Zugriff auf Webserver via DynDNS funktioniert nicht

[CreatorX]

Hallo liebe Schwarmintelligenz,
ich sitze jetzt schon seit Tagen an einem Problem, das ich einfach nicht gelöst bekomme. Eigentlich ganz einfach, ich habe mir eine Domain gemietet um damit auf meinen Webserver den ich Zuhause betreibe zugreifen zu können (also meine Familie).
Das ganze habe ich vor ein paar Jahren schonmal so betrieben und da hat es ohne Probleme funktioniert.
Ich betreibe Zuhause ein Linux-Gerät mit einem Apache2 Webserver den ich mir vor Kurzem wieder frisch eingerichtet habe. Dieser ist lokal im Netzwerk aufrufbar, funktioniert also grundsätzlich.
In den Einstellungen der gemieteten Domain (Strato, de-Domain) habe ich DynDNS aktiviert und auch in der Fritzbox (5490) DynDNS aktiviert und die Daten dort eingetragen. Desweiteren habe ich den Port 80 auf das Linux-Gerät weitergeleitet (SSL-Zertifikat ist zur Zeit noch nicht eingerichtet um es nicht noch komplizierter zu machen).
Also es ist eigentlich alles konfiguriert, aber wenn ich die Domain in den Browser eingebe, wird keine Website gefunden. So auch auf dem Handy, über WLan sowie über Datenverbindung probiert.
Nun dachte ich mir, eventuell liegt es an irgend einer Einstellung in Apache die das Ganze blockt und habe desshalb an meinem Windows PC mal den Windows-eigenen Webserver aktiviert, der schon in seinen default-Einstellungen nix von außen blocken sollte und den ich auch früher zum Testen immer problemlos hernehmen konnte und den Port 80 auf den PC weitergeleitet. Aber auch hier scheitert es.
Dann habe ich mich noch bei einem kostenlosen Domain-Dienst registriert (goip.de) und es damit versucht, aber auch hier kommt keine Weiterleitung zustande. Ich weiß echt nichtmehr weiter, da ich auch nicht nachvollziehen kann, ob es am jeweiligen Webserver, den Einstellungen in der Fritzbox oder an den Domain-Providern liegt.
Bitte helft mir!

 

[Nilson]

Funktioniert der Zugriff direkt über die externe IP? Mal mit nslookup geschaut ob der DynDNS-Dienst die richte IP auflöst?
Immer mit einem externen Gerät schauen (z.B. Smartphone mit Mobilfunk), nicht jeder Router kann Hairpin-NAT.

 

[Deeen]

Oder am Internet-Anschluss selbst? Vielleicht hast du keine "echte" eigene IPv4 sondern wirst vom Provider ge-NAT-ed?

 

[CreatorX]

Danke schonmal. Wie bereits geschrieben habe ich es auch bereits mit meinem Handy über dessen mobile Datenverbindung probiert. Aber auch das funktioniert nicht. Um sicherzugehen habe ich mal meinen Laptop via Tethering mit der mobilen Datenverbindung auf die Seite zugreifen lassen, leider auch nix

Funktioniert der Zugriff direkt über die externe IP? Mal mit nslookup geschaut ob der DynDNS-Dienst die richte IP auflöst?

Wie mache ich das? Also ja in cmd nslookup eingeben und dann? Die IP finde ich leider nirgends, scheinbar ist die Info bei Strato nicht vefügbar, wenn man die Domain auf DynDNS gestellt hat.

 

[Nilson]

1. Du schaut z.B. mit https://www.wieistmeineip.de wie deine extern IP ist
2. du gibst in die cmd nslookup deinedomain.tld ein
Sofern nslookup die domain auflösen kann, sollten die IPs die gleichen sein

Die IP finde ich leider nirgends, scheinbar ist die Info bei Strato nicht vefügbar, wenn man die Domain auf DynDNS gestellt hat.

Strato hat damit nix zu tun. Es geht um die IP die dein Router nach extern hat, also die, unter die er aus dem Internet zu erreichen ist.

 

[CreatorX]

Ok, also das gibt folgendes aus:

C:\Users\creat>nslookup xxxxxxxxx.de
Server: fritz.box
Address: 192.168.178.1

*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für xxxxxxxxx.de verfügbar.

Scheint also erstmal ok zu sein?

 

[Nilson]

nein. 192.168.178.1 ist die interne IP der fritzbox bzw. in dem Fall die IP deines DNS-Servers. Und der kann deine Domain nicht auflösen. Du hast also noch ein Fehler beim Einrichten des DynDNS.

Parallel dazu kannst du mal schauen, welche IP https://www.wieistmeineip.de anzeigt und die direkt in den Browser eingeben.

 

[CreatorX]

Also es hat sich etwas ergeben. Unzwar hatte ich ganz vergessen, dass ich Pihole als DNS-Server in der Fritzbox angegeben hatte. Sorry dafür, ist mir erst jetzt im Zuge, dass hier von DNS-Server die Rede ist, wieder eingefallen. Nun habe ich die DNS-Einstellungen im Router wieder auf default gesetzt und den Router mal neugestartet.
Es haben sich 2 Dinge verändert:
1. Ergebnis bei nslookup:

C:\Users\creat>nslookup xxxxxxxxx.de
Server: fritz.box
Address: 192.168.178.1

Nicht autorisierende Antwort:
Name: xxxxxxxxx.de
Address: 10.xx.xx.xx

Hier wird in jedem Fall jetzt schonmal eine IP ausgegeben, aber die ist immernoch nicht die selbe wie die die bei wieistmeineip.de steht.
Wenn ich die IP in den Browser eingebe, die ich bei wieistmeineip.de bekomme, bekomme ich einen Timeout.

2. Ich habe nun mit den Geräten, die direkt mit dieser Fritzbox verbunden sind, zugriff auf den Webserver, also nicht nur lokal sondern auch wenn ich die Domain in den Browser eingebe. Also so wie es sein soll. Geräte die nicht in diesem Netzwerk hängen, sprich über Mobile Daten kommen weiterhin nicht auf den Webserver. Das ist ziemlich seltsam. Eventuell hat die mobile Datenverbindung den alten Stand der Seite noch im Cache und aktualisiert ihn nicht?

 

[Nilson]

10.xx.xx.xx ist auch ein privater IP-Bereich. Bei welchem Provider bist du? Die 5490 ist ja für Glasfaser. Sieht mir nach einem Anschluss mit DS-Light aus. Da ist das mit dem Zugriff von außen über IPv4 nicht so einfach möglich.

 

[CreatorX]

Ja ich bin vor kurzem auf Glasfaser gewechselt. Provider sind unsere Stadtwerke. Meinst es liegt echt daran?

 

[chrigu]

Ja, du hast ds-lite /cgn und somit keine öffentlich zugängliche ipv4, so kannst du von ausserhalb keine Verbindung zu deinem internen Server herstellen. 1. auf ipv6 umstellen. 2. provider nach einer öffentlic zugänglicher ipv4 bitten. 3. businessvertrag abschliessen mit einer privaten ipv4, so brauchst du auch kein dyndns mehr.

 

[CreatorX]

1. auf ipv6 umstellen.

Meinst du damit einfach den Hacken bei ipv6 in der Fritzbox setzen?

 

[omavoss]

Hackentrick?

Auch der Server muss IPv6 unterstützen, genau wie die Clients und das gesamte LAN.

 

[chrigu]

Nä, mit dem ipv6 „enable/einschalten“ schaltest du nur das ipv6 ein oder aus.
Eine ipv6 adresse geht direkt auf dein Server, sofern der minecraft Server das überhaupt kann und die „spieler“ auch auf ipv6 umgeschaltet werden. Mein Tipp wäre eher #2 oder #3

 

[CreatorX]

Ok, dann probiere ich mal #2 denn 3# wird weder angeboten noch wäre es mir das wert dafür dann wahrscheinlich monatlich mehr zu zahlen.

Aber mal nochmal zum Verständnis, mir ist jetzt folgender Punkt in der FB-Oberfläche aufgefallen:

DynDNS

aktiviert, xxxxxxx.de, IPv4-Status: erfolgreich angemeldet, IPv6-Status: unbekannt

Heißt das dann nicht, dass ich eine IPv4 Adresse habe?

 

[chrigu]

Wenn wieistmeineip.de und die wan ip im Router identisch sind hast du kein cgn, und dein minecraft Server wäre erreichbar. Ist er aber nicht

 

[Raijin]

Das Problem hat mehrere Ebenen.

Zum einen hat dein Router keine öffentliche IPv4, was an der 10.x.x.x zu erkennen ist. Diese IPs sind Teil des RFC1918 Adressraums, der die IP-Adressen definiert, die für private Netzwerke reserviert sind. Das heißt, dass es im Internet keine IP-Adresse gibt, die mit 10. beginnt, ebensowenig wie 192.168.x.x bzw. 172.16.0.0 bis 172.31.255.255.

Zum anderen arbeiten DDNS-Clients in Routern meistens sehr banal. Sie nehmen einfach ihre IP-Adresse am WAN und schicken diese an den DDNs-Anbieter. Ob diese IP nun "gültig" ist im Sinne von "das ist die öffentliche IP", interessiert dabei nicht. Fortgeschrittene DDNS-Clients - zB auf Linux-Systemen der ddclient, o.ä. - bieten hingegen die Möglichkeit, die Ermittlung der öffentlichen IP über Webseiten wie wieistmeineip.de oder dergleichen festzustellen - egal welche IP der Router am WAN hat. Das hat insofern einen Vorteil, dass solche DDNS-Clients nicht zwingend im Router laufen müssen, sondern an beliebiger Stelle im Netzwerk einsetzbar sind.


Wie dem auch sei, eingangs wurde ja bereits erwähnt, dass du keine eigene öffentliche IPv4 hast. Das liegt daran, dass zB bei Kabel- oder Glasfaser-Internet häufig "CGN" zum Einsatz kommt, Carrier-Grade-NAT. Das bedeutet effektiv, dass der eigene Router gar nicht im Internet hängt, sondern nur im "privaten" Netzwerk des Providers. Der Kunde ist also gewissermaßen "Untermieter" und der Provider ist derjenige mit dem Router, der tatsächlich online ist und eine öffentliche IP-Adresse hat, die sich somit alle Kunden teilen.

Deswegen hilft es leider auch nicht, wenn dein DDNS auf die IP zeigen würde, die du bei wieistmeineip.de sehen kannst, da dies der Router des Providers ist, irgendwo in einem Rechenzentrum. Dort müsste die Portweiterleitung für 80/443 angelegt werden, mit der Ziel-IP, die du an deinem Router siehst, die 10.x.x.x, die die Fritzbox ja via DDNS versicht hat, bei Strato zu hinterlegen.

Melde dich beim Support deines Providers und frag nach einer öffentlichen IPv4. Mit Glück bekommst du eine, mit etwas weniger Glück kostet das ein paar Euros, mit Pech gibt es keine.


Übrigens: Ab Werk wird die Windows-Firewall alles wegblocken, was von einer fremden Quell-IP (=außerhalb des lokalen Subnetzes) eingehend ankommt. Da muss man in den eingehenden Regeln den jeweiligen Port/Dienst im Quell-IP-Bereich von "nur lokal" auf "beliebig" umstellen.

 

[CreatorX]

Ok, vielen Dank erstmal euch allen, das ist sehr hilfreich, dann weiß ich zumindest, dass ich hier nicht weiterkomme, bis mir mein Provider eventuell eine feste ipv4 gibt.

Wenn noch eine Frage zu einem anderen Thema gestattet ist: Ich betreibe einen unbound DNS-Resolver. Bringt es mir in meiner Situation im Sinne der Privatsphäre überhaupt etwas, unbound zu betreiben oder fängt mein Provider die DNS-Anfragen trotzdem vorher ab?

 

[Nilson]

Dein lokaler DNS-Server muss ja genau so die Namen, die er nicht kennt, über einen Upstream-Server im Internet auflösen. Und die Anfragen sind, sofern du nicht Dinge wie DNS over TLS and DNS over HTTPS eingerichtet hast, genau so unverschlüsselt, als wenn sie direkt von deinem PC kämen.

 

[CreatorX]

Nunja, aber im Normalfall ist beim Einsatz eines lokalen DNS Servers der DNS-Server des Providers nicht mehr involviert, sondern die Anfragen werden direkt zum root-Server geschickt. Wenn ich jetzt aber, wie Raijin schrieb, in meinem Fall Teil des Netzwerks meines Providers bin, funktioniert mein lokaler DNS-Server denn überhaupt wie vorgesehen oder weiß der Provider dann trotzdem noch, welche Seiten ich so aufrufe?