ComputerBase Menü
Aktuelles

Wie bekomme ich mein NextCloudPI erreichbar von außen?

Chibi88

Chibi88

Lt. Commander
Registriert
Dez. 2007
Beiträge
1.266
Guten Tag,

ich habe einen Router von Unitymedia und versuche aktuell meinen RaspberryPI für das Internet erreichbar zu machen. Ich verstehe aber nicht, wie ich das genau zu konfigurieren habe. Folgende Schritte habe ich bis jetzt verwirklicht:

1) Image auf SD installiert
2) PI mit Kabel verbunden und am Router angeschlossen

Ich kann von meinem Heimnetzer auf den PI zugreifen (sind ja diese 192.168.xxx Adressen). Damit habe ich keine Probleme. Ich verstehe auch, dass ich den Port 80 und 443 freigeben muss. Auch das ist ok. Ich verstehe aber nicht die DNS Konfiguration mit einem DNS Anbieter. Ich würde gerne DuckDNS benutzen, da kostenlos und gutes Design.

In DuckDNS kann ich eine Domain aussuchen. Soweit klar. Was aber trage ich bitte IP Adresse bei DuckDNS ein? Auch die IP vom PI, also die 192.168.xxx? Oder trage ich da eine IPV6 Adresse ein? Oder beides? Ich weiß halt, dass ich die DNS Adresse in Nextcloud anschließend unter "trusted domains" eintragen muss. Das ist auch verständlich. Ich hadere aktuell nur bei der IP Zuweisung. Ich weiß gar nicht, was da genau rein kommt, damit der PI von außen erreicht werden kann.

Grüße
 
Du musst deine externe IP Adresse (also die deines Routers nach außen hin) dort angeben, und im Router alle Anfragen auf 80 und 443 auf den Pi weiterleiten.

Die 192.... Adressen sind rein intern, damit erreicht man von außen nichts.
Deine externe IP kannst du rausfinden, in dem du auf Seiten wie https://www.wieistmeineip.de/ gehst, da wird die angezeigt.

Für dich ist nur v6 interessant, per IPv4 kannst du deinen Anschluss dank Carrier Grade NAT bei Unitymedia nicht erreichen.

Beschäftige dich auch etwas mit Sicherheit, wenn du deinen Pi an die Außenwelt freigibst. Also Zwei-Faktor Zugriff, Webserver härten, Veraltete SLL / TLS Versionen abschalten etc.
 
Verstehe. Verstehe den letzten Satz nicht. Was bedeutet das?

In Vergangenheit habe ich das alles mit 1&1 versucht. Leider ging das nie, weil mir gesagt wurde, dass ich einen sogenannten DSLite Tunnel verwende. Durch den Anbieterwechsel hoffe ich jetzt, dass ich nichts weiter benötige..?
 
Chibi88 schrieb:
Unitymedia
Zum Vergrößern anklicken....
Erstmal prüfen ob du überhaupt eine eigen IPv4 hast. Das ist bei UM/Vodafone kaum noch üblich bei Privatkunden (Stichwort: DSLite bzw. Carrier Grade NAT (CGN)). Das macht die Sache etwas komplizierter, da (noch) nicht jeder (Mobil-) Provider IPv6 unterstütz.

Ansonsten musst du dir
a) einen DynDNS Anbieter suchen, der deine externe (wechselnde) IP mit deiner/einer Domain verknüpft
b) im Router eine Freigabe/Portweiterleitung einrichten, der den externen Port auf den Pi "weiterleitet"
 
  • Gefällt mir
Reaktionen: TheRealX
https://avm.de/service/fritzbox/fri...1611_Was-ist-DS-Lite-und-wie-funktioniert-es/
https://de.wikipedia.org/wiki/Carrier-grade_NAT

Effektiv hat Unitymedia einfach nicht genug v4 Adressen, um jedem Kunden eine zu geben. Deshalb machen sie genau das gleiche wie dein Router. Der hat eine öffentliche Adresse, und vergibt private Adressen (192...) an die Geräte im Netz. Macht Unitiymedia genauso, du hast eine private Adresse in deren Netz, die von außerhalb nicht zu erreichen ist.

Bei 1&1 war das genau das gleiche.
Weg wären die Probleme bei der Telekom (da weiß ich es sicher), oder anderen alten, großen Anbietern - am Anfang des Internets wurden IP Adressen mit vollen Händen verteilt, deshalb haben die Urgesteine riesige Adressarsenale.
 
Chibi88 schrieb:
Verstehe. Verstehe den letzten Satz nicht. Was bedeutet das?
Zum Vergrößern anklicken....

Du sollst dich mit der Materie beschäftigen, bevor du fahrlässig einen Webserver ins Netz stellst, welcher auf noch private Daten hostet.
 
  • Gefällt mir
Reaktionen: TheRealX
Achso. Reicht es also nicht, die ipV6 herauszufinden z. B. über wieistmeineip.de und da dann einzutragen? Wäre dann also komplizierter? Ohje. Weiß ich gar nicht, ob ich das hinbekomme. Da bin ich bei 1&1 damals schon verweifelt :(

@AAS ist zum testen. Ich habe nicht vor sofort meine ganzen privaten Fotos darauf zu hosten. Davon ab ist die Konfiguration ab werk mit Fail2Ban, einer Firewall und hardening schon ganz solide. Dazu muss dann halt noch ein Backup und ein SSL Zertifikat. Diese Schritte beherrsche ich. Gelernt durch Tutorials und verinnerlichen von VPS Setup's damals.
 
Chibi88 schrieb:
Achso. Reicht es also nicht, die ipV6 herauszufinden z. B. über wieistmeineip.de und da dann einzutragen?
Zum Vergrößern anklicken....
Wäre möglich, aber nicht wirklich komfortabel (und wie gesagt, manche Provider unterstützen noch kein IPv6)
So oder so musst du im Router die entsprechende Freigabe einrichten (das geht mit IPV6 etwas anders als mit IPv4)
 
@majusss
Das musst du mir erklären. Beides (Nextcloud und OpenVPN) geht über TLS - was ist dein Hintergedanke? Sicherheitslücken in Nextcloud, die sich dann ausnutzen lassen? Wer garantiert mir, dass es keine Lücken in PiVPN gibt?
 
Ich würde grundsätzlich eher davon abraten. Entweder du beschäftigst dich mit dem Thema vollständig, sonst kann es unter Umständen ein böses erwachen geben. Nur ins Internet stellen und darauf zugreifen ist nicht so einfach. Wie sieht es mit Sicherheit aus? Wie sicher ich mich ab, damit fremde da nicht von außen drauf kommen? Welche Verschlüsselung nutze ich?... Da gibt es viele Fragen.
 
allein weil du hier nachfragen musst würde ich dir stark davon abraten die nextcloud direkt ins netz zu stellen...nichts für ungut...ist nicht böse gemeint. Wenn du einen webserver betreibst solltest du regelmäßig logs lesen (alle paar tage) und die sicherheit prüfen.

außerdem geht es durch deine DSlite anbindung von UM nicht bzw sehr umständlich. gibt aber diverse tutorials dslite zu umgehen/durch externe Anbieter durchzuschleifen.
 
  • Gefällt mir
Reaktionen: Gartenhaus, AAS und shoKuu
honky-tonk schrieb:
allein weil du hier nachfragen musst würde ich dir stark davon abraten die nextcloud direkt ins netz zu stellen...nichts für ungut...ist nicht böse gemeint. Wenn du einen webserver betreibst solltest du regelmäßig logs lesen (alle paar tage) und die sicherheit prüfen.
Zum Vergrößern anklicken....

Ja und wie seine Antworten hier aufs Thema sind.
 
Ok. Schade, scheint doch komplizierter zu sein als gedacht :(
 
Ernstgemeinter Ratschlag, lass es. Du wirst das nicht mal ansatzweise sicher betreiben können. Es ist nur eine Frage der Zeit, dass die Büchse kompromittiert ist. Damit kannst du dein ganzes LAN gefährden und andere mit, wenn es dann ein Teil von einem Botnet ist. Nur weil man Fail2Ban nach einer Anleitung im Internet einrichten kann, ist man nicht gleich der Betreiber eines sicheren Webservers.

