ComputerBase Menü
Aktuelles

Speedport Pro Plus - kein Zugriff auf eigene Website aus lokalem Netzwerk

GrooveXT

GrooveXT

Commander
Registriert
Jan. 2007
Beiträge
2.260
Hallo zusammen,

ich habe zuhause ein paar Services gehostet, z.B. eine Nextcloud die ich über "Nginx Proxy Manager" zur Verfügung stelle. Bisher habe ich eine FritzBox gehabt und dort die entsprechende Portfreigabe gemacht. Jetzt muss ich einige Monate notgedrungen einen Speedport Pro Plus verwenden. Auch dort habe ich die entsprechende Portfreigaben gemacht. Von außen funktioniert der Zugriff auch problemlos, nur kann ich von meinem lokalen Netzwerk hinter dem Speedport nicht auf die Dienste zugreifen.

Ich bin kein Neuling was das Ganze angeht und habe auch beruflich damit zu tun, aber ich habe keine Erklärung warum das nicht funktioniert. Die Namensauflösung zeigt korrekt auf meine IP, Pings funktionieren nur komme ich mit meinen HTTPS Aufrufen nicht bei meinem Nginx an.

Jemand ne Idee?

Danke
 
Ein DNS Rebind Schutz wäre auch eine Erklärung für die Probleme. Hat der Speedport sowas?
 
applebenny schrieb:
Stichwort: Hairpinning NAT
Zum Vergrößern anklicken....
Danke, dass scheint wirklich das Problem zu sein. Allerdings habe alle Lösungsansätze bei mir nicht gefruchtet. Die Firmware ist aktuell, ich habe einzelne Ports freigegeben, keine Ranges. Allerdings bin ich hier nur mit LTE unterwegs, kein DSL. Vielleicht liegt da noch das Problem.
h00bi schrieb:
Alternativ kannst du dir temporär einen Eintrag in deine "Hosts" Datei setzen, damit dein PC den Webserver findet.
Zum Vergrößern anklicken....
Muss ich mal gucken, ob das funktioniert. Löst das Problem aber nur zum Teil, da ich die Dienste auch mit den Handy nutze.
riversource schrieb:
Ein DNS Rebind Schutz wäre auch eine Erklärung für die Probleme. Hat der Speedport sowas?
Zum Vergrößern anklicken....
Ja, den hat er. Habe ich schon deaktiviert, ändert nichts.
 
GrooveXT schrieb:
da ich die Dienste auch mit den Handy nutze.
Zum Vergrößern anklicken....
Hostest du einen Pi-Hole oder Adguard?
Falls ja, kannst du dort in den DNS Einstellungen das fürs ganze lokale Netz anpassen.
DNS Server für die WLAN Verbindung ggf. manuell setzen, geht auch an Android Handys, iOS keine Ahnung.
 
h00bi schrieb:
Hostest du einen Pi-Hole oder Adguard?
Zum Vergrößern anklicken....
Ein PI Hole läuft, allerdings gestaltet sich das mit den Niginx dazwischen problematisch. Der Hört halt auf andere Ports (10443 und 10080), dass wird bisher durch die Portweiterleitung umgebogen.
Bin gerade dabei den Docker Container direkt ins Netzwerk zu hängen, so dass er mit eigener IP und den richtige Ports 443 und 80 angesteuert werden kann. Aber irgendwie bockt Nextcloud noch mit einem 502.

Prinzipiell aber eine gute Idee, die ich weiter verfolgen werde.
 
So, nach einem Nachmittag rumprobieren gebe ich auch. Ja ich kann mittels PiHole die Namesauflösung umbiegen, aber im Verbund mit Nginx und den generierte Zertifikaten funktioniert es einfach nicht.

Ich denke ich muss den Telekom Router wohl oder übel ersetzen. So ein Drecksdingen.

Naja, ich gucke mal ob ich einen LTE Stick für mein Sophos XG Home Projekt finde, dann kann ich das schon mal einsetzen.
 
GrooveXT schrieb:
Ein PI Hole läuft, allerdings gestaltet sich das mit den Niginx dazwischen problematisch. Der Hört halt auf andere Ports (10443 und 10080), dass wird bisher durch die Portweiterleitung umgebogen.
Zum Vergrößern anklicken....
Deswegen ist es in der Regel auch besser, Portweiterleitungen 1:1 durchzureichen und nicht neben NAT gleichzeitig noch PAT zu machen, also zB extern 80 -> intern 10080.

Du kannst aber die Portweiterleitung für interne Nutzung als Workaround auch direkt auf dem PI umsetzen.

