Nextcloud erreichbar machen

[Sir Gollum]

Guten Abend,
ich habe einen OpenWRT Router. Ich habe vor meinem Umzug einen Standardkabelrouter von Vodafone gehabt. Dort war meine Nextcloud dran, portweiterleitung usw. schnell gemacht und alles von außen erreichbar. Jetzt stellt sich das ganze jedoch etwas schwieriger da, als ich dachte.

Ich habe in Openwrt ddns installiert und konfiguriert. Dies läuft auch soweit. Das ganze läuft über no-ip und dort habe ich alles konfiguriert. Ich habe ipv4 und ipv6 probiert. Das Ergebnis bleibt gleich. Ich habe die Firewall konfiguriert und Portweiterleitung eingerichtet.

config rule
option name 'Allow-NextCloud'
option src 'wan'
option dest 'lan'
option dest_ip 'xxxx'
option dest_port '80 443'
option proto 'tcp'
option target 'ACCEPT'

config rule
option name 'Allow-Nextcloud-IPv6'
option family 'ipv6'
option src 'wan'
option dest 'lan'
option dest_port '80 443'
option proto 'tcp'
option target 'ACCEPT'
list dest_ip 'xxxx'

config redirect
option dest 'lan'
option target 'DNAT'
option name 'Https'
option src 'wan'
option dest_ip '192.168.1.173'
option family 'ipv4'
option src_dport '8443'
option dest_port '443'
list proto 'tcp'
list proto 'udp'
list proto 'icmp'

config redirect
option dest 'lan'
option target 'DNAT'
option src 'wan'
option dest_ip '192.168.1.173'
option name 'HTTP'
option family 'ipv4'
option src_dport '8080'
option dest_port '80'
list proto 'tcp'
list proto 'udp'
list proto 'icmp'

Ich kann meine Domain anpingen, aber darauf zu greifen kann ich nicht. Nachdem ich es auf IPv6 umgestellt habe, muss ich dem Problem etwas näher gekommen sein, weil er mich jetzt beim Aufruf der Seite vor einem selbst signierten Zertifikat warnt. (ANscheinend ist das von openwrt ausgestellt worden) ich habe dann versucht, über die nextcloud snap installation ein Zertifikat von Lets Encrypt zu bekommen, leider gabs dort eine Fehlermeldung. (
IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: xxxxx.ddns.net
Type: connection
Detail: XXXXXXXX: Fetching
http://xxxxxxx.ddns.net/.well-known/acme-challenge/CtHQiuPUWMMDM3K0eH_c_1KKqnonCqg-41DoMhLzUfc:
Connection refused

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you're using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.

Habt ihr noch eine Idee? Die KI sagt, dass es mit einem Cloudflare tunnel einfacher wäre.

Danke und schönen abend noch!

 

[zeaK]

Aus welchem Grund soll denn die Nextcloud von außen erreichbar sein? Tuts nicht auch einfach ein VPN in dein Netzwerk? Das wäre ne Million mal sicherer.

 

[Sir Gollum]

Habe das bisher immer gemacht und fand das bisher ganz komfortabel, weil ich die verschiedene clients mit der Domain verknüpfen konnte (Smartphone, Tablet und PC), damit direkt Zugriff auf die Cloud hätte und ich habe auch kein Sicherheitsrisiko gesehen. wenn das alles mit einem von geht, mach ich das natürlich, aber da weiß ich nicht wie ich die clients konfiguriere, weil ich dazu eine Domain brauche

 

[cbtaste420]

(ANscheinend ist das von openwrt ausgestellt worden)

Joa, mehrere Fehler kommen hier zusammen.
1. die beiden Firewallregeln geben dir Zugriff auf die LuCI Oberfläche. Bitte nicht für alle im Internet freigeben. Die beiden Regeln können weg.
2. da du auf Port 443 am Router gelandet bist, hast du wohl eine falsche URL benutzt. Statt 443 solltest du 8443 als Port nutzen. https://deine.domain.net:8443/
3. Redirect auf 80 ist unnötig IMHO, kann auch weg.
4. HTTPS ist i.d.R. TCP. Redirects auf UDP und ICMP können ebenfalls weg.

PS: Ein Paar mehr Details wären nett. Provider, ist Dual-Stack vorhanden, welcher Router, vanilla OpenWrt oder OEM/Rebrand?

 

[gaym0r]

http://xxxxxxx.ddns.net/.well-known/acme-challenge/CtHQiuPUWMMDM3K0eH_c_1KKqnonCqg-41DoMhLzUfc:

Da musst du dann auch Port 8443 mitgeben, wie von dir konfiguriert.

 

[Der_Dicke82]

Tipps zu den firewallregeln gab es ja schon!

Wenn du die domain anpingst, bekommst du dann auch deine openWRT WAN IP zurück?
Ich komme zum Beispiel wegen DS gar nicht zum Router durch! Public IP ist 41...* und der Router 100...*

Insgesamt, für DS und/oder verbesserte Sicherheit würde ich dir Tailscale für soetwas ans Herz legen. Muss zwar pro Gerät einmal installiert und bestätigt werden, aber dann läuft es einfach!

 

[h00bi]

Grund soll denn die Nextcloud von außen erreichbar sein?

Weil nextcloud dafür entwickelt wurde.
Stellst du auch Webserver hinter ein VPN, damit man die von außen nicht erreicht?

Aber..

option dest_ip 'xxxx'

Du zensiert eine lokale IP, aber hältst Selbsthosting für eine gute idee?

 

[cbtaste420]

Du zensiert eine lokale IP, aber hältst Selbsthosting für eine gute idee?

Guter Punkt, da war mit Sicherheit die aktuelle, öffentliche IPv4 eingetragen.

Vielleicht die Regeln über LuCI einstellen, da wird man wenigstens noch etwas geführt.

 

[gaym0r]

Guter Punkt, da war mit Sicherheit die aktuelle, öffentliche IPv4 eingetragen.

Die muss doch sogar da drin stehen oder funktioniert OpenWRT da anders als ich es erwarte?

 

[cbtaste420]

Da schreibt man gar keine dest_ip rein. Als src 'WAN' und den Zielport, damit nimmt die FW automatisch den Router/Wan-Interface als Ziel an. Wäre ja total unpraktisch, wenn man da jeden Tag seine öffentliche IP eintragen müsste.

 

[Der_Dicke82]

Weil nextcloud dafür entwickelt wurde.

Finde das ist kein Grund! Egal um welchen service es geht, sollte Sparsamkeit bei der Erreichbarkeit von außen gelten.

Stellst du auch Webserver hinter ein VPN

Ich denke die meisten Webserver laufen komplett ohne Zugriff zum oder aus dem Netz.
Stellt du jeden Webserver ins Netz? Deine Router Oberfläche? die von deinem managed switch? Die von Pihole? Proxmox?
Alles Webserver! Soll ich weiter machen? Ich denke nicht!

Immer dann wenn es möglich ist einen Service vom Netz fern zuhalten, wird dir jeder vernünftige Admin auch dazu raten!

 

[RedPanda05]

Ich würde hier auch tendenziell mit der Wireguard Implementierung der Fritzbox oder Tailscale arbeiten, wenn es keinen unbedingten Grund für die Erreichbarkeit aus dem Internet gibt.

 

[Sir Gollum]

Joa, mehrere Fehler kommen hier zusammen.
1. die beiden Firewallregeln geben dir Zugriff auf die LuCI Oberfläche. Bitte nicht für alle im Internet freigeben. Die beiden Regeln können weg.
2. da du auf Port 443 am Router gelandet bist, hast du wohl eine falsche URL benutzt. Statt 443 solltest du 8443 als Port nutzen. https://deine.domain.net:8443/
3. Redirect auf 80 ist unnötig IMHO, kann auch weg.
4. HTTPS ist i.d.R. TCP. Redirects auf UDP und ICMP können ebenfalls weg.

PS: Ein Paar mehr Details wären nett. Provider, ist Dual-Stack vorhanden, welcher Router, vanilla OpenWrt oder OEM/Rebrand?

1. Okay, dachte ich mir, ich habs in einem Forum gelesen und es halt probiert,
2. Habe beides probiert, der Fehler bleibt
3.und 4. erledigt

Provider: Vodafone
Anschluss: Glasfaser mit DSlite
Router: Fritzbox 4040
Openwrt: 24.10

Wenn du die domain anpingst, bekommst du dann auch deine openWRT WAN IP zurück?
Ich komme zum Beispiel wegen DS gar nicht zum Router durch! Public IP ist 41...* und der Router 100...*

Insgesamt, für DS und/oder verbesserte Sicherheit würde ich dir Tailscale für soetwas ans Herz legen. Muss zwar pro Gerät einmal installiert und bestätigt werden, aber dann läuft es einfach!

Ja, ich bekomme die gleiche IP

Okay, da das mit Tailscale bzw Wireguard jetzt des öfteren aufkam, werde ich es mir angucken.
Auf den ersten Blick wird Tailscale wahrscheinlich nicht funktionieren, weil ich nicht genug Speicherplatz habe.

Da musst du dann auch Port 8443 mitgeben, wie von dir konfiguriert.

Okay, muss ich mal gucken wie ich das mit snap mache.

 

[cbtaste420]

DSlite

Mit öffentlicher oder privater IP (cg-nat 100.64.x.x)? Wenn deine Wan-Ip keine öffentliche ist bleiben noch ipv6, Tailscale, ZeroTier, Cloudflare Tunnel, eigener VPS, usw..

 

[Harrdy]

Alles Webserver! Soll ich weiter machen? Ich denke nicht!

Immer dann wenn es möglich ist einen Service vom Netz fern zuhalten, wird dir jeder vernünftige Admin auch dazu raten!

Persönlich würde ich Nextcloud auch nicht direkt ins Netz hängen, was allerdings eher daran liegt, dass ich von Nextcloud nicht so viel halte. Dass man Fritzboxen über MyFritz von extern erreichbar macht oder Proxmox von extern erreichbar hat, ggf. mit IP Filter, ist jedoch durchaus üblich, gerade wenn der Cluster im RZ steht.

 

[chillking]

Tailscale, ZeroTier, Cloudflare Tunnel, eigener VPS, usw..

Ich werf mal noch Pangolin in den Raum. https://github.com/fosrl/pangolin

Ich hab Vodafone Kabel (freundlicherweise mit DSlite und auch nach 15 Versuchen beim Support keine Freischaltung auf volles Dual Stack) und Pangolin auf einem VPS laufen. Funktioniert gut, aber nicht auf dem allerkleinsten VPS.

 

[Web-Schecki]

Mit öffentlicher oder privater IP (cg-nat 100.64.x.x)?

Weder noch. DSlite ist definitionsgemäß immer ohne IPv4.
Der Name ist tatsälich irreführend, weil es eben absolut kein Dualstack ist, sondern man lediglich ein IPv6-Subnetz bekommt und den IPv4-Verkehr dann zum Provider tunnelt.

Dementsprechend sind alle IPv4-Firewallregeln auch überflüssig. Von außen können keine IPv4-Verbindungen zum Heimnetzwerk aufgebaut werden.

(Ausnahme sind solche Späße wie PCP, aber ich habe hier im Forum erfahren, dass das scheinbar in Deutschland exklusiv von 1&1 eingesetzt wird.)

 

[cbtaste420]

Wenn er echtes DS-Lite und nicht nur eine private IP mit CG-Nat hätte, würde gar keine IPv4 Verbindung möglich sein. In OpenWrt ist DS-Lite nicht ootb dabei, man muss explizit das Paket ds-lite installieren um IPv4 in IPv6 tunneln zu können.

 

[Sir Gollum]

Da ich gerade nicht daheim bin, kann ich zu den IP-Adressen noch nichts sagen, aber ich musste das Paket ds-lite installieren, weil ich sonst nur eine IPv6 hatte, was zu dazu geführt hat, dass nicht alle Webseiten aufrufbarwaren und manche nur extrem langsam.

Tailscale werde ich auf dem router wahrscheinlich nicht installiert bekommen, weil der Speicher zu klein ist, wenn ich es installieren muss und das Prinzip richtig verstanden habe

 

[Web-Schecki]

echtes DS-Lite

Was wäre denn unechtes DS-Lite?

DS-Lite ist eben immer getunneltes IPv4, also explizit kein Dual-Stack.
CGNAT kann natürlich auch über Dual-Stack mit privater IPv4 realisiert werden, klar. Das ändert hier aber auch nichts, denn ohne PCP oder derartige Späße sind eingehende IPv4-Verbindungen auch dort nicht möglich.