Man muss den Server, Apache, PHP und MySQL härten, tägliche Sicherheitsupdates aller Komponenten einspielen und sollte Sicherheitsmechanismen wie eine WAF oder IPS im Einsatz haben. Dort kann man dann auch gut im Logfile sehen, wie im Sekundentakt Angriffe erfolgen. Auch muss man sich regelmäßig mit Sicherheitsthemen und ständiger Logfile Auswertung auseinandersetzen. Das kann ein Fulltime-Job werden. Selbst das einmalige härten eines Webservers langt nicht, da es in Zukunft trotzdem Sicherheitsrisiken geben kann.

Der Vorschlag mit einem VPN ist in jedem Fall vorzuziehen, da die Angriffsfläche dort um ein vielfaches geringer ist.
 
  • Gefällt mir
Reaktionen: Nero1 und AAS
Gibt es dafür eine gute, einfach Anleitung? Vielleicht hat jemand sowas noch irgendwo als bookmark.

Werde auch den Server erst mal so nicht aufsetzen. Danke für die Tipps. Dennoch die frage: ist NextcloudPI nicht einfach voll einsatzfähige Möglichkeit den PI zu betreiben? Soweit ich weiß, werden da durch chrome Jobs ständig Updates aufgespielt und die Konfiguration ist ab Werk gehärtet.
 
NextCloudPI Scheint sich selbständig zu aktualisieren, also ich sehe da nicht so das große Problem. Interessant ist erst einmal ob du Port-Weiterleitungen machen kannst an deine IP-Adresse.

Du guckst bei https://www.wieistmeineip.de/ vorbei, was für eine IP Du hast. Im Router musst Du eine Portweiterleitung machen an den NextCloudPI. Dann z.B. mit der Datenverbindung vom Handy ohne Wifi mit einem Browser auf diese Adresse versuchen zu verbinden. Wenn das nicht geht kannste es vergessen. Es kann sein, dass Du deinen ISP telefonisch bitten musst dir eine normale IP-Adresse (ohne NAT oder DS-Lite) zu geben oder dass Du einen eigene Router benutzen kannst und dein ISP-Router in den Bridge-Modus versetzt wird. Bei welchem ISP aber was noch geht, da habe ich keinen Plan. 1&1 will das z.B. wohl nur noch bei Businessanschlüssen ermöglichen, die kosten dann mal gleich 20% mehr...
 
Zuletzt bearbeitet:
Ich schätze die Hinweise auf Sicherheit u.a. von @Helge01 sehr, wenn ich an unsere Nextcloud denke kommen auch viele böse Erinnerungen hoch, allein was da als Hardening noch lief, Reverse Proxy Konfiguration, etc...das ist schon nicht ohne. Ob man hier pauschal sagen muss "mach ja keinen Webserver, als Normalo ist das KRITISCH weil du es nie sicher kriegen wirst"...kann man sich streiten. So wie es wirkt würde ich dem TE hier auch eher raten sich erstmal grundlegend und tiefer mit der Materie zu befassen, eh man einfach nen Webserver ins Netz hängt, ganz so "radikal" wäre ich aber dennoch nicht. Ansonsten sind ja viele sinnvolle Vorschläge und Meinungen gefallen, die ich auch gut finde, selbst wenn ich ein extra VPN aus Usability Gründen selber z. B. nicht verwende. Da muss man als Privatanwender aber auch eh immer seinen Mittelweg finden, mit dem man (bewusst!) leben kann und möchte :)
(Zumindest halte ich gerne selber meine Daten in der Hand als auf einem Rechenzentrum, das potentiell noch viel stärkeren und komplexeren Angriffen ausgesetzt ist als Standard Scriptkram über das Netz hinweg. Sicherheitsbackground und Einschätzungsvermögen der Risikolage vorausgesetzt, wirklich kritisches Zeug gehört auch in keine Cloud, ob lokal oder extern.)
 
  • Gefällt mir
Reaktionen: AAS und Bob.Dig
Helge01 schrieb:
Ernstgemeinter Ratschlag, lass es. Du wirst das nicht mal ansatzweise sicher betreiben können. Es ist nur eine Frage der Zeit, dass die Büchse kompromittiert ist. Damit kannst du dein ganzes LAN gefährden und andere mit, wenn es dann ein Teil von einem Botnet ist. Nur weil man Fail2Ban nach einer Anleitung im Internet einrichten kann, ist man nicht gleich der Betreiber eines sicheren Webservers.

Man muss den Server, Apache, PHP und MySQL härten, tägliche Sicherheitsupdates aller Komponenten einspielen und sollte Sicherheitsmechanismen wie eine WAF oder IPS im Einsatz haben. Dort kann man dann auch gut im Logfile sehen, wie im Sekundentakt Angriffe erfolgen. Auch muss man sich regelmäßig mit Sicherheitsthemen und ständiger Logfile Auswertung auseinandersetzen. Das kann ein Fulltime-Job werden. Selbst das einmalige härten eines Webservers langt nicht, da es in Zukunft trotzdem Sicherheitsrisiken geben kann.

Der Vorschlag mit einem VPN ist in jedem Fall vorzuziehen, da die Angriffsfläche dort um ein vielfaches geringer ist.
Zum Vergrößern anklicken....

/sign
Ein wirklich guter Beitrag, auch wenn ich tägliche Updates für einen Server im privaten Gebrauch für übertrieben halte. 1-2 Mal im Monat reicht da vollkommen, wenn keine schweren Sicherheitslücke auftauchen, da muss man sich aber selbständig informieren.


Ergänzung ()

Nero1 schrieb:
Ich schätze die Hinweise auf Sicherheit u.a. von @Helge01 sehr, wenn ich an unsere Nextcloud denke kommen auch viele böse Erinnerungen hoch, allein was da als Hardening noch lief, Reverse Proxy Konfiguration, etc...das ist schon nicht ohne. Ob man hier pauschal sagen muss "mach ja keinen Webserver, als Normalo ist das KRITISCH weil du es nie sicher kriegen wirst"...kann man sich streiten. So wie es wirkt würde ich dem TE hier auch eher raten sich erstmal grundlegend und tiefer mit der Materie zu befassen, eh man einfach nen Webserver ins Netz hängt, ganz so "radikal" wäre ich aber dennoch nicht. Ansonsten sind ja viele sinnvolle Vorschläge und Meinungen gefallen, die ich auch gut finde, selbst wenn ich ein extra VPN aus Usability Gründen selber z. B. nicht verwende. Da muss man als Privatanwender aber auch eh immer seinen Mittelweg finden, mit dem man (bewusst!) leben kann und möchte :)
(Zumindest halte ich gerne selber meine Daten in der Hand als auf einem Rechenzentrum, das potentiell noch viel stärkeren und komplexeren Angriffen ausgesetzt ist als Standard Scriptkram über das Netz hinweg. Sicherheitsbackground und Einschätzungsvermögen der Risikolage vorausgesetzt, wirklich kritisches Zeug gehört auch in keine Cloud, ob lokal oder extern.)
Zum Vergrößern anklicken....

Absolut, das ist was ich meine, er sollte sich tiefer mit der Materie auseinander setzen.
Was ich eher bemängle, ist dass der TE die Sicherheitsrisiken selbst noch nicht abschätzen kann,
da im bis jetzt das Wissen fehlt.
Ein guter Mittelweg ist wie von anderen schon erwähnt ein VPN, so kann er schon mal Erfahrungen sammeln im Betreiben eines Webserver und kann von diesem Punkt aus Wissen aufbauen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Nero1 und Helge01
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Syntax_Error
GL.Inet Router mit dedizierter IP von aussen nicht erreichbar.
2
Antworten
21
Aufrufe
1.303
Syntax_Error
Syntax_Error
F!r3f0x
Lokal Rewrites Adguard und NPM als Reverse Proxy nutzen
Antworten
4
Aufrufe
1.170
vFOV
V
GoetzCebu
Reihenfolge beim Setup eines reinen Access Points? Ich verzweifele
2
Antworten
21
Aufrufe
1.577
GoetzCebu
GoetzCebu
C
Chaos im Heimnetzwerk nach Fritzbox Reset
Antworten
16
Aufrufe
2.265
Raijin
Raijin
A
Verständnisproblem IPv6 Port Forwarding
2
Antworten
22
Aufrufe
2.722
riversource
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz