ComputerBase Menü
Aktuelles

Kann auf die FritzBox nicht mit meiner Domain zugreifen

D

dersauer

Cadet 1st Year
Registriert
Jan. 2013
Beiträge
15
Hi Leute,

ich habe ein kleines Problem, was ich seit Wochen nicht gelöst bekomme.

Hardware:
- Fritz!Box 6590 Cable
- Synology NAS

Aufbau:

Habe eine DynDNS-Domain, die mit der Fritzbox gekoppelt ist, die NAS erreiche ich auch ohne Probleme.
Sowohl die Fritz!Box als auch die NAS werden mit ein SSL-Zertifikat geschützt. Die Ports der Fritzbox als auch der DSM der NAS sind erreichbar.

Problem:

Rufe ich meine Domain www.meinedomain.de auf geht sie direkt auf meine NAS (Eventuell liegt der Fehler daran), sowit alles perfekt.
Möchte ich die Fritz!Box jedoch erreichen und ich gebe ein: www.meinedomain.de:45497 (Fritzport) taucht die Sicherheitsmeldung auf:

Diese Verbindung ist nicht sicher

Der Inhaber von meinedomain.de hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.

Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.

Weitere Informationen…

Möchte ich nun die Ausnahme hinzufügen kommt folgende Meldung:

meinedomain.de:45497 verwendet ein ungültiges Sicherheitszertifikat.
Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

Fehlercode: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

Ich habe das Fritz!Box-Zertifikat auch schon deaktiviert, aber es kommt die gleiche Meldung.

Kann jemand damit was anfangen an was es liegen könnte?

Gruß

Philip
 
dersauer schrieb:
Rufe ich meine Domain www.meinedomain.de auf geht sie direkt auf meine NAS (Eventuell liegt der Fehler daran), sowit alles perfekt.
Möchte ich die Fritz!Box jedoch erreichen und ich gebe ein: www.meinedomain.de:45497 (Fritzport) taucht die Sicherheitsmeldung auf:

Diese Verbindung ist nicht sicher
Zum Vergrößern anklicken....

Standardmäßig ruft ein Browser eine Webseite per http auf. Also unverschlüsselt. Du musst vor die Adresse ein "https://" setzen, dann wird auch verschlüsselt.

meinedomain.de:45497 verwendet ein ungültiges Sicherheitszertifikat.
Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

Fehlercode: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

Ich habe das Fritz!Box-Zertifikat auch schon deaktiviert, aber es kommt die gleiche Meldung.
Zum Vergrößern anklicken....

Die Meldung sagt, dass das Zerifikat von der (unbekannten) Fritzbox kommt, und nicht überprüft werden kann. Das ist aber kein großes Problem.
Entweder, du sagst dem Browser, dass er das ignorieren soll. Entweder einmalig oder dauerhaft.
Oder du besorgst dir ein Zertifikat von einer externen Stelle, wie Let's Encrypt. Ob/wie man das in der Fritzbox einbindet, kann ich dir aber nicht sagen.
 
Ich hatte ein ähnliches Problem. Die NAS ist über die Domain via dem HTTPS Port erreichbar ( bzw. jetzt nur noch nextcloud ) die Fritzbox hat aber den gleichen HTTPS Port. Habe dann den HTTPS Port der Fritzbox geändert. Eventuell das gleiche Problem?
 
Ich rate generell davon ab, den direkten Zugriff auf GUIs über Portweiterleitungen von außen zu ermöglichen. Das Problem dabei ist, dass man nicht unbedingt ein super sicheres Passwort verwendet und
dass man dazu neigt, dies immer weiter auszubauen, wenn man erstmal damit angefangen hat. Anfangs nur Router und NAS, aber dann wäre der TV-Receiver ja noch interessant und dann könnte man ja noch dies und jenes.. Mit jeder Portweiterleitung sticht man weitere Löcher in die Firewall des Routers. Sobald man über eine Portweiterleitung reinkommt, ist es eine Frage der Sicherheit des jeweiligen Dienstes, der dann dahinter läuft. Wenn also das Passwort der GUI nicht stark genug ist, kann im worst case jemand den Router und/oder das NAS übernehmen und aus die Maus.

Der deutlich bessere und sichere Weg geht über eine VPN-Verbindung. Diese ist verschlüsselt und kann alles tunneln was im heimischen Netzwerk so rumläuft, inkl. unverschlüsselter Dienste wie eben auch nacktes FTP oder auch potentiell schlecht gesicherte GUIs. Dabei richtet man ausschließlich die Portweiterleitung(en) für den VPN-Server ein - oder auch gar keine, wenn selbiger direkt auf dem Router läuft wie zB auf der Fritzbox - und nutzt alle weiteren Dienste aus dem lokalen Netzwerk so als säße man daheim auf der Couch - verschlüsselt über VPN.
 
