ComputerBase Menü
Aktuelles

Nach Fritzbox Update kein SSL im Lan?!

[AlphaRC]Eraser

[AlphaRC]Eraser

Lt. Commander
Registriert
Sep. 2002
Beiträge
1.146
Moin,

Ich habe seit Jahren eine eigene Nextcloud im Lan laufen und bisher nie gravierende Probleme gehabt. Allerdings funktioniert seit dem letzten FritzOS Update mein SSL cert im Lan nicht mehr. Das heisst sowohl der Kalender im ical beschwert sich dass die Verbindung nicht sicher ist. Der nextcloud client auf dem windows pc und dem macbook bekommt erst gar keine verbindung. Per webinterface erhalte ich ebenfalls die Sicherheitswarnung, dass die Verbindung nicht sicher ist :-/

Von außerhalb funktioniert alles wie gewohnt 😳
Beim offiziellen ssl safety check gibts immernoch ein A rating. Das cert sollte somit noch ok sein, aber scheinbar vermasselt die fritzbox da etwas im lan?!

Hier das setup:
  • Fritzbox 7590
  • fritz os update von 7.01? auf 7.10
  • SSL cert via Letsencrypt
  • Nextcloud 15.0.7
  • dyndns via myfritz

Habt ihr Ideen an was es liegen koennt?
 
Seit 7.10 kann die FritzBox selbst Certs von LetsEncrypt anfordern, liegt vielleicht daran... möglich dass das Cert ersetzt wurde und das alte nicht mehr gültig ist.
 
Wie greifst du denn von intern auf die Nextcloud zu? Über den externen DynDNS Namen oder über die IP? Löst der DynDNS Name von intern auf die interne oder die externe IP auf?

Falls die externe aufgelöst wird und du über den DynDNS Namen zugreifst (sogenanntes NAT Loopback) kann das auch schonmal zu Problemen führen. Würde grundsätzlich versuchen intern direkt auf die interne IP aufzulösen.

Was schmeißt dir der Browser denn für eine Warnung beim SSL wenn du auf die Nextcloud zugreifst? Das wäre erstmal wichtig um herauszufinden warum das ganze nicht klappt. Das kannst du im Google Chrome z.B. über die Entwicklerwerkzeuge rausfinden: F12 -> Security.
 
Zuletzt bearbeitet:
Danke fuer die Antworten!

@bin/bash: Ich habe den Certbot auf dem NAS laufen, da sollte die FB das ja eigtl. nicht ersetzen koennen.
@ Frostball: Danke fuer den Tipp! Den rebind Schutz der Fritzbox hatte ich gar nicht mehr auf dem Schirm. Ich hatte bisher immer die externe Adresse in den cleints konfiguriert, da das ja auf dem Laptop sowohl zu Hause als auch on the go funktionieren soll.

Den NAT loopback Schutz der Fritzbox hatte ich nun gecheckt und die Adresse neu eingetragen. Komisch dass die scheinbar durch das update rausgeflogen ist?! Allerdings hat das leider auch nix gebracht.

Beim Zugriff per Chrome meldet er folgende Fehlermeldung:
''This site is missing a valid, trusted certificate (net::ERR_CERT_AUTHORITY_INVALID). '' Bei den Details erfaehrt man dann, dass es hier scheinbar um ein Cert der Fritzbox geht ?! Unter ''Ausgestellt von:'' Sollte doch eigtl LE stehen, oder?!
 
Zuletzt bearbeitet:
Kann es sein, dass die Verbindung, die du per "Chrome" zu deiner Nextcloud aufbaust,
nicht (mehr) bei der Nextcloud endet?

Sieht nämlich für mich so aus als würde die Verbindung beim Webserver der FritzBox,
genauer gesagt auf der Anmeldeseite für den MyFRITZ!-Internetzugriff enden.

Deshalb ist das Zertifikat, das dein "Chrome" vor die Nase gehalten bekommt, auch auf deinen
MyFRITZ!-DynDNS-Hostnamen ausgestellt.

Ist zumindest eine Vermutung ^^.

Fragt sich halt, warum die Verbindung nicht (mehr) zur Nextcloud durchgereicht wird,
sondern jetzt auf der FritzBox endet.

Überprüfe doch mal folgende Dinge:

1. Ist die DNAT-Regel (Portweiterleitung) für die Nextcloud noch korrekt eingerichtet?

Das kannst du unter "Internet" --> "Freigaben" --> Reiter "Portfreigaben" überprüfen.

2. Ist der MyFRITZ!-Internetzugriff aktiviert?

Das kannst du unter "Internet" --> "MyFRITZ!-Konto" überprüfen.

