Wie bekomme ich mein NextCloudPI erreichbar von außen?

Chibi88

Lt. Commander
Dabei seit
Dez. 2007
Beiträge
1.060
Guten Tag,

ich habe einen Router von Unitymedia und versuche aktuell meinen RaspberryPI für das Internet erreichbar zu machen. Ich verstehe aber nicht, wie ich das genau zu konfigurieren habe. Folgende Schritte habe ich bis jetzt verwirklicht:

1) Image auf SD installiert
2) PI mit Kabel verbunden und am Router angeschlossen

Ich kann von meinem Heimnetzer auf den PI zugreifen (sind ja diese 192.168.xxx Adressen). Damit habe ich keine Probleme. Ich verstehe auch, dass ich den Port 80 und 443 freigeben muss. Auch das ist ok. Ich verstehe aber nicht die DNS Konfiguration mit einem DNS Anbieter. Ich würde gerne DuckDNS benutzen, da kostenlos und gutes Design.

In DuckDNS kann ich eine Domain aussuchen. Soweit klar. Was aber trage ich bitte IP Adresse bei DuckDNS ein? Auch die IP vom PI, also die 192.168.xxx? Oder trage ich da eine IPV6 Adresse ein? Oder beides? Ich weiß halt, dass ich die DNS Adresse in Nextcloud anschließend unter "trusted domains" eintragen muss. Das ist auch verständlich. Ich hadere aktuell nur bei der IP Zuweisung. Ich weiß gar nicht, was da genau rein kommt, damit der PI von außen erreicht werden kann.

Grüße
 

Autokiller677

Vice Admiral
Dabei seit
Jan. 2009
Beiträge
6.722
Du musst deine externe IP Adresse (also die deines Routers nach außen hin) dort angeben, und im Router alle Anfragen auf 80 und 443 auf den Pi weiterleiten.

Die 192.... Adressen sind rein intern, damit erreicht man von außen nichts.
Deine externe IP kannst du rausfinden, in dem du auf Seiten wie https://www.wieistmeineip.de/ gehst, da wird die angezeigt.

Für dich ist nur v6 interessant, per IPv4 kannst du deinen Anschluss dank Carrier Grade NAT bei Unitymedia nicht erreichen.

Beschäftige dich auch etwas mit Sicherheit, wenn du deinen Pi an die Außenwelt freigibst. Also Zwei-Faktor Zugriff, Webserver härten, Veraltete SLL / TLS Versionen abschalten etc.
 

Chibi88

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2007
Beiträge
1.060
Verstehe. Verstehe den letzten Satz nicht. Was bedeutet das?

In Vergangenheit habe ich das alles mit 1&1 versucht. Leider ging das nie, weil mir gesagt wurde, dass ich einen sogenannten DSLite Tunnel verwende. Durch den Anbieterwechsel hoffe ich jetzt, dass ich nichts weiter benötige..?
 

Nilson

Fleet Admiral
Dabei seit
Dez. 2008
Beiträge
18.477
Erstmal prüfen ob du überhaupt eine eigen IPv4 hast. Das ist bei UM/Vodafone kaum noch üblich bei Privatkunden (Stichwort: DSLite bzw. Carrier Grade NAT (CGN)). Das macht die Sache etwas komplizierter, da (noch) nicht jeder (Mobil-) Provider IPv6 unterstütz.

Ansonsten musst du dir
a) einen DynDNS Anbieter suchen, der deine externe (wechselnde) IP mit deiner/einer Domain verknüpft
b) im Router eine Freigabe/Portweiterleitung einrichten, der den externen Port auf den Pi "weiterleitet"
 

Autokiller677

Vice Admiral
Dabei seit
Jan. 2009
Beiträge
6.722
https://avm.de/service/fritzbox/fri...1611_Was-ist-DS-Lite-und-wie-funktioniert-es/
https://de.wikipedia.org/wiki/Carrier-grade_NAT

Effektiv hat Unitymedia einfach nicht genug v4 Adressen, um jedem Kunden eine zu geben. Deshalb machen sie genau das gleiche wie dein Router. Der hat eine öffentliche Adresse, und vergibt private Adressen (192...) an die Geräte im Netz. Macht Unitiymedia genauso, du hast eine private Adresse in deren Netz, die von außerhalb nicht zu erreichen ist.

Bei 1&1 war das genau das gleiche.
Weg wären die Probleme bei der Telekom (da weiß ich es sicher), oder anderen alten, großen Anbietern - am Anfang des Internets wurden IP Adressen mit vollen Händen verteilt, deshalb haben die Urgesteine riesige Adressarsenale.
 

Chibi88

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2007
Beiträge
1.060
Achso. Reicht es also nicht, die ipV6 herauszufinden z. B. über wieistmeineip.de und da dann einzutragen? Wäre dann also komplizierter? Ohje. Weiß ich gar nicht, ob ich das hinbekomme. Da bin ich bei 1&1 damals schon verweifelt :(

@AAS ist zum testen. Ich habe nicht vor sofort meine ganzen privaten Fotos darauf zu hosten. Davon ab ist die Konfiguration ab werk mit Fail2Ban, einer Firewall und hardening schon ganz solide. Dazu muss dann halt noch ein Backup und ein SSL Zertifikat. Diese Schritte beherrsche ich. Gelernt durch Tutorials und verinnerlichen von VPS Setup's damals.
 

Nilson

Fleet Admiral
Dabei seit
Dez. 2008
Beiträge
18.477
Achso. Reicht es also nicht, die ipV6 herauszufinden z. B. über wieistmeineip.de und da dann einzutragen?
Wäre möglich, aber nicht wirklich komfortabel (und wie gesagt, manche Provider unterstützen noch kein IPv6)
So oder so musst du im Router die entsprechende Freigabe einrichten (das geht mit IPV6 etwas anders als mit IPv4)
 

gaym0r

Commander
Dabei seit
Juli 2010
Beiträge
2.267
@majusss
Das musst du mir erklären. Beides (Nextcloud und OpenVPN) geht über TLS - was ist dein Hintergedanke? Sicherheitslücken in Nextcloud, die sich dann ausnutzen lassen? Wer garantiert mir, dass es keine Lücken in PiVPN gibt?
 

trane87

Vice Admiral
Dabei seit
Jan. 2008
Beiträge
6.479
Ich würde grundsätzlich eher davon abraten. Entweder du beschäftigst dich mit dem Thema vollständig, sonst kann es unter Umständen ein böses erwachen geben. Nur ins Internet stellen und darauf zugreifen ist nicht so einfach. Wie sieht es mit Sicherheit aus? Wie sicher ich mich ab, damit fremde da nicht von außen drauf kommen? Welche Verschlüsselung nutze ich?... Da gibt es viele Fragen.
 

honky-tonk

Lt. Commander
Dabei seit
Feb. 2009
Beiträge
1.708
allein weil du hier nachfragen musst würde ich dir stark davon abraten die nextcloud direkt ins netz zu stellen...nichts für ungut...ist nicht böse gemeint. Wenn du einen webserver betreibst solltest du regelmäßig logs lesen (alle paar tage) und die sicherheit prüfen.

außerdem geht es durch deine DSlite anbindung von UM nicht bzw sehr umständlich. gibt aber diverse tutorials dslite zu umgehen/durch externe Anbieter durchzuschleifen.
 

Chibi88

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2007
Beiträge
1.060
Ok. Schade, scheint doch komplizierter zu sein als gedacht :(
 

Helge01

Lt. Commander
Dabei seit
Nov. 2008
Beiträge
1.876
Ernstgemeinter Ratschlag, lass es. Du wirst das nicht mal ansatzweise sicher betreiben können. Es ist nur eine Frage der Zeit, dass die Büchse kompromittiert ist. Damit kannst du dein ganzes LAN gefährden und andere mit, wenn es dann ein Teil von einem Botnet ist. Nur weil man Fail2Ban nach einer Anleitung im Internet einrichten kann, ist man nicht gleich der Betreiber eines sicheren Webservers.

Man muss den Server, Apache, PHP und MySQL härten, tägliche Sicherheitsupdates aller Komponenten einspielen und sollte Sicherheitsmechanismen wie eine WAF oder IPS im Einsatz haben. Dort kann man dann auch gut im Logfile sehen, wie im Sekundentakt Angriffe erfolgen. Auch muss man sich regelmäßig mit Sicherheitsthemen und ständiger Logfile Auswertung auseinandersetzen. Das kann ein Fulltime-Job werden. Selbst das einmalige härten eines Webservers langt nicht, da es in Zukunft trotzdem Sicherheitsrisiken geben kann.

Der Vorschlag mit einem VPN ist in jedem Fall vorzuziehen, da die Angriffsfläche dort um ein vielfaches geringer ist.
 

Chibi88

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2007
Beiträge
1.060
Gibt es dafür eine gute, einfach Anleitung? Vielleicht hat jemand sowas noch irgendwo als bookmark.

Werde auch den Server erst mal so nicht aufsetzen. Danke für die Tipps. Dennoch die frage: ist NextcloudPI nicht einfach voll einsatzfähige Möglichkeit den PI zu betreiben? Soweit ich weiß, werden da durch chrome Jobs ständig Updates aufgespielt und die Konfiguration ist ab Werk gehärtet.
 

Bob.Dig

Lt. Commander
Dabei seit
Dez. 2006
Beiträge
1.631
NextCloudPI Scheint sich selbständig zu aktualisieren, also ich sehe da nicht so das große Problem. Interessant ist erst einmal ob du Port-Weiterleitungen machen kannst an deine IP-Adresse.

Du guckst bei https://www.wieistmeineip.de/ vorbei, was für eine IP Du hast. Im Router musst Du eine Portweiterleitung machen an den NextCloudPI. Dann z.B. mit der Datenverbindung vom Handy ohne Wifi mit einem Browser auf diese Adresse versuchen zu verbinden. Wenn das nicht geht kannste es vergessen. Es kann sein, dass Du deinen ISP telefonisch bitten musst dir eine normale IP-Adresse (ohne NAT oder DS-Lite) zu geben oder dass Du einen eigene Router benutzen kannst und dein ISP-Router in den Bridge-Modus versetzt wird. Bei welchem ISP aber was noch geht, da habe ich keinen Plan. 1&1 will das z.B. wohl nur noch bei Businessanschlüssen ermöglichen, die kosten dann mal gleich 20% mehr...
 
Zuletzt bearbeitet:

Nero1

Commander
Dabei seit
Nov. 2009
Beiträge
2.628
Ich schätze die Hinweise auf Sicherheit u.a. von @Helge01 sehr, wenn ich an unsere Nextcloud denke kommen auch viele böse Erinnerungen hoch, allein was da als Hardening noch lief, Reverse Proxy Konfiguration, etc...das ist schon nicht ohne. Ob man hier pauschal sagen muss "mach ja keinen Webserver, als Normalo ist das KRITISCH weil du es nie sicher kriegen wirst"...kann man sich streiten. So wie es wirkt würde ich dem TE hier auch eher raten sich erstmal grundlegend und tiefer mit der Materie zu befassen, eh man einfach nen Webserver ins Netz hängt, ganz so "radikal" wäre ich aber dennoch nicht. Ansonsten sind ja viele sinnvolle Vorschläge und Meinungen gefallen, die ich auch gut finde, selbst wenn ich ein extra VPN aus Usability Gründen selber z. B. nicht verwende. Da muss man als Privatanwender aber auch eh immer seinen Mittelweg finden, mit dem man (bewusst!) leben kann und möchte :)
(Zumindest halte ich gerne selber meine Daten in der Hand als auf einem Rechenzentrum, das potentiell noch viel stärkeren und komplexeren Angriffen ausgesetzt ist als Standard Scriptkram über das Netz hinweg. Sicherheitsbackground und Einschätzungsvermögen der Risikolage vorausgesetzt, wirklich kritisches Zeug gehört auch in keine Cloud, ob lokal oder extern.)
 

AAS

Lt. Commander
Dabei seit
Juni 2007
Beiträge
1.068
Ernstgemeinter Ratschlag, lass es. Du wirst das nicht mal ansatzweise sicher betreiben können. Es ist nur eine Frage der Zeit, dass die Büchse kompromittiert ist. Damit kannst du dein ganzes LAN gefährden und andere mit, wenn es dann ein Teil von einem Botnet ist. Nur weil man Fail2Ban nach einer Anleitung im Internet einrichten kann, ist man nicht gleich der Betreiber eines sicheren Webservers.

Man muss den Server, Apache, PHP und MySQL härten, tägliche Sicherheitsupdates aller Komponenten einspielen und sollte Sicherheitsmechanismen wie eine WAF oder IPS im Einsatz haben. Dort kann man dann auch gut im Logfile sehen, wie im Sekundentakt Angriffe erfolgen. Auch muss man sich regelmäßig mit Sicherheitsthemen und ständiger Logfile Auswertung auseinandersetzen. Das kann ein Fulltime-Job werden. Selbst das einmalige härten eines Webservers langt nicht, da es in Zukunft trotzdem Sicherheitsrisiken geben kann.

Der Vorschlag mit einem VPN ist in jedem Fall vorzuziehen, da die Angriffsfläche dort um ein vielfaches geringer ist.
/sign
Ein wirklich guter Beitrag, auch wenn ich tägliche Updates für einen Server im privaten Gebrauch für übertrieben halte. 1-2 Mal im Monat reicht da vollkommen, wenn keine schweren Sicherheitslücke auftauchen, da muss man sich aber selbständig informieren.


Ergänzung ()

Ich schätze die Hinweise auf Sicherheit u.a. von @Helge01 sehr, wenn ich an unsere Nextcloud denke kommen auch viele böse Erinnerungen hoch, allein was da als Hardening noch lief, Reverse Proxy Konfiguration, etc...das ist schon nicht ohne. Ob man hier pauschal sagen muss "mach ja keinen Webserver, als Normalo ist das KRITISCH weil du es nie sicher kriegen wirst"...kann man sich streiten. So wie es wirkt würde ich dem TE hier auch eher raten sich erstmal grundlegend und tiefer mit der Materie zu befassen, eh man einfach nen Webserver ins Netz hängt, ganz so "radikal" wäre ich aber dennoch nicht. Ansonsten sind ja viele sinnvolle Vorschläge und Meinungen gefallen, die ich auch gut finde, selbst wenn ich ein extra VPN aus Usability Gründen selber z. B. nicht verwende. Da muss man als Privatanwender aber auch eh immer seinen Mittelweg finden, mit dem man (bewusst!) leben kann und möchte :)
(Zumindest halte ich gerne selber meine Daten in der Hand als auf einem Rechenzentrum, das potentiell noch viel stärkeren und komplexeren Angriffen ausgesetzt ist als Standard Scriptkram über das Netz hinweg. Sicherheitsbackground und Einschätzungsvermögen der Risikolage vorausgesetzt, wirklich kritisches Zeug gehört auch in keine Cloud, ob lokal oder extern.)
Absolut, das ist was ich meine, er sollte sich tiefer mit der Materie auseinander setzen.
Was ich eher bemängle, ist dass der TE die Sicherheitsrisiken selbst noch nicht abschätzen kann,
da im bis jetzt das Wissen fehlt.
Ein guter Mittelweg ist wie von anderen schon erwähnt ein VPN, so kann er schon mal Erfahrungen sammeln im Betreiben eines Webserver und kann von diesem Punkt aus Wissen aufbauen.
 
Zuletzt bearbeitet:
Top