Reverse Proxy funktioniert nicht aus dem internen Netz

[schoger]

Hi zusammen,

ich habe auf meiner DS220+ über Docker eine Bitwarden Vault aufgesetzt, was auch für Zugriffe aus dem Internet heraus hervorragend funktioniert.

Wenn ich mit meinem Laptop über das Handy online bin und die Bitwarden Vault URL[1] aufrufe, bekomme ich die korrekte Startseite mit validem LE-Zertifikat und allem. Login ist möglich.
Wenn ich allerdings die exakt gleiche URL aus meinem internen WLAN heraus aufrufe, läuft der Request in einen Timeout.

Das Setup sieht folgendermaßen aus:
- Fritzbox
-- Port Forwarding zur Syno für Ports 80 + 443
- Syno
-- Reverse Proxy bitwarden.myname.synology.me:443 -> localhost:5151
-- Docker container, der auf localhost:5151 gemapped ist
-- Let's Encrypt Zertifikat für myname.synology.me, mit Alt Name für *.myname.synology.me

Hat jemand eine Idee, was bei den Zugriffen aus dem internen Netz schief gehen kann? Ich bin leider langsam mit meinem Latein am Ende.

Danke schon mal
Matthias


[1] https://bitwarden.myname.synology.me

 

[Ulfhednir]

Bist du zufälligerweise im Gast-WLAN der FritzBox eingecheckt?

 

[Fusion]

"nslookup bitwarden.myname.synology.me"
Findet das aufrufende eine Antwort auf die Anfrage?
Also funktioniert die Namensauflösung intern.

 

[schoger]

Findet er:

~ % nslookup bitwarden.myname.synology.me
Server: 192.168.111.1
Address: 192.168.111.1#53

Non-authoritative answer:
Name: bitwarden.myname.synology.me
Address: 62.216.211.11

Was mir noch aufgefallen ist: Mein Fritzbox scheint keine IPv4 Adresse zu haben, sondern nur einen Tunnel über IPv6

Internet, IPv4

FRITZ!Box verwendet einen DS-Lite-Tunnel, M-net automatisch, AFTR-Gateway: 2001:a60:0:5::ffff

Könnte das der Grund für das seltsame Verhalten sein? Port-Forwarding ist in der FB freigeschaltet für v4+v6.

 

[schoger]

Bist du zufälligerweise im Gast-WLAN der FritzBox eingecheckt?

Leider nicht. Ich komme ohne Probleme auf die DSM-Oberfläche.

 

[Ulfhednir]

Was mir noch aufgefallen ist: Mein Fritzbox scheint keine IPv4 Adresse zu haben, sondern nur einen Tunnel über IPv6

Internet, IPv4

FRITZ!Box verwendet einen DS-Lite-Tunnel, M-net automatisch, AFTR-Gateway: 2001:a60:0:5::ffff

Könnte das der Grund für das seltsame Verhalten sein? Port-Forwarding ist in der FB freigeschaltet für v4+v6.

Das ist definitiv ein Problem. Lösung: Beim Provider anrufen und nach einem echten IPv4 fragen.
Zu DS-Lite gibt es etliche Foreneinträge in der Suchfunktion.

 

[Fusion]

Von extern funktioniert es ja. DS Lite ist unschön, aber dann nicht das Problem.
Die lokale Namensauflösung.

Entweder hosts Datei auf dem Client anpassen oder einen lokalen DNS Server aufsetzen. Oder pihole etc.
Dann wird das nslookup direkt auf die IP des nas aufgelöst und nicht auf eine semi-öffentliche IP.

 

[schoger]

Von extern funktioniert es ja. DS Lite ist unschön, aber dann nicht das Problem.
Die lokale Namensauflösung.

Entweder hosts Datei auf dem Client anpassen oder einen lokalen DNS Server aufsetzen. Oder pihole etc.
Dann wird das nslookup direkt auf die IP des nas aufgelöst und nicht auf eine semi-öffentliche IP.

Exakt!

Ich denke, ich hab's gefunden.

Bei der FritzBox unter Heimnetz->Netzwerk->Netzwerkeinstellungen->DNS Rebind Schutz den dDNS-Name eintragen, dann kommen die Pakete auch durch

Werde jetzt mal lesen, was ich mir damit für Sicherheitsprobleme einfange ...

Danke für die Hilfe!

 

[Benares]

An den DNS Rebind Schutz habe ich bei deinem Post #1 zuerst auch gedacht, aber die Idee dann doch verworfen.
Ich dachte, der spielt nur dann eine Rolle, wenn der Name auf eine lokale IP auflöst
Aber vielleicht wissen ja andere mehr.

 

[Fusion]

Der rebind Schutz spielt nur eine Rolle wenn die Domain auf die öffentliche IP des Routers auflöst.
Wenn die Pakete also im Router den LAN>WAN>LAN Weg (NAT Loopback) nehmen.

Bei korrekter lokaler Namensauflösung kommen die Pakete eventuell gar nicht am Router vorbei oder nur auf der LAN Switch Seite.

 

[Benares]

Mmh, also sollte (muss?) man alle Namen, die man für den Reverse-Proxy auf der DS nutzt, auch beim Rebind-Schutz aufnehmen, damit es auch von intern klappt? Oder nur bei DS Lite?
Ich hatte das bisher so, wurde mir aber heute Nachmittag, auch nach dem Lesen der AVM-Hilfe, unsicher und habe die wieder rausgenommen. Und es hat weiterhin geklappt
Wieder so eine Baustelle, mit der ich mich mal näher beschäftigen muss

 

[schoger]

Der rebind Schutz spielt nur eine Rolle wenn die Domain auf die öffentliche IP des Routers auflöst.
Wenn die Pakete also im Router den LAN>WAN>LAN Weg (NAT Loopback) nehmen.

Bei korrekter lokaler Namensauflösung kommen die Pakete eventuell gar nicht am Router vorbei oder nur auf der LAN Switch Seite.

Für mich hört sich das nach einem Bug in der Fritzbox an.

So wie ich es verstehe, sollte der DNS Rebind Schutz doch eigentlich nur für interne Adressen (192.168.1/24 bei mir) aktiv werden und nicht für das externe Interface.

Danke mal, ich werde dazu ein Ticket bei AVM aufmachen. Das Problem lässt sich bei mir jederzeit reproduzieren.

 

[Fusion]

@Benares, hat nichts mit DS Lite zu tun.
Spätestens nach einem Neustart der Fritzbox dürfte das nicht mehr funktionieren.

@schoger Nein, das ist kein Bug. Und ja, die Anfrage vom innen soll ja letztendlich auch wieder auf einer LAN IP landen. Die DNS Anfrage zur Domain liefert der Fritzbox trotzdem zuerst ihr eigene öffentliche IP.
Wenn die Fritzbox einen externen DNS anfragt und für eine öffentliche Domain eine private IP erhalten würde wäre was ganz anderes kaputt, nämlich der externe DNS Server.

 

[Fusion]

Hier ist ganz gut erklärt wieso sowas schief gehen kann. Die ultimativ einfache bebilderte Erklärung ist mir leider noch nicht untergekommen.

https://wiki.mikrotik.com/wiki/Hairpin_NAT

Bei der Fritzbox hat das aber glaube gar nichts damit zu tun, sondern einfach, dass diese Hostnamen blockiert, wenn diese von intern angefragt werden und wieder auf sie selbst oder Geräte im LAN abzielen.
Also noch bevor die Anfrage überhaupt in die Hairpin NAT Bredouille laufen kann.
Das dann halt unter dem Begriff DNS Rebind Schutz subsummiert.

 

[blurrrr]

Entweder hosts Datei auf dem Client anpassen oder einen lokalen DNS Server aufsetzen. Oder pihole etc.
Dann wird das nslookup direkt auf die IP des nas aufgelöst und nicht auf eine semi-öffentliche IP.

Alternativ s.o. Zitat @Fusion, dann gehen die Pakete erst garnicht bis zum Router. Wie man es schlussendlich macht, ist eigentlich egal, ich persönlich finde es sauberer, wenn die Pakete erst garnicht dorthin gehen, wo sie nichts verloren haben. Vereinfacht ausgedrückt:

Lieber "Büro -> Wohnzimmer", anstatt "Büro -> Haustür -> Wohnzimmer" ??