Nextcloudpi von außerhalb ereichen.

[dj-melo]

Ich betreibe die Ncp auf ner debianvm . Evtl ist ne vm mit Linux und darauf die cloud nach Anleitung von apfelcast zu testzwecken ne Option um auszuschließen dass es an Ncp liegt. Sorry mir gehen die Ideen aus. Ist upnp in der fritzbox an und für den Pi konfiguriert?

 

[martinallnet]

Ich denke hier fehlt "Dieses Gerät Komplett für den Internetzugriff über IPv6 freigeben".
Der Parameter öffnet die Firewall der FritzBox für die IPv6 des Pi.

 

[Gartenhaus]

Ich denke hier fehlt "Dieses Gerät Komplett für den Internetzugriff über IPv6 freigeben".

Aber dann kann ja auch auf das komplette Gerät zugegriffen werden. Von der Sicherheit ist das natürlich nicht so toll.
Würde gerne nur 2 Ports freigeben.

 

[martinallnet]

IPv6 setzt darauf, das dies vom Endgerät aus abgesichert wird, das ist also so gedacht.
Also einfach die Dienste auf dem Pi sicher konfigurieren, da braucht man solche Krücken im Router nicht mehr.
Bei IPv6 hat jedes Gerät eine eigene Adresse, nicht wie bei IPv4 über NAT nur eine für das gesamte Netzwerk. In einer FritzBox lässt sich die Firewall aber nicht so fein konfigurieren und am Ende sollte auf dem Pi ohnehin maximal Port 80, 443 und evtl. noch 22 (SSH) mit Key-Auth aktiv sein.

 

[snaxilian]

SSH könnte man auch auf IPv4 oder die IPv6 local Adressen beschränken. Entweder in der Config von SSHd oder per iptables.

 

[Gartenhaus]

Bei IPv6 hat jedes Gerät eine eigene Adresse, nicht wie bei IPv4 über NAT nur eine für das gesamte Netzwerk.

Wenn das wenigstens funktionieren würde.
Habe jetzt mal die Firewall der FB für nextcloudpi geöffnet und trotzdem keine Verbindung über die IPv6 Adressen.
"Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen. "

 

[Mr. Robot]

und trotzdem keine Verbindung über die IPv6 Adressen.

Wie hast du das getestet?

 

[Gartenhaus]

Wie hast du das getestet?

Über Mobilfunkanbieter (der hat IPv6) und die IPv6 die bei der Fritzbox unter Freigaben für Erreichbarkeit aus dem Internet steht. (Da wo ich auch die Portfreigabe einrichte)

 

[Mr. Robot]

Diese Adresse fängt nicht zufällig mit "::" an, oder?

 

[Mr. Robot]

Ich hab jetzt mal etwas mit meinem Setup rumgespielt. Bislang hatte ich kein IPv6 benutzt, da mein Handyanbieter das noch immer nicht anbietet. Wie auch immer...

Erstaunlicherweise lief es bei mir auch erst mal nicht. Ich weiß nicht warum, aber die Fritzbox hatte im Freigabe-Dialog eine falsche IPv6-Adresse eingetragen. Vermutlich hatte mein Server diese Adresse früher mal.
Jedenfalls hab ich dort manuell die aktuelle "IPv6 Interface-ID" von meinem Server eingetragen (also die hintere Hälfte der IP-Adresse). Danach ging es (bestätigt durch einen externen Portscanner)!

Bei dir könnte das gleiche Problem vorliegen. Vergleich mal die Adressangabe in der Freigabe der Fritzbox mit der Adressanzeige auf deinem Pi.

 

[snaxilian]

Solange du keine festen/statischen IPv6 Adressen bzw. Subnetz bekommst wirst du die Firewallregeln regelmäßig erneuern dürfen

 

[Mr. Robot]

Das Subnetz/Prefix kann sich ruhig ändern. Das verwaltet die Fritzbox schon richtig. Nur die Interface-ID war wohl mehr ein unverbindlicher Vorschlag. Die ändert der Server hoffentlich nicht regelmäßig.

 

[dj-melo]

@Gartenhaus schau mal hier https://www.computerbase.de/forum/t...i-erreichbar-von-aussen.1901040/post-23269020 auch Unity auch DS-Lite

wenn man sich dann wenn es läuft um die sicherheit gedanken machen will gibt nen check von nextcloud selbst https://scan.nextcloud.com/

 

[Gartenhaus]

Nachdem ich jetzt viel ausprobiert habe und es bisher nicht geklappt hat und ich auch lieber ne VPN Verbindung aufbauen will würde ich gerne dafür ne Lösung finden.
AVMs hauseigene VPN kann leider kein IPv6 also würde ich gerne PiVPN nutzen, was aber auch kein IPv6 unterstützt.
Irgendwer ne Lösung wie ich einen VPN Server trotzdem vom Pi hosten kann?

 

[Mr. Robot]

Nur mal so nebenbei: Wenn du es nicht schaffst, vom Internet auf deinen Pi zu zu greifen, spielt es keine große Rolle, ob du nicht auf dein Nextcloud oder nicht auf dein VPN-Server drauf kommst. Das Problem ist so ziemlich das gleiche...

 

[Gartenhaus]

Hast du die Adresse vom Pi mal kontrolliert, ob sie mit der in der Fritzbox eingetragenen übereinstimmt?

Ja, habe es auch mit einer myFritz Freigabe und einer normalen Portfreigabe probiert.
Es geht einfach nicht.

 

[martinallnet]

Ein VPN ist tendentiell eher schwerer einzurichten als die Freigabe für das Nextcloud.
Ich würde in so einem Fall über einen externen Server gehen, also VPN Uplink zu einem Server mit externer IP, über den man sich dann verbinden kann.
Das mache ich mit meinem Netzwerk für Geräte hinter NAT mit einem gemieteten vServer.

 

[Gartenhaus]

Habe toll Neuigkeiten!
Nachdem ich in der Fritzbox auf Andere Anwendung und nicht auf HTTPS gegangen bin läufts!
Nur über den DynDNS Dienst (MYFRITZ) komme ich noch nicht drauf. (Wieso nicht?)
Wenn ich aber die IPv6 Adresse (die bei der Portfreigabe steht) eintippe gehts!

 

[Mr. Robot]

Glückwunsch! War ja eine schwere Geburt...

Myfritz zeigt auf die Adresse der Fritzbox (wenn es überhaupt IPv6 unterstützt, keine Ahnung). Dein Pi hat seine eigene Adresse.

 

[Gartenhaus]

Myfritz zeigt auf die Adresse der Fritzbox (wenn es überhaupt IPv6 unterstützt, keine Ahnung). Dein Pi hat seine eigene Adresse.

Wie oft ändert sich die IPv6 von der Nextcloud?
Muss dann wahrscheinlich NoIP benutzen?

Ergänzung (21. Februar 2020)

Ach und nochmal ne kleine Frage zur Sicherheit.
Der NextCloud S´can gibt mir zwar A+ doch wie sicher ist meine Cloud wirklich?
Ich habe lediglich Port 443 freigegeben und zusätzlich noch 2 Faktor authentifizierung drinne.
Ist das soweit "sicher"?
Updates mache ich auf dem Pi wöchentlich, wenn NCP die sich nicht automatisch zieht.