann haste natürlich ein Problem, aber das hat nix mit myfritz oder sonst einer Adresse zu tun.
 
  • Gefällt mir
Reaktionen: Gartenhaus
martinallnet schrieb:
Sollte sich doch über die http-Challenge zertifizieren lassen?
Am Ende verweist myFritz doch auch nur auf deine IP-Addresse.
Ansonsten cname auf eine andere Domain, kostenlose Domains gibt es z. B. auf freenom.com
Zum Vergrößern anklicken....

Ja, ich kann die Fritzbox direkt über das Web Interface mit Let's encrypt zertifizieren.
aber ist das wirklich so wichtig?
Nextcloudpi stellt sich eigentlich ein eigenes Zertifikat aus, man muss dann nur im Browser die Warnmeldung wegklicken.
 
Sicherheitswarnungen sind nicht dafür gedacht, dass man sie weg klickt. :)

Rein lokal (daheim) mag das noch unproblematisch sein. Spätestens wenn du mit dem Handy im McDonalds WLAN surfst, ist es bei einem selbst signierten Zertifikat nur noch schwer zu erkennen, ob es wirklich von dir, oder einem Angreifer stammt.
 
  • Gefällt mir
Reaktionen: Gartenhaus
Bob.Dig schrieb:
Eben, du kannst jede Adresse, die auf dich zeigt, "zertifizieren". Du wirst wahrscheinlich an irgendeiner Stelle der Einrichtung deines PI danach gefragt. Wenn nicht, dann haste natürlich ein Problem, aber das hat nix mit myfritz oder sonst einer Adresse zu tun.
Zum Vergrößern anklicken....

Mr. Robot schrieb:
Sicherheitswarnungen sind nicht dafür gedacht, dass man sie weg klickt. :)

Rein lokal (daheim) mag das noch unproblematisch sein. Spätestens wenn du mit dem Handy im McDonalds WLAN surfst, ist es bei einem selbst signierten Zertifikat nur noch schwer zu erkennen, ob es wirklich von dir, oder einem Angreifer stammt.
Zum Vergrößern anklicken....

Dann werde ich (so steht es auch in Nextcloudpi) die Adresse von MyFritz mit Lets encrypt zertifizieren.
An dieser Stelle vielen Dank :)
Habe in einem anderen Forum nur gelesen, dass man dies nicht tun sollte, da die IP der FB sonst im Verzeichnis von Letsencrypt steht.
Aber solange ich sichere PW verwende und nur Port 80 sowie 443 öffne denke ich sollte da alles recht sicher sein.
 
Zuletzt bearbeitet: (Vertippt)
Grundsätzlich hat @martinallnet schon Recht damit, dass https soweit sicher ist - sonst würden wir alle vermutlich kein Geld mehr auf dem Konto haben, weil Hacker der Reihe nach die https-Seiten vom Online-Banking knacken würden.

Ich möchte jedoch wie auch schon in dem anderen Thread der Vollständigkeit halber davor warnen, dass man es dann NUR bei https (bzw. wie angesprochen ggfs mit einer http->https Weiterleitung) machen sollte! Das darf in keinster Weise als Vorlage für alle möglichen anderen Weiterleitungen dienen! Sobald man einen Dienst weiterleitet, der im schlimmsten Fall eben komplett unverschlüsselt ist, weil er ursprünglich gar nicht für den Einsatz im www gedacht war - oder weil der Hersteller einfach keine Ahnung von IT-Sicherheit hat - riskiert man nicht nur die Sicherheit dieses Dienstes, sondern des gesamten Netzwerks. Das ist wie beim Haus, wenn man die Vordertür mit 17 Schlössern verrammelt und dann die Hintertür gar unverschlossen ist, hat man trotzdem bald keinen Fernseher mehr......
Ein VPN ist wie ein einzelner Zugang zum Haus, so als wenn man eine Betonkuppel wie beim AKW rumbaut und nur eine einzige Hochsicherheitstür einbaut.
 
Raijin schrieb:
Grundsätzlich hat @martinallnet schon Recht damit, dass https soweit sicher ist - sonst würden wir alle vermutlich kein Geld mehr auf dem Konto haben, weil Hacker der Reihe nach die https-Seiten vom Online-Banking knacken würden.

Ich möchte jedoch wie auch schon in dem anderen Thread der Vollständigkeit halber davor warnen, dass man es dann NUR bei https (bzw. wie angesprochen ggfs mit einer http->https Weiterleitung) machen sollte! Das darf in keinster Weise als Vorlage für alle möglichen anderen Weiterleitungen dienen! Sobald man einen Dienst weiterleitet, der im schlimmsten Fall eben komplett unverschlüsselt ist, weil er ursprünglich gar nicht für den Einsatz im www gedacht war - oder weil der Hersteller einfach keine Ahnung von IT-Sicherheit hat - riskiert man nicht nur die Sicherheit dieses Dienstes, sondern des gesamten Netzwerks. Das ist wie beim Haus, wenn man die Vordertür mit 17 Schlössern verrammelt und dann die Hintertür gar unverschlossen ist, hat man trotzdem bald keinen Fernseher mehr......
Ein VPN ist wie ein einzelner Zugang zum Haus, so als wenn man eine Betonkuppel wie beim AKW rumbaut und nur eine einzige Hochsicherheitstür einbaut.
Zum Vergrößern anklicken....

Das Problem ist nur dass ich Port 80 via HTTP auch öffnen muss um ein Let's encrypt Zertifikat zu erhalten.
Habe gerade Mal auf einem anderen Rechner geschaut. Unter Win10 kann ich eine VPN auch ohne Administrator rechte herstellen. AVM schreibt auf ihrer Seite, man braucht dafür die Fritz!BOX Fernzugriff software. Würde es denn auch mit der Windows Hauseigenen funktionieren?
Danke!
 
martinallnet schrieb:
Port 80 nur für die Weiterleitung ist auch kein Sicherheitsproblem.
Zum Vergrößern anklicken....

Aber wie sieht es denn mit dem VPN aus, brauche ich die extra Software von AVM oder geht auch ohne? Wenn nein, dann mache ich es mit VPN.
 
Habe ich keine Ahnung, ich nutze primär tinc und wireguard.
Aber von der usability her empfehle ich die Freigabe mit Lets Encrypt, schon alleine um auch bei Daten für andere freizugeben zu können.
 
  • Gefällt mir
Reaktionen: Gartenhaus
Außerdem geht die VPN nur über IPv4, habe aber IPv6.
Fliegt also raus.
Mein Mobilfunkanbieter hat IPv6 mit dem sollte es also klappen auf den Pi zuzugreifen.
 
Die VPN-Verbindung kann auch über IPv6 aufgebaut werden, das wäre kein Hindernis.
Meine VPN-Server sind meistens Dual-Stack, ich habe sogar einen vServer, wo ich in Netzen wo es kein IPv6 gibt durch das VPN ein echtes Dual-Stack bekomme. Das ist aktuell für das Smartphone in Nutzung, wo ich über Mobilfunk nur eine IPv4 bekomme. Da über diesen Server so ziemlich alle meine VPN-Verbindungen geroutet werden, habe ich so auch Zugriff in alle Netze, das Dual-Stack da raus ist eher so ein Gimmik was ich nutze, weil es eben geht.
 
martinallnet schrieb:
Die VPN-Verbindung kann auch über IPv6 aufgebaut werden, das wäre kein Hindernis.
Meine VPN-Server sind meistens Dual-Stack, ich habe sogar einen vServer, wo ich in Netzen wo es kein IPv6 gibt durch das VPN ein echtes Dual-Stack bekomme. Das ist aktuell für das Smartphone in Nutzung, wo ich über Mobilfunk nur eine IPv4 bekomme. Da über diesen Server so ziemlich alle meine VPN-Verbindungen geroutet werden, habe ich so auch Zugriff in alle Netze, das Dual-Stack da raus ist eher so ein Gimmik was ich nutze, weil es eben geht.
Zum Vergrößern anklicken....

Habe aber DS-lite also keine "echte" IPv4.
Alle Versuche auf mein Netzwerk zuzugreifen scheitern.
Kann weder VPN noch einen Webserver betreiben.
Das war's dann ._.
 
martinallnet schrieb:
Kannst du schon, über IPv6.
Oder für ab 2 - 3 Euro im Monat einen vServer dafür mieten.
Zum Vergrößern anklicken....

Ich kann weder über einen DynDNS Dienst ncoh die in der Fritzbox angezeigte Ipv6 Adresse für das freigegebene Gerät zugreifen. In ncp steht (trotz geöffnetem Port) immer nur "ports closed".
 
Auf welche IPv6-Adresse versuchst du zu zu greifen? Du darfst nicht die Adresse der Fritzbox nehmen. Dein Pi hat seine eigene Adresse. In dem Punkt unterscheidet sich IPv4 von IPv6. Und in der Firewall der Fritzbox muss der Zugriff auf diese Adresse erlaubt sein.

Aber gehen wir erst mal einen Schritt zurück. Kannst du per LAN und IPv6 auf den Pi zugreifen? Vielleicht scheitert es ja hier schon.
 
Mr. Robot schrieb:
Auf welche IPv6-Adresse versuchst du zu zu greifen? Du darfst nicht die Adresse der Fritzbox nehmen. Dein Pi hat seine eigene Adresse. In dem Punkt unterscheidet sich IPv4 von IPv6. Und in der Firewall der Fritzbox muss der Zugriff auf diese Adresse erlaubt sein.

Aber gehen wir erst mal einen Schritt zurück. Kannst du per LAN und IPv6 auf den Pi zugreifen? Vielleicht scheitert es ja hier schon.
Zum Vergrößern anklicken....

Das ist klar, ich kann den Pi auch lokal über die Ipv6 erreichen.
Ich sehe das Problem darin, dass mein Pi sagt, dass Port 443 sowie 80 nicht geöffnet sind. (Sind sie aber)
Wenn ich die Freigabe an der Fritzbox aktiviere wird mir diekt die aus dem Internet erreichbare IPv6 für das Gerät angezeigt. Mit der klappts aber nicht
 
Mr. Robot schrieb:
Wenn dein Pi sagt, die Ports wären nicht geöffnet, wie kannst du dann per LAN drauf zu greifen?
Zum Vergrößern anklicken....

Ich packe mir die IPv6 Adresse in den Browser rein und local wird die Login Page von Nextcloud geöffnet.
Auch wenn ich keinen Port geöffnet habe.
Kann den Pi ja auch im lokalen Netzwerk ansteuern.

Unter den IPv6 Einstellungen im Freigaben Reiter habe ich noch folgenden Möglichkeiten:


PING6 freigeben.
Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen.
 
Zuletzt bearbeitet:
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
Pihole und NextcloudPI auf RPI
2 3
Antworten
59
Aufrufe
4.069
Engaged
Engaged
S
Lokale Nextcloud extrem langsam im Download von außerhalb
2
Antworten
21
Aufrufe
1.930
DFFVB
DFFVB
oh-leut
NextCloudPi (Setting) - Login nicht möglich
Antworten
6
Aufrufe
3.935
CubeID
CubeID
T
NAS - sicher - von außerhalb erreichbar machen
2
Antworten
20
Aufrufe
3.920
Raijin
Raijin
Arjab
NextCloudPi hinter FRITZ!Box über IPv6 mit DynDNS erreichbar machen?
2
Antworten
26
Aufrufe
11.921
Arjab
Arjab
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz