Strange: Nextcloud nur über manche PCs erreichbar

[te one]

Servus,
irgendwie stehe ich gerade auf dem Schlauch. Habe mir eine neue Nextcloud-VM aufgesetzt und nun ist sie nur über manche Rechner im LAN erreichbar (nutze den externen DNS-Namen - mit interner IP geht alles). Setup wie folgt (Unterpunkte sind jeweils mit dem Überpunkt verbunden -- habe keine schöne ASCII-Art hinbekommen):

• WAN
  • Vodafone Station (DynDns, Port-Forwarding)
    • Handy (per WLAN)
    • Laptop (per WLAN)
    • Switch
      • Rechner (Windows)
      • Homeserver (Windows)
        • Nextcloud-VM (Bridged im Netzwerk)

Nun:
Mit interner IP komme ich von überall im LAN auf die Nextcloud-VM.
Mit externem DNS-Namen:

• Funktioniert:
  • Handy (WLAN und mobile Daten)
  • Laptop (WLAN)
• Funktioniert nicht (Fehler: Netzwerk-Zeitüberschreitung)
  • Rechner
  • Homeserver

Aufgelöst wird der DNS Name überall richtig. Es scheint, als ob alles hinter dem Switch nicht auf die Nextcloud kommt (dort hängt die Nextcloud aber ja sogar). Kann sich das jemand erklären?
Ich tippte mittlerweile schon auf ein Zertifikatsproblem - aber das müsste ich ja angezeigt bekommen? Wenn ich via interner IP auf Nextcloud zugreife muss ich halt das Zertifikat manuell bestätigen.
Bitdefender hatte die Verbindung wohl mal blockiert - habe ihn aber auch schon abgeschaltet. Half auch nicht. Auf dem Homeserver ist außerdem ein anderer Virenschutz - und dort geht es ja auch nicht.

 

[ChristianSL]

Wenn die NC von außer erreichbar ist, dann bau dir doch eben nen Let's Encrypt hin. Und ansonsten würde ich vom jeweiligen Client via Browser und Curl testen und beim Server in den Logs schauen ob die Requests im Webserverlog oder Kernellog (Firewall) ankommen. Falls nicht liegts wohl am Client. Du sagtest ja DNS tut.
Bin mir bei Windows grad nicht sicher, ob der da auch zwischen LAN und Grobi Internet unterscheidet in seinem Paketfilter.

 

[Mickey Mouse]

nee, am Zertifikat liegt das (sehr wahrscheinlich) nicht.
an Virenscannern im eigentlichen Sinne auch nicht, wenn dann deren Firewall Funktion, das ist schon eher möglich wenn nicht wahrscheinlich.
eine andere Sache wäre IPv6...

 

[DeusoftheWired]

Es scheint, als ob alles hinter dem Switch nicht auf die Nextcloud kommt (dort hängt die Nextcloud aber ja sogar).

Dann klemm den Rechner, auf dem die NC läuft, doch probehalber mal per Netzwerkkabel direkt an die Vodafonestation. Damit kannst du den Switch als Schuldigen ausschließen. Das ist ein dummer Switch, kein managebarer mit VLANs, oder?

nutze den externen DNS-Namen

Kann man machen, hat aber den Nachteil, daß man im Heimnetzwerk dann über den Upload des eigenen Internetanschlusses geht anstatt über die viel schnellere lokale Verbindung wie einen Gigabitswitch oder das WLAN. Entweder löst du das über die Verwendung sprechender Hostnamen (NC-unterwegs löst zum DDNS-Namen auf, NC-zuhause löst zur internen IP auf), oder du sprichst die NC generell mit ihrer internen IP an, wenn du zu Hause bist.

habe keine schöne ASCII-Art hinbekommen

Alles in [code][/code]-Tags wird mit in einer nichtproportionalen Schriftart genauso dargestellt wie getippt inklusive Leerzeichen etc.

   .----------o----------o-----------------o---------.
   |          |          |                 |         |
   |         .-. R1     .-. R2            .-. R3    .-. R4
   |         | | 25k    | | 250k          | | 250k  | | 25k
   |         | |        | |               | |       | |
   |         '-'   C1   '-'               '-'  C2   '-'
   |          |          |                 |         |
   |          |    ||    |                 |   ||    |
   |          o----||----o----.     .------o---||----o
   | 9V       |    ||          \   /           ||    |
  ---         |                 \ /                  |
   -          |    1n            /             1n    |
   |      Q1  |                 / \                  | Q2
   |           \|              /   \               |/
   |    2N2222  |-------------'     '--------------|  2N2222
   |           <|                                  |>
   |          |                                      |
   |          |                                      |
   '----------o--------------------------------------'

 

[brainDotExe]

hat aber den Nachteil, daß man im Heimnetzwerk dann über den Upload des eigenen Internetanschlusses geht anstatt über die viel schnellere lokale Verbindung wie einen Gigabitswitch oder das WLAN

Im der Regel merkt spätestens der Router, dass er selbst angesprochen wird und der Datenstream geht nicht über den Upload.

Aber hier sind wir schon beim knackenden Punkt, kann die Vodafone Station überhaupt NAT-Loopback?
Ich würde Mal vermuten Handy und Laptop erreichen die Nextcloud ohne NAT durch IPv6.
Rechne rund Server haben vielleicht keine IPv6 Adresse? @te one ist das der Fall?

 

[DeusoftheWired]

@brainDotExe Hat Raijin beim letzten Mal auch angesprochen. Hatte das noch im Hinterkopf und vorsorglich nach den Fähigkeiten der Vodafone-Station gesucht. Die kann das wohl nicht.

 

[Poati]

Was heißt für dich, dass der Name richtig aufgelöst wird? Bei den Windows Rechnern könntest du die lokale IP der Nextcloud in die hosts Datei schreiben. Damit verhinderst du, dass der Traffic überhaupt erstmal den Weg ins Internet sucht.

 

[snaxilian]

@Poati Die lokale hosts Datei wird seit Anfang August vom Defender wieder zurück gesetzt. So etwas ist auch Stümperei und Gefrickel.
Wenn man meint unbedingt zuhause auch öffentlich erreichbare Dienste betreiben zu können/wollen/müssen dann muss man sich halt früher oder später auch mit den Themen DNS sowie IPv4/IPv6 und was so drum herum dazu gehört beschäftigen.

 

[DeusoftheWired]

Die lokale hosts Datei wird seit Anfang August vom Defender wieder zurück gesetzt.

Nur bei Einträgen zu Servern von Microsoft, nicht zu anderen. https://www.heise.de/news/Windows-Defender-zensiert-hosts-Datei-4863355.html

Ist zwar auch ein Unding von MS, das so kaputtzumachen, aber würden sämtliche Domänen zurückgesetzt, könnte man sich die Datei ja gleich ganz sparen.

 

[Poati]

@snaxilian
Naja ich finde für so eine Heimlösung kann man das durchaus machen. Meine Frage nach der richtigen Auflösung des Namens zielte auch auf DNS ab. In einer professionellen Umgebung würde ich nicht auf die Idee kommen, Namensauflösung in die Hosts Datei auszulagern.

Ansonsten ist NAT Loopback ja auch schon gefallen, da liegt es dann am Router, ob dieser die Nextcloud über die externe IP aus dem internen Netz erreichbar macht oder ob das ins leere läuft.

Ein Raspberry Pi als interner DNS Server wäre eine saubere Lösung. Sobald sich die Clients im Heimnetz befinden, gehen die Anfragen an den Pi und dieser verweist auf die interne IP der Nextcloud. Die Erreichbarkeit von außen bleibt so wie du sie jetzt eingerichtet hast. Dass es mit Handy und Laptop aktuell schon funktioniert ist ja eher ein Glückstreffer.

 

[brainDotExe]

Ein Raspberry Pi als interner DNS Server wäre eine saubere Lösung.

Aber totaler Overkill.
Mit Bordmitteln (IPv6) ist es ohne seperaten DNS Server oder Anpassungen der hosts Datei möglich.

 

[Poati]

@brainDotExe
Das klingt natürlich auch gut. Da ich es nicht so wirklich weiß gerade, könntest du kurz schildern, wieso es mit IPv6 klappt und IPv4 nicht? Der TE müsste dann ja nur noch an den restlichen Geräten IPv6 aktivieren, wäre dann ja aber ganz schön, wenn man hier im Thread die Informationen findet wieso das so funktioniert.

Ich höre es nämlich ehrlicherweise zum ersten Mal, man schließt damit ja leider Geräte aus, die kein IPv6 können.

 

[brainDotExe]

Ganz einfach. Da es bei IPv6 kein NAT gibt, macht NAT-Loopback schonmal keine Probleme.
Aber das ist in dieser Hinsicht auch egal, da die Geräte im Heimnetz alle im selben IPv6 Subnetz sind, also wird erst gar nicht das Gateway angefragt, da anhand der Subnetzmaske erkannt wird, dass die Ziel IPv6 Adresse lokal direkt erreicht werden kann.

Welche relevanten Geräte können denn heute kein IPv6?

• Windows seit XP
• Linux/Android seit Ewigkeiten
• Apple iOS auch
• FritzBox, Speedports und Kabelrouter sowieso

Höchstens irgendwelche 10€ billig Router könnten Probleme haben.

 

[Poati]

@brainDotExe
Kann dir ein simples Beispiel unseres Firmennetzes nennen. Unsere Firewall. Unser ISP hat uns auch kein IPv6 bereitgestellt. Wahrscheinlich sind wir hier in Deutschland mal wieder etwas lahm?

Das es kein NAT bei IPv6 gibt stimmt so aber auch nicht. Den Vorteil, durch NAT interne Netzwerkstrukturen privat zu halten, kann man mit NAT auch bei IPv6 erreichen. Grundsätzlich könnte jedes Gerät durch IPv6 eine öffentliche IP haben, aber will man das?

 

[DeusoftheWired]

Grundsätzlich könnte jedes Gerät durch IPv6 eine öffentliche IP haben, aber will man das?

Der Vorteil von IPv6 ist, daß man jedes Gerät weltweit ohne NAT erreichen kann.
Der Nachteil von IPv6 ist, daß man jedes Gerät weltweit ohne NAT erreichen kann.

 

[Poati]

Hat denn die Nextcloud eine globale IPv6 oder eine lokale? So ganz schlüssig bin ich mir über die Einrichtung da noch nicht. Laptop und Phone bekommen doch in der Regel eine lokale IPv6. Die Nextcloud doch wahrscheinlich auch. Wenn die Geräte intern im Netz den Namen der Nextcloud auflösen, woher erhalten sie die IP?

 

[brainDotExe]

Kann dir ein simples Beispiel unseres Firmennetzes nennen. Unsere Firewall.

Ja, Firmen nutzen es nicht, weil es für sie meist nicht notwendig ist und die Admins oft auch nicht ganz Up to date in Bezug auf IPv6 sind.
Aber das wäre ja in dem Anwendungsfall hier egal, aus diesem Firmennetz könntest du ja per IPv4 auf die Nextcloud zugreifen.

Das es kein NAT bei IPv6 gibt stimmt so aber auch nicht.
...
Den Vorteil, durch NAT interne Netzwerkstrukturen privat zu halten, kann man mit NAT auch bei IPv6 erreichen.

Das erreichst du auch mit Privacy Extensions, welche z.B. Windows Bordmittel sind.

Grundsätzlich könnte jedes Gerät durch IPv6 eine öffentliche IP haben, aber will man das?

Das ist der Grundgedanke des Internets, auch bei IPv4. NAT/PAT ist aus der Not des Adressenangels entstanden.

Hat denn die Nextcloud eine globale IPv6 oder eine lokale? So ganz schlüssig bin ich mir über die Einrichtung da noch nicht. Laptop und Phone bekommen doch in der Regel eine lokale IPv6

In der Regel bekommt ein Gerät mehrere IPv6 Adressen. Unter anderem eine Link Lokale und mehrere Öffentliche.

Wenn die Geräte intern im Netz den Namen der Nextcloud auflösen, woher erhalten sie die IP?

In der Regel trägt der DynDns Client die öffentliche IPv6 Adresse im AAAA Record ein.

 

[Marek72]

Ich denke, Du solltest mal das vorgehen aus dem 2 Post von ChristianSL abarbeiten. Zumindestens mit cURL testen ob da überhaupt etwas ankommt. Wenn Du innerhalb Deines Netzes auf NC zugreifen kannst, könnte man meiner Meinung nach davon ausgehen, dass der Switch schon seine Arbeit macht. Dann würde ich mal auf einen Fehler bei Deiner Router/Firewall Konfig tippen.

 

[snaxilian]

Hat denn die Nextcloud eine globale IPv6 oder eine lokale?

Die korrekte Antwort wäre: ja.
Mit IPv6 kann ein Interface mehrere Adressen haben. Ein nicht zerfrickeltes Windows beispielsweise an einem üblichen privaten Netzwerk hat eine öffentliche IPv6 Adresse und eine link-local Adresse für die direkte Kommunikation direkt im eigenen Subnetz.

 

[Poati]

Ich danke euch für die Infos, @snaxilian und @brainDotExe. Habe vorhin mein zugeben nicht allzu umfangreiches Wissen über IPv6 auch noch etwas aufgefrischt. Wurde bei mir im Studium eher stiefmütterlich behandelt und in der freien Wildbahn ist es mir bisher auch noch nicht wirklich über den weg gelaufen.

Ich fasse es nochmal kurz zusammen. Nextcloud (bzw. die Vodafone Station) ist über DynDNS gelistet, dort ist neben dem klassischen A-Record auch der AAAA-Record für die IPv6 Adresse hinterlegt. Die Vodafone Station und der Internetanschluss sind IPv6-fähig, alle IPv6 Geräte erhalten damit IPv6 Adressen aus dem gleichen Subnetz. Im Heimnetz ist damit für Clients, auf denen IPv6 läuft die Thematik des NAT-Loopbacks oder interner vs externer Namensauflösung gegessen.

Hätte dann aber noch eine Frage, die dann wohl eher die Vodafone Station betrifft. Diese wird eingehende IPv6 Verbindungen standardmäßig verwerfen oder kann man dies explizit für die NC zulassen? Sonst wären ja alle Geräte mit IPv6 aus dem Internet erreichbar.