DNAT onto the same network

pihole bekäme dann für die Domain die IP des PI zugewiesen und wenn du auf dem PC nun im Browser die Domain aufrufst, geht ein http(s)-Request an die IP-Adresse des PI, dieser leitet mittels iptables an den Proxy weiter (iptables muss dann 80 -> 10080 mappen) und der Proxy reicht an den eigentlichen Webserver durch.

Wichtig ist dabei, dass im PI nicht nur DNAT aka Portweiterleitung eingerichtet wird, sondern auch SNAT, weil sonst die Antwort des Webservers direkt an den lokalen Client geht - als Absender steht ohne SNAT ja weiterhin die PC-IP drin - und das kann zu Problemen führen. Die Antworten des Webservers werden nämlich mit dessen IP gesendet werden und der PC wird sie einfach ignorieren, weil ja "offiziell" gar keine Verbindung zu dem Webserver aufgebaut wurde, sondern zum PI, von dem er auch die Antworten erwartet..
Ergänzung ()

Hm.. Mal ein Schuss ins Blaue:

Verwendest du im Speedport Portweiterleitungen mit Ranges oder einzelne Ports? Hier wird davon berichtet, dass NAT-Loopback am Speedport Pro Plus scheinbar nur funktioniert, wenn man einzelne Ports weiterleitet, Ranges sollen wohl nicht gehen. Selbst wenn du einzelne Ports weiterleitest, könnte dieser Bug dennoch die Ursache sein, weil er womöglich auch bei PAT - also verändertem Ziel-Port - auftritt. Zum Test kannst du es ja mal mit einem Test-Webserver auf Standardport ausprobieren und im Speedport dann 80 -> 80 weiterleiten. Evtl. geht NAT-Loopback auf diesem Wege.
 
Zuletzt bearbeitet:
Raijin schrieb:
Deswegen ist es in der Regel auch besser, Portweiterleitungen 1:1 durchzureichen und nicht neben NAT gleichzeitig noch PAT zu machen, also zB extern 80 -> intern 10080.
Zum Vergrößern anklicken....
Mein Nginx Proxy Manager (NPM) hat eine eigenen IP und dementsprechend kein Host-Portmapping. Port 80 ist also Port 80 und 443 ist 443. Der Speedport leitete genau so die Ports weiter 80 -> 80 und 443 -> 443 (keine Ranges).

Im PiHole habe ich deshalb die Domain auf die IP des NPM umgebogen. Somit läuft die Kommunikation, genau wie im Fall von externem Zugriff über den NPM.

Was ich aber gerade bemerkt habe ist, dass nslookup mir immer noch meine externe IP rausschmeißt, wenn ich ihn nach meinen Domains frage. Irgendwie kommt die lokale IP die im PiHole hinterlegt wurde gar nicht bei mir an. Das muss ich nochmal untersuchen.
 
GrooveXT schrieb:
Mein Nginx Proxy Manager (NPM) hat eine eigenen IP und dementsprechend kein Host-Portmapping. Port 80 ist also Port 80 und 443 ist 443. Der Speedport leitete genau so die Ports weiter 80 -> 80 und 443 -> 443 (keine Ranges).
Zum Vergrößern anklicken....
Ok, dann hatte ich das oben falsch verstanden.


GrooveXT schrieb:
Was ich aber gerade bemerkt habe ist, dass nslookup mir immer noch meine externe IP rausschmeißt, wenn ich ihn nach meinen Domains frage. Irgendwie kommt die lokale IP die im PiHole hinterlegt wurde gar nicht bei mir an.
Zum Vergrößern anklicken....
Nutzt der PC denn auch wirklich pihole als DNS - direkt oder ggfs indirekt über pihole als Upstream-DNS im Router?

Mit nslookup computerbase.de hier.die.pihole.ip kannst du auch explizit den DNS wählen, den nslookup fragen soll.
 
Raijin schrieb:
Mit kannst du auch explizit den DNS wählen, den nslookup fragen soll.
Zum Vergrößern anklicken....
Ja, den Befehl habe ich auch gerade kennengelernt. Und nein, mein PC nimmt anscheinend den Speedport als DNS Server und zwar über IPv6.

Jetzt bin ich tatsächlich überfragt. Mein PiHole ist auch der DHCP Server. In den DHCP Netzwerkeinstellungen steht auch brav die PiHole-IP als DNS Server. Es wird aber anscheinend ignoriert, da dort auch IPv6 DNS Server mit drin steht und das scheint die IP des Telekom Router zu sein. IPv6 ist mir leider noch kein gängiger Schuh. Wie kann das überhaupt sein, dass PiHole der DHCP Server ist und dort der Telekom Router mitmischt?

Habe mal Screenshots von meinen PiHole Einstellungen und dem Speedport gemacht.

1682423965953.png

1682423986140.png

1682424070768.png
 
DHCPv4 und DHCPv6 sind prinzipiell zwei Dinge. Scheinbar schaltet der Speedport nur DHCPv4 ab, lässt aber weiterhin DHCPv6 in Betrieb. Eine kurze Recherche bei Onkel google ergab, dass das wohl tatsächlich so ist. Als Workaround wird lediglich angegeben, IPv6 in den Clients zu deaktivieren. Ist zugegebenermaßen ein unschöner Workaround, passt aber ins Bild, wenn ich das mal so sagen darf. IPv6 ist noch relativ neu (~25 Jahre) - zumindest gemessen am Erdalter (ca 4,6 Milliarden Jahren) - und so schnell ist die Telekom nicht :freak:

Soweit ich weiß - Hörensagen - bieten Fritzboxxen explizit eine Option zum Deaktivieren von DHCPv6, aber Speedports bieten das nicht.
 
Das passt zu dem was ich mir bisher zusammen gereimt habe. An allen Clients IPv6 zu deaktivieren ist keine Option, weiß nicht mal ob ich das bei den Smartphones überhaupt machen kann. Ist das zum Kotzen. Wenn ich wüsste wann die endlich die Glasfaser hier anschließen....also bleibt mir wohl doch nichts anderes, als das Mistding rauszuschmeißen und mir solange was anderes zuzulegen.

Vielen Dank erstmal für deine Hilfe.
 
Wir haben ein Haus gebaut und da hier gerade Glasfaser verlegt wird, haben wir auf den Anschluss alter Kupferleitungen verzichtet. Deswegen benutzen wir nun einen LTE Tarif (LTE Start) von der Telekom, bis denn Glasfaser endlich liegt (was schon letztes Jahr im Dezember gewesen sein sollte). Der Router ist "umsonst" dabei (also für 12 Monate, dann muss er zurück) und da ich am Ende eine Pfsense oder Sophos Home als Router einsetzen möchte, will ich jetzt nicht extra ne LTE-Fritzbox kaufen um ein paar Monate zu überbrücken.

Zumindest war das bisher der Plan. Ich hatte ja die Hoffnung, dass es sich um eine Kleinigkeit in der Konfiguration handelt und nicht das der 350 Euro Router die Basics nicht beherrscht.
Jetzt überlege ich ob ich doch direkt auf eine FritzBox 4060 mit LTE Stick umsteige.
 
Und zur Überbrückung muss es dann auch für ein paar Monate wieder das Top-Modell aus dem Hause AVM sein? Klappt wahrscheinlich auch mit einer gebrauchten 7520 oder 7580 prima.. hab ich beide schon zwischen 30 und 45€ geschossen... falls du nicht deine alte FB sogar noch hast.
 
Ne, es wäre zu überlegen die 4060 für später weiter zu nutzen.

Ich habe hier noch ne 7560 rumliegen. Geht die auch mit dem LTE USB Stick? Wenn ja, welchen bräuchte man da?
 
GrooveXT schrieb:
da ich am Ende eine Pfsense oder Sophos Home als Router einsetzen möchte
Zum Vergrößern anklicken....
Dann könntest du das doch jetzt schon angehen und den Speedport als reinen Internetlieferanten nutzen. PfSense kommt dann mit WAN-Port an den Speedport und hinter der PfSense das eigentliche Netzwerk, womit der Speedport nichts mehr zu tun hat.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Speedport W724V - Kein Zugriff auf Netzwerkspeicher möglich
Antworten
5
Aufrufe
1.411
Ben12718
B
ToXiD
Speedport Smart 4 Typ B - kein Zugriff auf das Gerät
Antworten
8
Aufrufe
3.887
blastinMot
B
H3llF15H
Debian 12 - nach gewisser Zeit kein Zugriff mehr auf NFS-Freigabeordner
Antworten
13
Aufrufe
1.184
H3llF15H
H3llF15H
S
  • Artikel
Leserartikel GrapheneOS auf dem Google Pixel 8 Pro
2
Antworten
33
Aufrufe
9.304
homer0815
homer0815
D
Kein Zugriff auf Server nach Unifi Aufbau
Antworten
6
Aufrufe
2.286
Drago_r
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz