Strange: Nextcloud nur über manche PCs erreichbar

[brainDotExe]

Ja, wenn man sich damit beschäftigt wird einiges klarer.
Ich hatte in der Ausbildung auch nur die Basics zu IPv6, im Studium so gut wie gar nichts... Letztendlich habe ich das Meiste durch Learning by Doing auf der Arbeit gelernt.

Zum Thema:
Ich kenne jetzt die Vodafone Station und deren Möglichkeiten nicht, aber ich vermute stark, dass genau wie bei der Fritzbox eine Firewall externe IPv6 Anfragen standardgemäß blockiert und Ausnahmen eingetragen werden müssen. Also entweder ganz klassisch per Port, Protokoll und Zielgerät oder generell sämtlichen Traffic für ein Gerät durch lassen.

 

[snaxilian]

DynDNS gelistet, dort ist neben dem klassischen A-Record auch der AAAA-Record für die IPv6 Adresse hinterlegt

Ja und nein. Du bekommst nicht eine v6 Adresse sondern eine v6 Adresse für das WAN-Interface deines Routers und ein ganzes Subnetz für die Geräte in deinem LAN.

Dein dyndns Dienst auf dem Router macht also den Router erreichbar, nicht irgendwelche Geräte dahinter. Das passiert bei IPv4 dann durch NAT (Mangel an öffentlichen Adressen und private Adressen werden im Internet ja nicht geroutet).
Bei v6 gibt es (in der Theorie) kein NAT. Die Tatsache, dass man das doch irgendwie frickeln kann ignorieren wir mal denn mit solchen Widerlichkeiten fangen wir am besten gar nicht erst an^^
Da wir also kein NAT bei v6 haben müsste den dyndns Client somit eher die öffentliche v6 Adresse des Geräts auf dem deine Nextcloud läuft in den AAAA Record setzen.

Diese wird eingehende IPv6 Verbindungen standardmäßig verwerfen oder kann man dies explizit für die NC zulassen? Sonst wären ja alle Geräte mit IPv6 aus dem Internet erreichbar.

Ich halte meine Antwort mal allgemeiner da ich ein keine VF Station verwende und weil ich der Meinung bin, dass man immer das Prinzip lernen sollte und niemals nur die Umsetzung auf Hersteller-spezifischen Lösungen.
Rein vom Routing her betrachtet sind ja alle Geräte aus dem Internet erreichbar, da diese Geräte mit IPv6 eben Teil des öffentlichen Internets sind. Genau so wie in der Zeit vor 20 Jahren und davor gefühlt direkt jeder PC Teil des Internets war sobald er sich per 56K-Modem oder ISDN eingewählt hat.
Diese "Krücke" mit NAT im zentralen Router zuhause entwickelte sich erst als immer mehr Geräte zuhause ins Internet wollten oder sollten und die Adressen knapp wurden^^

Damit jetzt also nicht überall Alice und Bob ihre Endgeräte selbst absichern müssen was oft einfach nicht geht oder das Wissen dazu fehlt gibt es auf den meisten All-in-One Kisten die man so zuhause hat eben nicht nur ein Modem, Router, Switch, Access Point, "Telefonanlage" und DHCP- & DNS-Server sondern dort läuft oft auch eine Firewall mit.
Im Normalfall erlaubt die jeden ausgehenden Traffic, eingehend aber erst einmal nix. Soll ein Gerät im heimischen Netz von außen erreichbar gemacht werden so ist unter IPv4 eine Portweiterleitung UND ein Firewalleintrag notwendig und mit IPv6 nur eine Freigabe in der Firewall nötig. Viele All-in-One-Routerlösungen für Endkunden haben den Teil für v4 jedoch zusammen gefasst um die Einrichtung zu erleichtern.

Bevor du jetzt fragst (denn die Frage kommt dann oft als nächstes): Ja, die öffentlichen v6 Adressen deiner Geräte können und ggf. werden sich auch ändern und nein, du musst da dann nicht andauernd deine v6 Firewallregeln anpassen denn bei vernünftigen Lösungen werden die Regeln nicht an die (sich wechselnde) v6 Adresse gebunden sondern an die IPv6 Interface Identifier.

 

[Poati]

Ich danke euch @brainDotExe & @snaxilian nochmals.

Du bekommst nicht eine v6 Adresse sondern eine v6 Adresse für das WAN-Interface deines Routers und ein ganzes Subnetz für die Geräte in deinem LAN

Ja genau, das hatte ich so auch verstanden. Anders könnte die Kommunikation dann lokal im Netz ja auch nicht laufen, wenn nur die NC die Adresse bekäme. Also klar, das muss am WAN-Interface der Vodafone Station hängen, deswegen hatte ich die in Klammern gesetzt.

Also ja ich habe hier jetzt auch was lernen können und in Anbetracht dieser Lösung kann ich von meinem ursprünglichen Vorschlag, die Hosts-Datei zu editieren nur abraten!

 

[te one]

So, sorry für die späte Antwort - hat leider 2 Wochen gedauert bis ich mal wieder Zeit für die Nextcloud gefunden habe (Umzug, neuer Job). Danke für die vielen Antworten - habe einiges dazu gelernt.

Erstmal zur weiteren Problemeingrenzung (ich versuche hier immer über externe IPv4 zuzugreifen):
Hänge ich per LAN irgendwo im Netz, landen keine IP-Pakete an meiner Nextcloud (curl, log).
Hänge ich per WLAN an der Vodafone Station klappt alles.
Nutze ich mobile Daten, so klappt auch alles.
=> Ergebnis: Wenn ein Paket (an die IPv4-WAN-Adresse addressiert) per LAN in die Vodafone Station kommt, wird dieses Paket nicht zurück ins LAN geroutet.

Nun, wie lässt sich mein Problen lösen... Schwierig. Die Vodafone Station hat weder eine anständige Firewall (nur an/aus) noch sonst großartige Möglichkeiten. Das Teil (man entschuldige) ist das Letzte... Einziger Luxus sind Port-Forwarding, Port-Triggering und DynDNS-Updates.
Da ich nicht einfach mit IPv6 alles öffnen möchte (und ich kann ja nicht selektiv nur ein Gerät freischalten), denke ich tatsächlich über die Lösung mit der geänderten Hosts-Datei nach.

@brainDotExe @Poati @snaxilian @ChristianSL @DeusoftheWired Seht ihr noch andere Möglichkeiten?

Eine Alternative fällt mir eben noch ein: Meine Nextcloud läuft ja als VM auf einem Windows-10-Rechner (sowieso 24/7-Betrieb). Wenn ich mir in Windows einfach die DNS-Rolle hole und diesen einen externen DNS-Namen dort auflöse... Ist das eine Idee?
Meine Geräte im LAN haben sowieso feste Adressen, da könnte ich den DNS auch festlegen. Wäre nur die Frage, ob alle Clients standardmäßig erst mit dem ersten DNS-Server versuchen aufzulösen. Ich würde gerne immer zwei DNS-Server eintragen falls der Windows-Rechner doch mal ausfällt.

 

[Bob.Dig]

Wenn IPv6 tatsächlich geht, dann musst Du diese ja nicht nach außen freigeben.

 

[Poati]

Ich mag da auf dem Holzweg liegen, weil ich noch nie auf die Idee kam einen Windows Client als DNS Server zu nutzen, aber ich glaube das geht nur mit der Server Variante von Windows, die auch etwas kostspieliger ist.
Mit einem DNS Server über den du dann die volle Kontrolle hättest, würdest du auch ans Ziel kommen. Wir sind hier aber eher zu dem Schluss gekommen, dass das in deinem Fall etwas zu viel des guten wäre.

Der Clou mit IPv6 war ja gerade, dass es deine Probleme im lokalen Netz löst. Du musst es gar nicht nach draußen für alle Geräte aktivieren. Der Zugriff von außen erfolgt weiterhin über IPv4 auf deine DynDNS-Domain. Wieso das alles so funktioniert, habe ich mir ja hier auch erklären lassen.

Vergiss daher meinen Vorschlag mit den Einträgen in der Hosts Datei. Sollte auch funktionieren, bietet aber null Vorteile gegenüber der IPv6-Lösung. Ganz im Gegenteil.

 

[te one]

@Poati Soweit ich weiß können DNS auch Client-Betriebssysteme.
So ganz habe ich das mit IPv6 noch nicht verstanden. Da ich eine Synchronisation einrichte, muss es intern und extern unter dem gleichen Namen erreichbar sein.
Also DynDNS-Eintrag mit A und AAAA anlegen? Wenn ich intern bin ist der AAAA erreichbar und wenn ich extern bin nur der A?
Kann mir nicht so ganz vorstellen, dass er das nimmt was gerade funktioniert.

Hosts-Datei ändern ist übrigens wirklich nervig mittlerweile. Wird immer wieder auskommentiert solange man auf die Datei keinen Schreibschutz macht...

 

[Bob.Dig]

Nachteil bei IPv6 ist, dass sich die IPs mit der Zeit auch ändern können, weil i.d.R. auch nur ein dynamischer Prefix.
Du könntest einen anderen Router benutzen, der auch NAT-Loopback beherrscht oder ggf. einen Pi-hole einsetzen, sofern der split-DNS kann.

 

[brainDotExe]

Also DynDNS-Eintrag mit A und AAAA anlegen? Wenn ich intern bin ist der AAAA erreichbar und wenn ich extern bin nur der A?

Genau. Sämtliche Geräte versuchen zuerst den AAAA Record zu erreichen, ist dies nicht möglich, wird auf den A Record zurückgefallen.

Nachteil bei IPv6 ist, dass sich die IPs mit der Zeit auch ändern können, weil i.d.R. auch nur ein dynamischer Prefix

Da er ja sowieso schon einen DynDNS Dienst verwendet stellt dies kein Problem dar, der aktualisiet ja auch den AAAA Record.

 

[Bob.Dig]

Da er ja sowieso schon einen DynDNS Dienst verwendet stellt dies kein Problem dar, der aktualisiet ja auch den AAAA Record.

Problem bei IPv6 ist aber, dass jede Maschine ihre eigene IPv6 hat und die DDNS-Unterstützung dafür im Router oft nicht gegeben ist.

 

[brainDotExe]

@Bob.Dig es ist doch kein Problem den DynDNS Client auf der Maschine selbst laufen zu lassen.
Man benötigt bei IPv6 ja sowieso für jede Maschine eine eigene DynDNS (Sub-)Domain.

 

[te one]

Also aktuell (Vodafone Station macht DynDNS-Aktualisierung) wird kein passender AAAA-Eintrag angelegt.
Selbst wenn ich nun den DynDNS-Client auf den Nextcloud-Server mache und das mit dem AAAA-Eintrag klappen würde, müsste ich komplett die IPv6-Firewall der Vodafone-Station ausschalten um den Server zu erreichen. Das möchte ich eigentlich nicht.

Ohne zusätzliche Hardware oder Umwege über virtualisierte Firewall oder sowas erscheint mir das mit der Hosts-Datei immer noch am geeignetsten...

 

[brainDotExe]

müsste ich komplett die IPv6-Firewall der Vodafone-Station ausschalten um den Server zu erreichen. Das möchte ich eigentlich nicht.

Das genau musst du eben nicht.
Wenn ein Gerät von extern versucht auf die IPv6 Adresse aus dem AAAA Record zuzugreifen, wird die Verbindung abgelehnt, dann fällt es auf den A Record zurück.

 

[te one]

Ich sollte weniger trinken... Natürlich hast du Recht - hatten wir ja oben schon.
Das werde ich mal testen

Gibt es auch die Variante, dem NextCloud-Server intern eine feste IPv6 zuzuweisen und auf dem externen DNS-Server diese interne IP einzutragen? (Klingt abenteuerlich - wüsste gerne, ob das geht^^)

 

[snaxilian]

@brainDotExe Bist dir sicher, das es da dann einfach ein "connection refused" o.ä. gibt? Rein bei DNS wäre ich bei dir, bekommt der Client kein Ergebnis für AAAA dann nimmt der den A Record und damit v4 aber wenn es einen gültigen AAAA Record gibt und die Verbindung dahin scheitert dass der Client dann noch den A Record probiert und es so probiert?