  • Gefällt mir
Reaktionen: brainDotExe und -=Azrael=-
Guter Punkt von Raijin. Es gibt nur wenige Gründe, warum der Router von außen erreichbar/angreifbar sein muss.
 
Raijin schrieb:
Der deutlich bessere und sichere Weg geht über eine VPN-Verbindung. Diese ist verschlüsselt und kann alles tunneln was im heimischen Netzwerk so rumläuft, inkl. unverschlüsselter Dienste wie eben auch nacktes FTP oder auch potentiell schlecht gesicherte GUIs. Dabei richtet man ausschließlich die Portweiterleitung(en) für den VPN-Server ein - oder auch gar keine, wenn selbiger direkt auf dem Router läuft wie zB auf der Fritzbox
Zum Vergrößern anklicken....

Gibt es für so etwas eigentlich gute Anleitungen? Mich würde VPN auch mal interessieren, habe ebenfalls eine Fritzbox und dahinter zwei NAS.

Um aber z.B. die Photostation der Synology übers Web verfügbar zu machen kommt man aber nicht um DynDNS und eine Port Weiterleitung herum, oder?
 
PatrickS3 schrieb:
Gibt es für so etwas eigentlich gute Anleitungen?
Zum Vergrößern anklicken....
Allerdings. Bei AVM praktischerweise auch direkt beim Hersteller in der Wissendatenbank.
Ergänzung ()

DynDNS ist einfach nur eine dynamische Namensauflösung, die aus bla.blubb.irgendwas die aktuelle öffentliche IP-Adresse der Fritzbox macht. Das hat erstmal nix mit VPN und/oder Portweiterleitungen zu tun, weil es einfach nur sowas ist wie "Postfach 1234" für einen reisenden Wohnwagenbewohner, der alle 24h eine neue Adresse hat.

Wenn du Dienste öffentlich verfügbar machen willst, also so, dass auch Fremde diese Dienste nutzen sollen (zB Photoalbum, o.ä.), dann geht das in der Tat auch nur über Portweiterleitungen - es sei denn du willst jedem Nutzer einen eigenen VPN-Zugang geben. Innerhalb der Familie möglich und ggfs auch sinnvoll, aber für öffentliche Dinge natürlich nicht praktikabel.
Bei öffentlichen Diensten wäre dann aber unter Umständen ein gehosteter Service die bessere Variante, also ein Photoalbum bei Hoster xy. Vorteil: Du musst dir keine Gedanken um die Bandbreite machen, wenn du eine magere Interenetanbindung bzw. upload hast. Das Online-Album kann man mit entsprechenden Synctools dann direkt auf dem Laufenden halten.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: PatrickS3
Danke Dir für die Infos. Ich mache mich dann mal zum Thema VPN schlau.
Allerdings habe ich da noch einen Spezialfall, aber ich möchte hier keinen fremden Thread kapern. Dürfte man Dich evtl. auch per PN damit "belästigen"?
 
PNs sind immer unschön. Mach bitte einen neuen Thread auf. Zum einen können sich dann auch andere Helfer beteiligen und zum anderen können auch andere mit demselben Problem aus dem Thread lernen.
 
Ok.
 
Wow danke euch für die tollen Ratschläge.

Zu
Mr. Robot schrieb:
Standardmäßig ruft ein Browser eine Webseite per http auf. Also unverschlüsselt. Du musst vor die Adresse ein "https://" setzen, dann wird auch verschlüsselt.



Die Meldung sagt, dass das Zerifikat von der (unbekannten) Fritzbox kommt, und nicht überprüft werden kann. Das ist aber kein großes Problem.
Entweder, du sagst dem Browser, dass er das ignorieren soll. Entweder einmalig oder dauerhaft.
Oder du besorgst dir ein Zertifikat von einer externen Stelle, wie Let's Encrypt. Ob/wie man das in der Fritzbox einbindet, kann ich dir aber nicht sagen.
Zum Vergrößern anklicken....

Danke für die Antwort aber das war nicht mein Problem, denn ich kann das Zertifikat nicht einbinden/installieren (siehe oben).

Zu
haunt schrieb:
Ich hatte ein ähnliches Problem. Die NAS ist über die Domain via dem HTTPS Port erreichbar ( bzw. jetzt nur noch nextcloud ) die Fritzbox hat aber den gleichen HTTPS Port. Habe dann den HTTPS Port der Fritzbox geändert. Eventuell das gleiche Problem?
Zum Vergrößern anklicken....

Nein, der Port ist ganz ein anderer, außerdem ist die Fritzbox ja vor der NAS, daher müsste ich mit den angefügten Port auch auf die Fritz!Box kommen was ich auch tue, nur leider verhindert das Zertifikat das auf die Oberfläche komme. ICH KANN DAS ZERTIFIKAT NICHT HINZUFÜGEN, also der Weg zur Fritz!Box geht und ist auch erreichbar.

Zu
Raijin schrieb:
Allerdings. Bei AVM praktischerweise auch direkt beim Hersteller in der Wissendatenbank.
Ergänzung ()

DynDNS ist einfach nur eine dynamische Namensauflösung, die aus bla.blubb.irgendwas die aktuelle öffentliche IP-Adresse der Fritzbox macht. Das hat erstmal nix mit VPN und/oder Portweiterleitungen zu tun, weil es einfach nur sowas ist wie "Postfach 1234" für einen reisenden Wohnwagenbewohner, der alle 24h eine neue Adresse hat.

Wenn du Dienste öffentlich verfügbar machen willst, also so, dass auch Fremde diese Dienste nutzen sollen (zB Photoalbum, o.ä.), dann geht das in der Tat auch nur über Portweiterleitungen - es sei denn du willst jedem Nutzer einen eigenen VPN-Zugang geben. Innerhalb der Familie möglich und ggfs auch sinnvoll, aber für öffentliche Dinge natürlich nicht praktikabel.
Bei öffentlichen Diensten wäre dann aber unter Umständen ein gehosteter Service die bessere Variante, also ein Photoalbum bei Hoster xy. Vorteil: Du musst dir keine Gedanken um die Bandbreite machen, wenn du eine magere Interenetanbindung bzw. upload hast. Das Online-Album kann man mit entsprechenden Synctools dann direkt auf dem Laufenden halten.
Zum Vergrößern anklicken....

Du hast vollkommen recht, es gab jedoch einen Grund warum ich von extern auf die Fritz!Box kommen muss und zwar nur EINEN ;-), die Funktion Wake on LAN um meinen Buchhaltungsserver zu starten.

Mit der Wake on LAN-Portweiterleitung bin ich gescheitert, die haben sich einfach nicht von extern starten lassen, komischerweise geht es über die Fritz!Box direkt.
 
dersauer schrieb:
es gab jedoch einen Grund warum ich von extern auf die Fritz!Box kommen muss [..] die Funktion Wake on LAN
Zum Vergrößern anklicken....
Famous last words: "Ich wollte doch nur Wake on LAN"
 
dersauer schrieb:
Nein, der Port ist ganz ein anderer, außerdem ist die Fritzbox ja vor der NAS, daher müsste ich mit den angefügten Port auch auf die Fritz!Box kommen was ich auch tue, nur leider verhindert das Zertifikat das auf die Oberfläche komme. ICH KANN DAS ZERTIFIKAT NICHT HINZUFÜGEN, also der Weg zur Fritz!Box geht und ist auch erreichbar.
Zum Vergrößern anklicken....
Sorry, ich hatte das Eingangsposting wohl nicht richtig gelesen.

Die vorgeschlagene Variante per VPN ist natürlich recht sicher. Falls du das nicht willst, kannst du statt Firefox einen anderen Browser probieren. Vielleicht akzeptieren andere Browser das Zertifikat.

Ansonsten, hier eine Anleitung für letsencrypt mit der Fritzbox: https://avm.de/fritz-labor/fritz-labor-fuer-fritzbox-6890-lte/neues-verbesserungen/lets-encrypt/
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

koma
Wireguard Verbindung möglich? Fritzbox A (IPv4) Fritzbox B (IPv6)
2
Antworten
23
Aufrufe
1.659
koma
koma
M
Fritzbox (Kabel) Filterliste aktivieren, aber Zugriff auf IP Adressen zusallen?
Antworten
4
Aufrufe
626
MrTony
M
B
Probleme mit Startpage
Antworten
15
Aufrufe
1.193
chr1zZo
chr1zZo
T
Zugriff auf Anwendungen nach FritzBox Update teils nicht möglich
Antworten
3
Aufrufe
1.422
Thakis
T
G
auf Fritzbox via Internet zugreifen
2 3
Antworten
51
Aufrufe
2.921
.one
.one
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz