Weiterleitung über duckdns -> fritzbox -> nginx Proxymanager -> Container

Domski

Captain
Registriert
Okt. 2007
Beiträge
3.254
Moin zusammen,
Ich probiere testweise mal ein bissel mit dem Aufsetzen von Services herum, die auch aus dem Internet erreichbar sein sollen. Dafür habe ich mir auf meinem Proxmox Host folgendes installiert:
  • nginx Proxymanager
  • Ein Container mit Webfrontend
Weiterhin habe ich einen Account bei duckdns erstellt:
  • meineDomain.duckdns.org
Am nginx Proxymanager habe ich einen neuen Host erstellt
  • frontend.meineDomain.duckdns.org und hier dann auf die <IP>:<Port> der internen Resource weiter verwiesen
    • <IP>:<Port> wird in meinem lokalen Netz korrekt aufgelöst.
Auf meiner Fritzbox habe ich folgendes eingestellt:
  • Duckdns Account entsprechend konfigurier (Zugang wird korrekt als "verbunden" gelistet)
  • Portfreigaben (Port 80 und 443) für den Nginx Proxymanager (für IPv4 und IPv6) erstellt.
  • DNS-Rebind Schutz für den erstellten Host eingetragen (frontend.meineDomain.duckdns.org) und Fritzbox neu gestartet

Soweit so gut - leider will das Konstrukt nicht so wirklich. Zwar wird die URL (frontend.meineDomain.duckdns.org) aufgelöst, aber meine Fritzbox meint sich einmischen zu müssen und beantwortet die Anfrage immer mit der Aufforderung einen Nutzernamen und Passwort einzugeben. Hier habe ich aber weder was einkonfiguriert, noch habe ich eine Ahnung, welchen Nutzernamen/Passwort hier denn das richtige wäre...
1730937668068.png


Hat hier jemand einen Hinweis, was ich hier übersehe?
Danke und Grüße!
 
Bin mir nicht sicher, ob du eine subdomain in deinem NPM einstellen kannst. Was sagt denn ein ping auf die frontend.meineDomain.duckdns.org? Hast du mal versucht den Service ohne das „frontend.“ zu konfigurieren und aufzurufen?
 
Zuletzt bearbeitet: (Wer lesen kann, ist klar im Vorteil)
Das mit dem freigegeben Frontend wirds vermutlich nicht, sein. Aber dennoch prüfen.

löst es auf IPV4 oder V6 auf?

Bei V6 landest du auf der FB, weil sie ihre eigene V6 bei Duckdns einträgt.
Da muss die V6 vom Nginx rein.

Was passiert, wenn du die Weiterleitung änders?

8443 > 443
8080 > 80
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Der Lord
Hast du den Fritzbox Fernzugriff aktiviert? (Internet --> Freigaben --> Fritzbox Dienste)
Der läuft vermutlich bereits über Port 443 und geht der Portweiterleitung vor.
 
  • Gefällt mir
Reaktionen: guzzisti und conf_t
Domski schrieb:
[In meiner FRITZ!Box daheim] habe ich aber weder was einkonfiguriert
fritz.box → Internet → Freigaben → FRITZ!Box-Dienste → (Internetzugriff) auf die FRITZ!Box über HTTPS aktiviert
Domski schrieb:
noch habe ich eine Ahnung, welchen Nutzernamen/Passwort hier denn das richtige wäre
fritz.box → System → (Reiter) Benutzer → fritzDDDD → (Eigenschaften) automatisch angelegt
Jenes fritzDDDD ist der Benutzername zu Deinem üblichen FRITZ!Box-Kennwort.

Für den Rest bzw. Deine eigentliche Frage suche bitte nach dem Stichwort ip6lanprefix …
 
Besten Dank für die ganzen Antworten. Ich versuche die Punkte der Reihe und hoffentlich vollständig zu beantworten. Gerade habe das Ganze auch noch einmal außerhalb meines Intranets mit meiner Bimmel getestet - da sieht das ganze noch einmal anders, aber nicht unbedingt besser aus.

Bevor ich auf die Punkte eingehe, mal noch eine Verständnisfrage:
Warum ist meine externe IP bei der Anzeige zwischen meiner Fritzbox (und damit auch der eingetragenen IP, die dadurch bei duckdns.org eingetragen wird) und von bspw. wieistmeineip.de unterschiedlich? Das sollte sich doch eigentlich nicht unterscheiden?!

PrimusFighter schrieb:
Bin mir nicht sicher, ob du eine subdomain in deinem NPM einstellen kannst. Was sagt denn ein ping auf die frontend.meineDomain.duckdns.org? Hast du mal versucht den Service ohne das „frontend.“ zu konfigurieren und aufzurufen?

Habe ich auch ausprobiert, indem ich einen eigenen ProxyHost im NginxProxyManager für sich selber angelegt habe. Fruchtet aber auch nicht. Ich komme partout auf keinen der entsprechend eingestellten ProxyHosts.
Ein Ping auf auf mein erstelltes duckdns.org Profil, nennen wir es mal domski.duckdns.org, wird übrigens korrekt mit der IP aufgelöst, aber als Antwort bekomme ich immer nur die schöne "Zeitüberschreitung der Anforderung" :-/

xammu schrieb:
Das mit dem freigegeben Frontend wirds vermutlich nicht, sein. Aber dennoch prüfen.

löst es auf IPV4 oder V6 auf?

Bei V6 landest du auf der FB, weil sie ihre eigene V6 bei Duckdns einträgt.
Da muss die V6 vom Nginx rein.

Was passiert, wenn du die Weiterleitung änders?

8443 > 443
8080 > 80
Ich fürchte, da kann ich dir nicht ganz folgen. Meinst du, dass ich die IPv6 des nginxProxyManager Hosts bei duckdns.org eintragen muss. Vmtl. muss ich dann die IPv6 Update URL bei der dyndns Config rausnehmen, damit das nicht ad hoch fritzbox-seitig aktualisiert wird, richtig?

slrzo schrieb:
Hast du den Fritzbox Fernzugriff aktiviert? (Internet --> Freigaben --> Fritzbox Dienste)
Der läuft vermutlich bereits über Port 443 und geht der Portweiterleitung vor.
Nope, das ist nicht aktiviert.

JustOne schrieb:
IPv4 und v6... Hast du es schonmal von ausserhalb des Netzwerks versucht?

Hierzu gibt's eine Info von AVM:
https://avm.de/service/wissensdaten...HTTPS-Server-im-FRITZ-Heimnetz-nicht-moglich/
Vmtl. ziehlt das auf das Gleiche ab, was @xammu erwähnt, richtig?

norKoeri schrieb:
fritz.box → Internet → Freigaben → FRITZ!Box-Dienste → (Internetzugriff) auf die FRITZ!Box über HTTPS aktiviert

fritz.box → System → (Reiter) Benutzer → fritzDDDD → (Eigenschaften) automatisch angelegt
Jenes fritzDDDD ist der Benutzername zu Deinem üblichen FRITZ!Box-Kennwort.

Für den Rest bzw. Deine eigentliche Frage suche bitte nach dem Stichwort ip6lanprefix …
Internetzugriff ist nicht aktiviert.
Der PredefinedUser mit meinem Passwort klappt tatsächlich nicht...ich werde es mal mit dem Erstellen eines neuen Users ausprobieren.
 
Domski schrieb:
Warum ist meine externe IP bei der Anzeige zwischen meiner Fritzbox (und damit auch der eingetragenen IP, die dadurch bei duckdns.org eingetragen wird) und von bspw. wieistmeineip.de unterschiedlich?
Welche, IPv4 oder IPv6 oder beide?
 
@norKoeri:
IPv5 ist eine komplett andere, IPv6 ist immerhin das Präfix das gleiche....ich sehe hier den Wald vor lauter Bäumen nicht mehr :-/
 
Du wirst keine öffentliche IPv4-Adresse haben, sondern so eine 100er. Daher siehst Du lokal eine andere IPv4 als das Internet. Bei IPv6 bekommt jedes Gerät eine (sogar mehrere) IPv6-Adressen aus Deinem dynamischen Präfix. In Deinem Fall musst Du ausschließlich die IPv6 hinterlegen, also keine IPv4. Und die IPv6-Adresse des Geräts, dass Du ansprechen willst. Am Einfachsten gehst das (a) über einen DynamicDNS-Client auf dem Gerät oder (b) über die FRITZ!Box und einen DynamicDNS-Anbieter, der „ip6lanprefix“ unterstützt.
 
  • Gefällt mir
Reaktionen: Der Lord
Stimmt...ich habe eine 100er Adresse - ergo habe ich keine eigene IPv4 Adresse, richtig?
Davon ab habe ich mir einen dyndns Anbieter gesucht, der das ip6lanprefix Konstrukt unterstützt. Mit https://dynv6.com/ bin ich entsprechend nach folgender Anleitung vorgegangen. Soweit ich das beurteilen kann, läuft das Ganze auch so wie es sollte. Der Sync wird durchgeführt die volle IPv6 Adresse wird in der Übersicht angezeigt.

Aber hey....es will trotzdem nicht. Ich komme partout nicht auf meine eigene Resourcen. Wenn immerhin mal ein Ping aufgelöst werden würde, aber keine Chance. Nüschte.

Ich habe noch einmal folgende geprüft:
  • IPv6 Interface-ID wird definitiv für die Update URL bei der dyndns Config genutzt
  • DynDns Config wird also valide angezeigt
  • Port-Freigabe für meinen nginx Proxy Manager für 80 und 443 (für IPv4 und IPv6) erstellt.
    • Die hier gelistete "IP-Adresse im Internet" für IPv6 ist auch die, die in der dynv6.com Übersicht angezeigt wird

Irgendwas muss ich hier doch übersehen :-/
 
Domski schrieb:
ich habe eine 100er Adresse - ergo habe ich keine eigene IPv4 Adresse, richtig?
Jepp, das ist CGNAT, also eine Shared-Address …
Domski schrieb:
Soweit ich das beurteilen kann,
Am besten die hinterlegte IPv6-Adresse überprüfen, also mit Tools wie dig oder nslookup. Einmal von daheim und unterwegs, also Handy über LTE. Dabei nicht nur den AAAA-Record sondern auch A-Record und CNAME überprüfen. Nicht das von vorher noch irgendwas hinterlegt ist.
 
  • Gefällt mir
Reaktionen: r34ln00b und Der Lord
Moin @norKoeri ,
Schon einmal besten Dank, dass du mir hier beim Troubleshooten hilfst - Träumken :)
Ich habe meine hinterlegte IPv6 Adresse mit nslookup und dig geprüft - jeweils außerhalb meines Netzes (mit Hotspot über's Handy). Als Anbieter bin ich probehalber einmal auf dnshome.de gewechselt - unterstützt ebenfalls das ip6lanprefix Konstrukt, macht aber im Ergebnis anscheinend keinen Unterschied :-/
Um es etwas anonymer zu halten, den Hostname mal mit "myprefix" und die ipv6 Adresse mit xxx... ersetzt:

nslookup <myprefix>.dnshome.de
Löst korrekt meine IPv6 auf. Hier wird die IPv6 gelistet, die mein nginx Proxy Manager im Internet hat (wird 1:1 auch so in meiner Fritzbox angezeigt).

dig <myprefix>.dnshome.de AAAA
Als Ergebnis erhalte ich folgenden Output:
Code:
; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> <myprefix>.dnshome.de AAAA

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13312
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;<myprefix>.dnshome.de.            IN      AAAA

;; ANSWER SECTION:
<myprefix>.dnshome.de.     300     IN      AAAA    xxxx:xxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

;; Query time: 29 msec
;; SERVER: 10.255.255.254#53(10.255.255.254) (UDP)
;; WHEN: Sun Nov 10 23:22:11 CET 2024
;; MSG SIZE  rcvd: 75


dig <myprefix>.dnshome.de A
Als Ergebnis erhalte ich folgenden Output:
Code:
; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> <myprefix>.dnshome.de A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48217
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;<myprefix>.dnshome.de.            IN      A

;; AUTHORITY SECTION:
dnshome.de.             3600    IN      SOA     ns1.dnshome.de. hostmaster.dnshome.de. 1731275225 14400 3600 604800 3600
;; Query time: 39 msec
;; SERVER: 10.255.255.254#53(10.255.255.254) (UDP)
;; WHEN: Sun Nov 10 23:27:24 CET 2024
;; MSG SIZE  rcvd: 98

Und zu guter noch die ANY Abfrage via
dig <myprefix>.dnshome.de ANY
Code:
; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> <myprefix>.dnshome.de ANY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56367
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;<myprefix>.dnshome.de.            IN      ANY

;; Query time: 329 msec
;; SERVER: 10.255.255.254#53(10.255.255.254) (TCP)
;; WHEN: Sun Nov 10 23:34:36 CET 2024
;; MSG SIZE  rcvd: 47


Wenn ich die Responses korrekt interpretieren, dann scheint meine IPv6 Adresse zwar korrekt beim dyndns-Anbieter (in meinem Fall jetzt dnshome.de) hinterlegt zu werden (ist wie gesagt die gleiche IPv6 wie unter Fritzbox --> Freigaben --> Portfreigaben --> <nginxProxyManagerHost> --> IP Adresse im Internet gelistet), aber das Delegieren an den eigentlichen Nginx funktioniert nicht.
Oder liegt hier noch woanders das Problemchen?

Danke und Grüße :)
 
Zurück
Oben