Falls der Haken bei "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" gesetzt ist,
dann denn mal raus nehmen (also den MyFRITZ!-Internetzugriff ausschalten).

Musst halt letzten Endes schauen, dass die Verbindung wieder bei der Nextcloud endet,
damit entsprechend dein "Chrome" (wieder) das "Let's Encrypt"-Zertifikat von der Nextcloud präsentiert bekommt, also zu dieser durchgereicht wird.

Noch kurz was zum MyFRITZ!-Internetzugriff:
Über den MyFRITZ!-Internetzugriff hat man die Möglichkeit von extern auf die FritzBox-Oberfläche
zuzugreifen, indem man den MyFRITZ!-Hostnamen im WebBrowser eingibt.
 
Ich hatte beides geprueft aber die Einstellungen sind exakt so wie vorgeschlagen.

Echt komisch. Ich erreiche das NAS (webserver und nextcloud) ueber die IP sowohl als auch ueber den Computernamen. Nur eben nicht ueber die Fritzbox Adresse aus dem LAN :-(

Ich probier nachher mal das 7.11 update vielleicht fixt es das ja auf wundersame Weise wieder...

UPDATE: Update installiert. Danach ging abwechselnd mal sporadisch die Verbindung ueber LAN aber nicht ueber WLan. Dann war die Fritzbox MyFritz Verbindung mal da und mal nicht. Dann die Box 1-2 abgeschmiert und nun laeuft es seit 5 Minuten stabil auf allen clients ohne dass ich die EInstellung geaendert haette :D:pcangry:

UPDATE 2: Immernoch Probleme. Gemaess der Ereignis Liste liegt es scheinbar am DNS???
"MyFRITZ! Fehler: Der MyFRITZ!-Name wurde erfolgreich aktualisiert, anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf. "
 
Zuletzt bearbeitet:
[AlphaRC]Eraser schrieb:
UPDATE 2: Immernoch Probleme. Gemaess der Ereignis Liste liegt es scheinbar am DNS???
"MyFRITZ! Fehler: Der MyFRITZ!-Name wurde erfolgreich aktualisiert, anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf. "
Zum Vergrößern anklicken....

Also diese Fehlermeldung sagt dir, dass die FritzBox deinen MyFRITZ!-Hostnamen erfolgreich bei den DNS-Servern von AVM aktualisieren konnte. Sprich, die DNS-Server von AVM kennen nun die IP-Adresse der FritzBox.

Zur Nutzung des MyFRITZ!-Hostnamen auf einem Client,
wo du zum Beispiel den MyFRITZ!-Namen im WebBrowser eingibst,
muss jedoch auch die DNS-Auflösung des MyFRITZ!-Hostnamen auf die entsprechende IP-Adresse funktionieren.

Bei dieser DNS-Auflösung nutzt dein Client entweder den/die DNS-Server,
die du ggf. manuell in den Einstellungen der Netzwerkkarte des Clients eingestellt hast oder
den DNS-Proxy der FritzBox. Der DNS-Proxy der FritzBox wiederum nutzt zur DNS-Auflösung entweder
die DNS-Server deines Anbieters/Providers (das ist die Standardeinstellung) oder die DNS-Server,
die du wiederum in der FritzBox-Oberfläche manuell konfiguriert hast.

Wenn die FritzBox also ihren MyFritz!-Hostnamen erfolgreich aktualisiert hat,
testet sie auch immer über eine DNS-Abfrage bei den in der FritzBox konfigurierten DNS-Servern,
ob der betreffende MyFRITZ!-Hostname bereits bei diesen DNS-Servern auf ihre aktuelle IP-Adresse aufgelöst wird.

Damit das klappt, muss die aktuelle IP-Adresse bzw. der A-Record,
der dahintersteckt, zwischenzeitlich bereits per DNS an diese DNS-Server repliziert worden sein.
Das dauert eine gewisse Zeit, das kannst du selbst nicht beeinflussen. Das machen die DNS-Server unter sich aus.

Wenn die Replikation noch nicht stattgefunden hat,
dann kennt also der DNS-Server, den die FritzBox befragt (z.B. der DNS-Server deines Anbieters)
noch deine alte IP-Adresse, sprich diese unterscheidet sich von der IP-Adresse,
die bei den DNS-Servern von AVM durch die MyFRITZ!-Aktualisierung bekannt ist.

Durch diesen Unterschied wäre es dir zu diesem Zeitpunkt nicht möglich an deinem Client
den MyFRITZ!-Hostnamen auf die aktuelle IP-Adresse aufzulösen, weil die DNS-Server von AVM zwar diese kennen, aber nicht die DNS-Server deines Anbieters oder welche du halt zur DNS-Auflösung nutzt.

Auf diesen Umstand weißt dich dann diese Meldung also hin:
"MyFRITZ! Fehler: Der MyFRITZ!-Name wurde erfolgreich aktualisiert, anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf. "

Das ist erstmal nichts Schlimmes, du musst halt die DNS-Replikation abwarten und
dann nochmal testen, ob es dann wie gewünscht funktioniert (z.B. durch Zugriff auf deine Nextcloud
per WebBrowser, was du machen möchtest).

Hier zu diesem Thema ein entsprechender Info-Artikel von AVM:
https://avm.de/service/fritzbox/fri...eicher-Aktualisierung-nicht-aufgelost-werden/

Zitat: "Das Problem behebt sich (in der Regel nach maximal einer Stunde) selbstständig, sobald die entsprechenden DNS-Server im Internet aktualisiert wurden."
 
Danke für die sehr ausführliche Erklärung! War mir in der Tiefe nicht bewusst. Allerdings besteht das Problem seit mehr als einer Woche :-/
 
[AlphaRC]Eraser schrieb:
Beim Zugriff per Chrome meldet er folgende Fehlermeldung:
''This site is missing a valid, trusted certificate (net::ERR_CERT_AUTHORITY_INVALID). '' Bei den Details erfaehrt man dann, dass es hier scheinbar um ein Cert der Fritzbox geht ?! Unter ''Ausgestellt von:'' Sollte doch eigtl LE stehen, oder?!
Zum Vergrößern anklicken....

Dann ist die Sache klar. Deine Geräte bekommen hier eine Antwort von der Fritz!Box zurückgeliefert und landen nicht bei den internen Servern (Nextcloud etc.). Ich vermute mal, dass dir der DNS eine falsche IP zurückliefert.

Bitte mal bei dir im LAN eine Kommandozeile öffnen und folgendes eingeben:

Code: 
nslookup deine-domain.de

Welche IP wird zurückgeliefert? Deine öffentliche IP?

Außerdem noch ein paar Sicherheitsrelevante Tipps:
  • mach das Webroot Verzeichnis von deinem Appache Dicht, wenn du es nicht brauchst
  • Ändere das Verzeichnis deiner Nextcloud auf irgendetwas das nicht leicht "erraten" werden kann (nicht Nextcloud)
  • poste öffentlich keine Screenshots die den dyndns deines Netzwerks zeigen, wenn du keine explizit für die Öffentlichkeit bestimmten Inhalte darüber zur Verfügung stellen möchtest. Im obigen Fall wäre es sinnvoll gewesen die Domain aus dem Screenshot zu zensieren.

[AlphaRC]Eraser schrieb:
@ Frostball: Danke fuer den Tipp! Den rebind Schutz der Fritzbox hatte ich gar nicht mehr auf dem Schirm. Ich hatte bisher immer die externe Adresse in den cleints konfiguriert, da das ja auf dem Laptop sowohl zu Hause als auch on the go funktionieren soll.
Zum Vergrößern anklicken....

Mir DNS-Rebinding hat das eigentlich wenig zu tun. der öffentliche DNS sollte ja keine private IP zurückliefern :-)
 
Zuletzt bearbeitet:
Danke fuer die Tipps!
Die Eingabe nslookup gibt mit die ext. IP wenn ich die XY.myfritz.net eingebe.
Allerdings sagt er mir non-existent domain fuer XY.myfritz.net/nextcloud/ :-(

Ich werde die box mal resetten und die alte cfg wieder aufspielen. Mal sehen ob das hilft.
 
Ja, dass XY.myfritz.net/nextcloud nix zurückbringt ist ja klar. Das eine ist die Domain, das andere das Verzeichnis. Mit dem Verzeichnis kann und muss der DNS ja nix anfangen können.

So wie es aussieht kommt deine Fritz!Box mit dem NAT Loopback nicht klar. Mir gehen da gerade aber auch die Ideen aus. Ich weiß nicht, ob die Fritz!Box das überhaupt kann. Grundsätzlich würde ich soetwas immer so lösen, dass der interne DNS direkt die IP-Adresse des jeweiligen Servers zurückliefert und extern eben die öffentliche IP. Das ist mit der Fritz!Box so aber eigentlich nicht vorgesehen. Gibt zwar einen Weg, aber ob das ordentlich funktioniert weiß ich nicht.
 
[AlphaRC]Eraser schrieb:
Danke fuer die Tipps!
Die Eingabe nslookup gibt mit die ext. IP wenn ich die XY.myfritz.net eingebe.
Allerdings sagt er mir non-existent domain fuer XY.myfritz.net/nextcloud/ :-(

Ich werde die box mal resetten und die alte cfg wieder aufspielen. Mal sehen ob das hilft.
Zum Vergrößern anklicken....

Hast du mal geschaut, ob die HTTPS-Zugriff inzwischen auch wirklich bei deiner Nextcloud ankommen?

Mit "tcpdump -i ethX tcp and port 443 -nv" (ethX durch die entsprechende Netzwerkschnittstelle ersetzen)
kannst du schauen, ob die die Web-Zugriff (HTTPS) bei deiner Nextcloud ankommen.

Wenn du die interne IP-Adresse + "/nextcloud" im WebBrowser eingibst,
dann erscheint die Anmeldeseite deiner Nextcloud? Das klappt also?

Meine also so einen Zugriff hier:
https://INTERNE-IP-DER-NEXTCLOUD/nextcloud

Ggf. auch mal schauen, welcher HTTPS-Port in der FritzBox eingestellt ist.

Das kannst du unter "Internet" --> "Freigaben" --> "FRITZ!Box-Dienste" machen.
Unterhalb der Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" kannst du rechts neben
"TCP-Port für HTTPS" den HTTPS-Port einstellen.
Der sollte nicht 443 sein, da dieser Port ja an deine Nextcloud durchgereicht werden soll (per Portweiterleitung).
 
Hi Datex,

Danke fuer die Hinweise! Der Zugriff auf die interne IP klappt nachdem ich eine extra trusted domain hinzugefuegt hatte.
Ich hatte dann aber nochmal die Freigabe der Fritzbox getestet in der man jetzt in dem neuen update?! scheinbar auch einen alternativen port fuer den HTTPS zugriff eintragen kann. Obwohl die option deaktiviert war hatte ich sie mal aktiviert und auf einen aderen port gesetzt. Nach einem Neustart hat er dann tatsaechlich wieder den Zugriff auf die Nextcloud zugelassen!! - Allerdings nur fuer 10 Minuten. Anschliessend wieder der gleiche shit. Scheinbar hatte leidglich der Neustart der box irgendwas gebracht...
 
Hi,

hast du das Problem unter Kontrolle bekommen? Woran lag es?

Ich habe seit dem jüngsten Firmwareupdate das gleiche Problem und der AVM Support war damit überfordert.

Ich richte den Zugang in der Fritzbox neu ein und starte neu: Dann klappt alles für etwa 10 Minuten. Ansonsten kann ich über SSL von ausserhalb zugreifen aber nicht aus dem heimischen LAN.

Gruss Uwe
 
schon mal mit einem anderen browser als chrome versucht?
 
Hi Uwe,
Ich habe den DynDNS Provider gewechselt und nutze nun meinen Strato DynDNS Service. Seitdem funktioniert es tatsaechlich 1a! :-)
 
Seit dem letzten Update habe ich dasselbe Problem.

Rufe ich meine Nextcloud vom Mac aus auf wird mir ein selbstsigniertes Zertifikat der FRITZ!Box präsentiert, was natürlich zu einem Fehler führt.
Im Safari bekomme ich dann von der FRITZ!Box selbst einen Fehler, nämlich "Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen. Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein."
Aus irgendeinem Grund scheint das Durchreichen der Domain nicht zu funktionieren (ich habe cloud.xxxxx.de als CNAME für meinen myfritz-Hostnamen vergeben).
Vor dem Update ging das einwandfrei und über meinen Windows-Rechner funktioniert es nach wie vor ohne Probleme.
Es funktioniert auch von außen, z.B. über's Smartphone via LTE.

Es handelt sich hier also tatsächlich um einen Bug, der mit dem letzten Update eingeführt wurde.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Fritzbox 7590 - Repeater 3000 kein Zugriff per LAN
Antworten
4
Aufrufe
606
conti195
C
J
Fritzbox 6690 findet keinen DHCP Server im LAN!?
4 5 6
Antworten
108
Aufrufe
3.317
LiniXXus
LiniXXus
N
"Keine verbindung mit diesem netzwerk möglich" seit Fritzbox update
Antworten
10
Aufrufe
3.280
nex86
N
E
extrem langsames LAN mit Fritzbox 7530
2
Antworten
21
Aufrufe
1.853
eltoro78
E
CaptainPighead
FritzOS 8/FritzBox: kein IPv6 mit WireGuard Tunnel auf iOS nach Update
Antworten
9
Aufrufe
2.784
Helge01
Helge01
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz