ComputerBase Menü
Aktuelles

Externer Zugriff aus internem Netz funktioniert nicht mehr

D

davidsn

Gast
Hallo Zusammen,

ich hoffe ihr könnt mir weiterhelfen. Folgendes Problem: Seit heute kann ich, aus noch nicht ermittelbaren Gründen, nicht mehr auf meinem Homeserver über die externe IP zugreifen (andere außerhalb des Netzwerks aber schon).

Folgendes Setup: Ich habe einen Homeserver auf dem eine Handvoll Services laufen, die zum Teil auch von extern über eine Portfreigabe erreichbar sind. Seit ungefähr zwei Jahren konnte ich und andere außerhalb meines Netzwerkes so aus dem Internet auf die entsprechenden Services zugreifen. Die Services sind per DynDNS von extern über eine Domain erreichbar (Websites, TeamSpeak Server, Game Server).

Wie in der Einleitung schon beschrieben, kann ich seit heute nicht mehr auf die Services zugreifen, wobei andere außerhalb des Netzwerkes (und ich mit Handy Flat) keine Probleme dabei haben. Wenn ich über die lokale Server IP (192.168.178.27) gehe, habe ich keine Probleme. Da ich den externen Zugriff aber monitoren will, benötige ich auch die Option des externen Zugriffs.

Mir ist aufgefallen, dass nach einem Router Neustart und Fritz Repeater Neustart der Zugriff für wenige Minuten klappt. Für mich vollkommen unerklärlich bin aber auch ein Noob wenn es um Netzwerkdinge geht.

Fehlermeldung ist nur eine Zeitüberschreitung und über ein ping sehe ich auch, dass die Domain richtig aufgelöst wird.

Ich habe zu dem nach dem das Problem aufgetreten ist, den Router sowie den Repeater geupdatet -> Ergab keine Änderung

Router: FRITZ!Box 7590 AX
Repeater: FRITZ!Repeater 3000 (Router zu Repeater per WLAN, Repeater zu Server und PC per LAN)
-> Macht aber keinen Unterschied mit welchem Gerät der PC verbunden ist

Habt ihr Ideen? Bräuchtet ihr noch weitere Informationen? Bin neu hier und hoffe ich habe die richtige Forum Kategorie gewählt.
Vielen Dank euch allen schon mal!
 
Hast du die Box schon mal auf Werkszustand gesetzt und dann wieder neu eingerichtet?
 
Darf ich mal Zusammenfassen:
Du hast versch. Services auf dem internen Server.
Der Zugriff von Aussen klappt generell noch, aber nur von einzelnen Geräten?
Intern via IPv4 geht alles?

Welcher Internet Provider?
Ist das ein klassischer IPv4 Zugriff?
Geht der Zugriff von Aussen vielleicht über die IPv4 direkt?

Idee von @Joshua2go find ich auch gut, kann sich ja was verschluckt haben
 
Greifst du denn von intern wirklich über deine externe IP zu oder über die DDNS Adresse?
Der DDNS Eintrag muss halt auf dem primären DNS deines Clients korrekt aufgelöst werden.

Über die WAN IP war schon immer problematisch, die Lösung hier wäre hairpin NAT, aber das kann bei Consumer Router nicht konfiguriert werden. Manche erkennen das du WAN IP aufrufst und machen hairpin NAT automatisch, aber meistens geht das nicht.

Alternativ kannst du auch einfach einen Eintrag in deiner hosts Datei setzen.
 
Die FRITZ!Box unterstützt kein nat-loopback(von innen über externe ip wieder ins Netzwerk). Also hast du entweder eine manuelle Umleitung mittels DNS eingetragen, das jetzt spinnt, oder sonstwelche Einstellungen, die jetzt nicht mehr funktioniert
 
Azghul0815 schrieb:
Darf ich mal Zusammenfassen:
Du hast versch. Services auf dem internen Server.
Der Zugriff von Aussen klappt generell noch, aber nur von einzelnen Geräten?
Intern via IPv4 geht alles?

Welcher Internet Provider?
Ist das ein klassischer IPv4 Zugriff?
Geht der Zugriff von Aussen vielleicht über die IPv4 direkt?

Idee von @Joshua2go find ich auch gut, kann sich ja was verschluckt haben
Zum Vergrößern anklicken....

Alles via IPv4, IPv6 habe ich aktuell abgeschaltet.
Der Zugriff von außen via IPv4 direkt ist auch nicht möglich, Internet Provider ist Telekom.
Richtig Zugriff von außen generell geht nur alle Geräte die mit meiner Fritz Box verbunden sind können, wenn, dann nur direkt über die internee IPv4 IP auf den Server zugreifen.
Ergänzung ()

Joshua2go schrieb:
Hast du die Box schon mal auf Werkszustand gesetzt und dann wieder neu eingerichtet?
Zum Vergrößern anklicken....
Stand jetzt noch nicht, da ich ungern die ganzen Einstellungen neu machen wollen würde und die Services dann auch eine größere Downtime hätten (aktuell bin nur ich betroffen). Wäre also der letzte Versuch den ich gehen würde.
 
davidsn schrieb:
Der Zugriff von außen via IPv4 direkt ist auch nicht möglich
Zum Vergrößern anklicken....
Das liegt aber eher an dem Reverse Proxy der da vermutlich dazwischen ist als am Router.
Ergänzung ()

davidsn schrieb:
alle Geräte die mit meiner Fritz Box verbunden sind können, wenn, dann nur direkt über die internee IPv4 IP auf den Server zugreifen.
Zum Vergrößern anklicken....
Dann mach einen Eintrag im DNS rebindschutz der Fritzbox oder hosts Datei oder einen anderen DNS Server der das kann.
 
h00bi schrieb:
Greifst du denn von intern wirklich über deine externe IP zu oder über die DDNS Adresse?
Der DDNS Eintrag muss halt auf dem primären DNS deines Clients korrekt aufgelöst werden.

Über die WAN IP war schon immer problematisch, die Lösung hier wäre hairpin NAT, aber das kann bei Consumer Router nicht konfiguriert werden. Manche erkennen das du WAN IP aufrufst und machen hairpin NAT automatisch, aber meistens geht das nicht.

Alternativ kannst du auch einfach einen Eintrag in deiner hosts Datei setzen.
Zum Vergrößern anklicken....
Also ich greife immer über die Domain zu, die dann automatisch von cloudflare-ddns aktualisiert wird, wenn ein IP Change stattfindet (A Eintrag direkt auf die Public IP meines ISP, in manchen Fällen mit Cloudflare Proxy was dann auch funktioniert)
chrigu schrieb:
Die FRITZ!Box unterstützt kein nat-loopback(von innen über externe ip wieder ins Netzwerk). Also hast du entweder eine manuelle Umleitung mittels DNS eingetragen, das jetzt spinnt, oder sonstwelche Einstellungen, die jetzt nicht mehr funktioniert
Zum Vergrößern anklicken....
Das wundert mich, also der Weg war vorher wie jetzt auch wie folgt:
Mein PC -> Ruft Domain abc.beispiel.de auf -> Wird durch den Pi-Hole inkl. Unbound aufgelöst zur Public IP meines ISP -> Router -> Server -> Reverse Proxy -> Zum Service (oder ohne Reverse Proxy bei Game Server etc.)

Und der ganze Weg funktioniert auch weiterhin nur seit heute nicht mehr bei mir aus meinem eigenen Netz.
Mir würde nichts einfallen, was das geändert hat.
h00bi schrieb:
Das liegt aber eher an dem Reverse Proxy der da vermutlich dazwischen ist als am Router.
Ergänzung ()


Dann mach einen Eintrag im DNS rebindschutz der Fritzbox oder hosts Datei oder einen anderen DNS Server der das kann.
Zum Vergrößern anklicken....
Danke für den Hinweis.

Würde jetzt die ganzen DNS Einträge im Local DNS von Pi Hole eintragen. Das scheint auch soweit zu funktionieren.

Vielen Dank für eure Hilfe! Sehr viel Input und auch neues Wissen.

Macht für mich auch Sinn, dass es so etwas wie "NAT-Loopback" gibt und das hier auch die Ursache sein könnte. Wundert mich aber wieso es bisher funktioniert hat und ohne einen Hinweis jetzt auf einmal nicht mehr geht.
Ergänzung ()

Anscheinend ist das NAT-Loopback der Fritz Box aber nicht verantwortlich, der funktioniert über den DNS. Da aber der DNS von Pi Hole übernommen wird und der direkte Zugriff über die Public IPv4 Adresse auch nicht geht würde ich das hier ausschließen, oder? Die Adressen habe ich trotzdem im Rebind Schutz eingetragen.
 
Zuletzt bearbeitet von einem Moderator:
davidsn schrieb:
Ruft Domain abc.beispiel.de auf -> Wird durch den Pi-Hole inkl. Unbound aufgelöst zur Public IP meines ISP -> Router -> Server -> Reverse Proxy -> Zum Service (oder ohne Reverse Proxy bei Game Server etc.)
Zum Vergrößern anklicken....
Nein, du landest von unbound direkt intern, bzw. so sollte es sein.
Wenn du unbound betreibst ist dein Problem mit an Sicherheit grenzender wahrscheinlichkeit in der Combo Unbound/Pihole zu finden.
 
  • Gefällt mir
Reaktionen: chrigu
chrigu schrieb:
Die FRITZ!Box unterstützt kein nat-loopback
Zum Vergrößern anklicken....
Das wäre mir zwar neu, weil Fritzboxxen soweit ich weiß schon immer NAT-Loopback unterstützt haben, aber ich kann mich irren und da ich keine Fritzbox habe, kann ich das weder be- noch widerlegen. ;)

Andererseits scheint es bei dem TE ja bisher genau so funktioniert zu haben, wobei wir da natürlich die genauen Rahmenbedingungen nicht kennen. :confused_alt:

davidsn schrieb:
Mein PC -> Ruft Domain abc.beispiel.de auf -> Wird durch den Pi-Hole inkl. Unbound aufgelöst zur Public IP meines ISP -> Router -> Server -> Reverse Proxy -> Zum Service (oder ohne Reverse Proxy bei Game Server etc.)
Zum Vergrößern anklicken....
Grundsätzlich ist dieser Weg von innen per NAT-Loopback auch eher zu vermeiden, weil es Performance kosten kann. Die Verbindung nimmt dabei immer den Umweg über und vor allem durch den Router und der kann ggfs nicht mit vollen 1 Gbit/s NATten. Bei einem Gameserver mag das halb so wild sein, aber wenn man auf diesem Wege zB ein NAS anbindet, schießt man sich möglichweise ins eigene Knie, weil man schlimmstenfalls eben nur noch mit .. .. was weiß ich, 70 statt 120 MByte/s kopieren kann. Das ist dann 100%ig von der NAT-Performance des Router abhängig, kann schnell genug sein, kann aber auch zum Flaschenhals werden.

davidsn schrieb:
Wenn ich über die lokale Server IP (192.168.178.27) gehe, habe ich keine Probleme. Da ich den externen Zugriff aber monitoren will, benötige ich auch die Option des externen Zugriffs.
Zum Vergrößern anklicken....
Ich verstehe ehrlich gesagt nicht was du da monitoren willst, wenn du selbst von innen nach außen nach innen zugreifst?

davidsn schrieb:
Anscheinend ist das NAT-Loopback der Fritz Box aber nicht verantwortlich, der funktioniert über den DNS. Da aber der DNS von Pi Hole übernommen wird und der direkte Zugriff über die Public IPv4 Adresse auch nicht geht würde ich das hier ausschließen, oder? Die Adressen habe ich trotzdem im Rebind Schutz eingetragen.
Zum Vergrößern anklicken....
Wenn es direkt mit der Public IP - also ohne Domain - nicht geht, dann haben @h00bi und @chrigu Recht und die Fritzbox unterstützt kein NAT-Loopback oder es ist ggfs nicht aktivert (keine Ahnung ob's nen Haken gibt). NAT-Loopback selbst hat mit DNS aber erstmal nichts zu tun, das sind zwei Paar Schuhe.

Code: 
                                     ┌───────┬────────┬───────────────────────┐
                       ┌────────┐    │       │ Router │                       │
    PC ────WAN-IP─────►│        ├───►│       │        │      ──┐              │
                       │ Switch │    │ (LAN) │FIREWALL│  (WAN) │NAT-Loopback  │
Server ◄───Local-IP────┤        │◄───┤       │PORTWL  │      ◄─┘              │
                       └────────┘    │       │        │                       │
                                     └───────┴────────┴───────────────────────┘
Ohne NAT-Loopback und mit lokaler IP entfällt der komplette Routerblock mit all seinen Abeitsschritten.

DNS käme erst dann ins Spiel, wenn der PC eben nicht direkt die WAN-IP per Eingabe ansteuert, sondern eine Domain, die anschließend von der Fritzbox auf eine lokale IP oder ggfs die WAN-IP aufgelöst wird. Hierbei greift der DNS-Rebind-Schutz, da public Domains mit lokaler IP ein Hinweis auf Malware sein kann. Aber ohne Domain kein DNS und ohne DNS kein DNS-Rebind-Schutz.
 
FRITZ!OS kann NAT-Loopback. Und auch der DNS-Rebind-Schutz ist dann nicht nötig, wenn die FRITZ!Box für jene Domain den Dynamic-DNS-Client spielt. Allerdings scheinen tatsächlich noch andere Regeln zu gelten, wann der DNS-Rebind-Schutz greift und wann nicht. Daher und weil hier auch noch ein Pi-hole im Einsatz ist, besser Domain doch eintragen …
davidsn schrieb:
Wundert mich aber wieso es bisher funktioniert hat und ohne einen Hinweis jetzt auf einmal nicht mehr geht.
Zum Vergrößern anklicken....
FRITZ!Box neu gestartet, deren DNS-Cache hat sich geleert, … es kann so Vieles sein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Einbindung einer IP Kamera ins Heimnetz mit eingeschränktem Zugang
Antworten
15
Aufrufe
599
norKoeri
N
M
Netzwerkdrucker nicht erreichbar WIN 10
Antworten
2
Aufrufe
1.034
Marce068
M
S
FRITZ!Box 4040 als Medienserver mit USB Festplatte Fire Stick Zugriff wie herstellen?
Antworten
1
Aufrufe
388
omavoss
O
Wolly300
Fritz!Box DNS nicht auflösbar hinter Ubiquiti und sehr viel suspicious traffic
Antworten
3
Aufrufe
914
Raijin
Raijin
D
Port/ Verbindungsprobleme Minecraft Server
2
Antworten
30
Aufrufe
1.377
DerRatsuchende
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz