Wechseln DynDns Domain->Fritz Box leitet Anfrage nicht an DS weiter

Status
Für weitere Antworten geschlossen.

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
178
Punkte für Reaktionen
11
Punkte
18
Hallo zusammen,

ich habe derzeit folgendes Problem:

Ich habe meine DDNS Domain für meine Syno geändert, da ich bei einer meiner Domains beim Anbieter einen DDNS Eintrag einrichten konnte und somit nun mit einer Subdomain direkt auf meine Syno verweise.
Meine FritzBox aktualisiert regelmäßig den DDNS Eintrag bei INWX, was auch super funktioniert.
Nun habe ich jedoch das Problem, dass Anfragen auf Port 443 scheinbar immer durch den Router beantwortet werden, welcher ein selbst signiertes Zertifikat ausliefert, was natürlich zu Fehlern im Browser führt.
Ich habe auf der Syno jedoch die Domain eingerichtet und auch ein aktives Lets encrypt Zertifikat. Desweiteren habe ich über Sicherheit->Konfigurieren eingestellt, dass dieses Zertifikat für alle App und auch für das System gelten soll.
Auf Port 5001 ist es kein Problem und funktioniert tadellos.
Wenn ich jedoch meine Nextcloud auf Port 443 erreichen will oder mein phpMyAdmin zum Test, dann bringt die FritzBox Ihre Anzeige und leitet nach akzeptieren auf die Remote Login Seite der FritzBox weiter.
Der Remote Login der FritzBox ist jedoch auf einem High Port konfiguriert, der mit 443 nicht kollidiert und auch alle Portweiterleitungen sind eingerichtet, so wie es auch vorher bereits funktioniert hat.

Hat jemand einen Tipp für mich, wie ich dafür sorgen kann, dass die Fritz Box sich die Sitzungen auf Port 443 nicht selbst greift, sondern weiter reicht?

EDIT:
Ich habe jetzt festgestellt, dass die fehlerhafte Auflösung nur innerhalb meines internen Netzwerks ein Problem darstellt. Wenn ich von außen über das LTE Netz gehe, dann funktioniert die Weiterleitung super. Per PC oder Smartphone im Netzwerk wird der Port aber nicht korrekt auf die Syno weiter geleitet. Wie kann das sein?!

Vielen Dank,
shirocko
 
Zuletzt bearbeitet:

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68
Hi,

trag die Domain auf der FB mal unter Netzwerkeinstellungen ganz unten bei DNS-Rebind-Schutz ein. Dann sollte es funktionieren.

Eine Weitere Ursache könnte aktivierter Fernzugriff auf die FB sein, welcher auf Port 443 eingestellt ist.
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
178
Punkte für Reaktionen
11
Punkte
18
Hallo blinddark,

danke für deinen Hinweis, leider behebt dieser das Problem nicht.
Die Auflösung funktioniert immer noch nicht.
Ich habe den Fernzugang aktiviert, allerdings auf einen High Port um 65000 gelegt.
Dieser war auch früher aktiv und hat nie Probleme gemacht.
Ein Abschalten ändert das Bild auch nicht.

lg shirocko
 
Zuletzt bearbeitet von einem Moderator:

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68
Klingt jetzt blöd aber alles mal neu starten?
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Also wenn Du wirklich in der Fritzbox den 443er geändert hast, dann sollte die sich auch keine 443 Anfragen mehr greifen, sondern alles schön weiterleiten, wenn das so konfiguriert worden ist. Auf der DS müssen die WEB Ports (80 und 443) natürlich auch "horchend" da sein, dass sie ggf. Anfragen auch entgegen nehmen können.

Internet --443---> Fritzbox --->443---> DS Firewall --> DS
Internet ----80---> Fritzbox ---->80---> DS Firewall --> DS
Internet ---selbst gewählter Port (beispielsweise 5511) ---> Fritzbox--->5001 ---> DS Firewall --> DS
Internet ---selbst gewählter Port (beispielsweise 5500) ---> Fritzbox--->5000 ---> DS Firewall --> DS
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
178
Punkte für Reaktionen
11
Punkte
18
Hi zusammen,

also die Ports sind alle richtig konfiguriert und auch die Syno, der PC und die FritzBox wurden dutzende Male neu gestartet.
Aktuell habe ich eine neue Erkenntnis gemacht:
Wenn ich den kompletten IPv6 Support in der FritzBox ausschalte, dann funktioniert die Weiterleitung auf einmal zuverlässig.
Wenn ich die Unterstützung einschalte, dann tritt das Problem auf.

Hat jemand hierzu eine Idee?

Besten Dank,
shirocko
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ja, dass die IPv6 Port-Freigabe nicht gesetzt ist und die dynDNS auf die IPv6 der Fritzbox läuft anstatt auf die IPv6 der DS (dynDNS Client muss auf der DS laufen).
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
178
Punkte für Reaktionen
11
Punkte
18
Der DynDNS Client läuft auf der FritzBox, da ich ja auch auf diese per Domain zugreifen möchte, nur halt auf einem anderen Port.
Da meine Syno aber nachts aus ist, wird der Eintrag natürlich erst morgens aktualisiert, wenn sie startet.
Die FritzBox läuft aber durch und aktualisiert den Eintrag sobald diese ein Reconnect durchführt.

Die Verbindung von außerhalb des lokalen Netzes funktioniert so ja auch wunderbar, auch bis durch zur Syno.
Nur intern greift sich die FritzBox dann die Verbindungen.

lg shirocko
 

Anhänge

  • ipv6_freigabe.png
    ipv6_freigabe.png
    11,4 KB · Aufrufe: 48
Zuletzt bearbeitet von einem Moderator:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Über die IPv6 der Fritzbox kannst du aber nicht auf die IPv6 der DS zugreifen, das läuft anders als bei IPv4.

Wenn es mit deaktiviertem IPv6 in der Fritzbox funktioniert liegt hier eindeutig der Fehler in deiner IPv6 Netzwerk-Konfiguration und Domain-Zuordnung.

Damit sind auch Aussagen wie "von außerhalb des...funktioniert es" nur die Hälfte Wert, solange nicht eindeutig klar ist über welches IP-Protokoll die Verbindung definitiv läuft.
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
178
Punkte für Reaktionen
11
Punkte
18
Ok verstehe. Danke für den Hinweis.
Ich vermute, dann bräuchte ich 2 Subdomains. Für jedes Gerät eine.
Leider ist nur eine DynDNS Domain bei meinem Provider kostenlos.
Dann werde ich vermutlich den DynDNS Client der Syno nutzen und die FritzBox per MyFritz oder ähnlichem anbinden.
Ich teste die Konfiguration einmal so und warte die DNS Timeouts ab, damit ich sicher sein kann, dass nichts mehr gecached wird.

Ich melde mich anschließend wieder.

Vielen Dank schon einmal bis dato,
shirocko
 
Zuletzt bearbeitet von einem Moderator:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Es geht auch mit einer dynDNS (mit IPv4 der Fritte und IPv6 der DS), außer du willst auch direkt von außen auf die Fritzbox zugreifen über bei IP Protokolle.
Zudem kann man auch eigene Domains per CNAME im DNS auf andere dynDNS verweisen lassen bzw. mit der IP hinter der dynDNS verbinden (die Domain bleibt beim Aufruf erhalten im Browser).

dynDNS Provider sollten sich für den Syno internen oder den DDNS Updater 2 von QTip ja genug finden (bei IPv4/v6 weniger als bei IPv4 only).

Anders liegt der Fall eventuell wenn du MyFritz-Freigaben verwendest. Da kenne ich mich nicht aus, da ich immer mit normalen Portweiterleitungen (IPv4) und Portfreigaben (IPv6) arbeite und anderen dynDNS und Domain Hostern.

Will man verschiedene Geräte erreichen brauchen dies mit v4/v6 auch unterschiedliche Domains, da sie sich zwar die IPv4 weiterhin teilen, aber unterschiedliche IPv6 besitzen.
In der Fritzbox wird hier für IPv6 nur noch eine Firewall-Freigabe (Portfreigabe genannt) für die Interface ID der DS angelegt.
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
178
Punkte für Reaktionen
11
Punkte
18
Hi,

also ich habe jetzt eine Domain auf die Syno aufgeschalten, welche nun ohne Fehler funktioniert,
Eine andere DynDNS Adresse aktualisiert direkt die FritzBox.
Wenn ich nun von intern auf die Syno zugreife, so wird auch alles wunderbar akzeptiert, egal ob Port 443 oder 5001.
Wenn ich jedoch von intern auf die FritzBox über die 2. DynDNS Adresse zugreife, welche auf die FritzBox aufgeschalten ist, dann erhalte ich einen Zertifkatsfehler und ein scheinbar selbst signiertes Zertifikat zurück, welche bis 2038 gilt.
Wenn ich den gleichen Zugriff von extern mache, dann erhalte ich ein gültiges Zertifikat. Das passiert unabhängig davon, ob ich IPv6 in der FritzBox aktiviere oder deaktiviere.

cert_fehler.png

Habt ihr auch hierfür noch eine Erklärung?

LG, shrirocko
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Und auf welchen Namen ist das cert von wem ausgestellt?

Bringt ein 'nslookup allgemeiner Name aus dem Cert' auf dem Client die interne IP der Fritzbox, oder was anderes, was?
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
178
Punkte für Reaktionen
11
Punkte
18
Das Zertifikat mag durchaus ein selbst signiertes sein, da die FritzBox für externe DynDNS Adressen ja kein letsencrypt ermöglicht, aber dann würde ich beim externen Zugriff auch die gleiche Warnung erwarten.
Ein nslookup auf den DNS Namen ergibt die externe IP der FritzBox, allerdings nur IPv4.
IPv6 wird liefert ein leeres Ergebnis (nslookup -query=AAAA ....)

Den DNS Rebind Schutz habe ich für die Domain eingetragen

lg, shirocko
 
Zuletzt bearbeitet von einem Moderator:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wichtig ist auseinander zu klamüsern, wer auf welchem Port lauscht und wer auf deine Anfragen welches Zertifikat ausliefert.
Hast du für die Fritzbox dynDNS wo das Zertifikat her / importiert? Antwort da eventuell die DS auf Port 443?
Die Fritzbox entscheidet nur nach Port, ob sie die Anfrage selbst beantwortet oder weiterreicht. Hier gibt es kein Server Name Indication (SNI), dass sie anhand der Domain antwortet.
 

shirocko

Benutzer
Mitglied seit
24. Okt 2008
Beiträge
178
Punkte für Reaktionen
11
Punkte
18
Also, dass ich von außen ein gültiges Zertifikat für die, auf der FritzBox aufgeschaltete, Domain erhalte muss ich revidieren.
In meinem Browser war das selbst signierte Zertifikat nur gespeichert und damit gültig.
Von einem anderen Rechner (extern) erhalte ich auch die Warnung, dass das Zertifikat selbst signiert wurde.

Also ich habe Port 443 und 5001 auf die Syno weiter geleitet und dort läuft Domain 1 und wird korrekt angezeigt mittlerweile, intern wie extern.
Auf der FritzBox ist port 65xxx für den externen Zugriff freigeschalten auf die FritzBox und die FritzBox pflegt Domain 2 per DynDNS.
Ich kann leider auf der FritzBox für einen DynDNS Eintrag keinen letsencrypt Eintrag anfordern. Dies geht nur für die MyFritz Domain.
Damit erhalte ich natürlich zwingend den Fehler, dass das Zertifikat von der FritzBox für Domain2 selbst signiert wurde.

Ich würde gerne Domain 2 verwenden, da der MyFritz Name nicht merkbar ist.

Ich vermute es gibt für mein Szenario keine letsencrypt Lösung, oder liege ich da falsch?

lg shirocko
 
Zuletzt bearbeitet von einem Moderator:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Eine Möglichkeit ist für Domain 2 auf der Syno einen reverse proxy zu setzen und auf 192.168.178.1 zu leiten.
Nachteil: es wird die Benutzerauswahl angezeigt, weil die Fritzbox dies für eine interne Verbindung hält.

Oder gleich per vpn verbinden und gar nicht von extern auf die Fritte.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat