Toggle sidebar

Reverse Proxy funktioniert nicht aus dem internen Netz

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

schoger

Benutzer
Registriert
18. Mai 2021
Beiträge
6
Reaktionspunkte
1
Punkte
3
Hi zusammen,

ich habe auf meiner DS220+ über Docker eine Bitwarden Vault aufgesetzt, was auch für Zugriffe aus dem Internet heraus hervorragend funktioniert.

Wenn ich mit meinem Laptop über das Handy online bin und die Bitwarden Vault URL[1] aufrufe, bekomme ich die korrekte Startseite mit validem LE-Zertifikat und allem. Login ist möglich.
Wenn ich allerdings die exakt gleiche URL aus meinem internen WLAN heraus aufrufe, läuft der Request in einen Timeout.

Das Setup sieht folgendermaßen aus:
- Fritzbox
-- Port Forwarding zur Syno für Ports 80 + 443
- Syno
-- Reverse Proxy bitwarden.myname.synology.me:443 -> localhost:5151
-- Docker container, der auf localhost:5151 gemapped ist
-- Let's Encrypt Zertifikat für myname.synology.me, mit Alt Name für *.myname.synology.me

Hat jemand eine Idee, was bei den Zugriffen aus dem internen Netz schief gehen kann? Ich bin leider langsam mit meinem Latein am Ende.

Danke schon mal
Matthias


[1] https://bitwarden.myname.synology.me
 
Bist du zufälligerweise im Gast-WLAN der FritzBox eingecheckt?
 
"nslookup bitwarden.myname.synology.me"
Findet das aufrufende eine Antwort auf die Anfrage?
Also funktioniert die Namensauflösung intern.
 
Findet er:

~ % nslookup bitwarden.myname.synology.me
Server: 192.168.111.1
Address: 192.168.111.1#53

Non-authoritative answer:
Name: bitwarden.myname.synology.me
Address: 62.216.211.11

Was mir noch aufgefallen ist: Mein Fritzbox scheint keine IPv4 Adresse zu haben, sondern nur einen Tunnel über IPv6
Internet, IPv4 FRITZ!Box verwendet einen DS-Lite-Tunnel, M-net automatisch, AFTR-Gateway: 2001:a60:0:5::ffff

Könnte das der Grund für das seltsame Verhalten sein? Port-Forwarding ist in der FB freigeschaltet für v4+v6.
 
schoger schrieb:
Was mir noch aufgefallen ist: Mein Fritzbox scheint keine IPv4 Adresse zu haben, sondern nur einen Tunnel über IPv6
Internet, IPv4FRITZ!Box verwendet einen DS-Lite-Tunnel, M-net automatisch, AFTR-Gateway: 2001:a60:0:5::ffff

Könnte das der Grund für das seltsame Verhalten sein? Port-Forwarding ist in der FB freigeschaltet für v4+v6.
Zum Vergrößern anklicken....

Das ist definitiv ein Problem. Lösung: Beim Provider anrufen und nach einem echten IPv4 fragen.
Zu DS-Lite gibt es etliche Foreneinträge in der Suchfunktion.
 
Von extern funktioniert es ja. DS Lite ist unschön, aber dann nicht das Problem.
Die lokale Namensauflösung.

Entweder hosts Datei auf dem Client anpassen oder einen lokalen DNS Server aufsetzen. Oder pihole etc.
Dann wird das nslookup direkt auf die IP des nas aufgelöst und nicht auf eine semi-öffentliche IP.
 
Fusion schrieb:
Von extern funktioniert es ja. DS Lite ist unschön, aber dann nicht das Problem.
Die lokale Namensauflösung.

Entweder hosts Datei auf dem Client anpassen oder einen lokalen DNS Server aufsetzen. Oder pihole etc.
Dann wird das nslookup direkt auf die IP des nas aufgelöst und nicht auf eine semi-öffentliche IP.
Zum Vergrößern anklicken....
Exakt!

Ich denke, ich hab's gefunden.

Bei der FritzBox unter Heimnetz->Netzwerk->Netzwerkeinstellungen->DNS Rebind Schutz den dDNS-Name eintragen, dann kommen die Pakete auch durch :)

Werde jetzt mal lesen, was ich mir damit für Sicherheitsprobleme einfange ...

Danke für die Hilfe!
 
  • Like
Reaktionen: blurrrr
An den DNS Rebind Schutz habe ich bei deinem Post #1 zuerst auch gedacht, aber die Idee dann doch verworfen.
Ich dachte, der spielt nur dann eine Rolle, wenn der Name auf eine lokale IP auflöst :unsure:
Aber vielleicht wissen ja andere mehr.
 
Der rebind Schutz spielt nur eine Rolle wenn die Domain auf die öffentliche IP des Routers auflöst.
Wenn die Pakete also im Router den LAN>WAN>LAN Weg (NAT Loopback) nehmen.

Bei korrekter lokaler Namensauflösung kommen die Pakete eventuell gar nicht am Router vorbei oder nur auf der LAN Switch Seite.
 
  • Like
Reaktionen: blurrrr
Mmh, also sollte (muss?) man alle Namen, die man für den Reverse-Proxy auf der DS nutzt, auch beim Rebind-Schutz aufnehmen, damit es auch von intern klappt? Oder nur bei DS Lite?
Ich hatte das bisher so, wurde mir aber heute Nachmittag, auch nach dem Lesen der AVM-Hilfe, unsicher und habe die wieder rausgenommen. Und es hat weiterhin geklappt :unsure:
Wieder so eine Baustelle, mit der ich mich mal näher beschäftigen muss :ROFLMAO:
 
Fusion schrieb:
Der rebind Schutz spielt nur eine Rolle wenn die Domain auf die öffentliche IP des Routers auflöst.
Wenn die Pakete also im Router den LAN>WAN>LAN Weg (NAT Loopback) nehmen.

Bei korrekter lokaler Namensauflösung kommen die Pakete eventuell gar nicht am Router vorbei oder nur auf der LAN Switch Seite.
Zum Vergrößern anklicken....

Für mich hört sich das nach einem Bug in der Fritzbox an.

So wie ich es verstehe, sollte der DNS Rebind Schutz doch eigentlich nur für interne Adressen (192.168.1/24 bei mir) aktiv werden und nicht für das externe Interface.

Danke mal, ich werde dazu ein Ticket bei AVM aufmachen. Das Problem lässt sich bei mir jederzeit reproduzieren.
 
@Benares, hat nichts mit DS Lite zu tun.
Spätestens nach einem Neustart der Fritzbox dürfte das nicht mehr funktionieren.

@schoger Nein, das ist kein Bug. Und ja, die Anfrage vom innen soll ja letztendlich auch wieder auf einer LAN IP landen. Die DNS Anfrage zur Domain liefert der Fritzbox trotzdem zuerst ihr eigene öffentliche IP.
Wenn die Fritzbox einen externen DNS anfragt und für eine öffentliche Domain eine private IP erhalten würde wäre was ganz anderes kaputt, nämlich der externe DNS Server.
 
  • Like
Reaktionen: blurrrr
Hier ist ganz gut erklärt wieso sowas schief gehen kann. Die ultimativ einfache bebilderte Erklärung ist mir leider noch nicht untergekommen.

https://wiki.mikrotik.com/wiki/Hairpin_NAT

Bei der Fritzbox hat das aber glaube gar nichts damit zu tun, sondern einfach, dass diese Hostnamen blockiert, wenn diese von intern angefragt werden und wieder auf sie selbst oder Geräte im LAN abzielen.
Also noch bevor die Anfrage überhaupt in die Hairpin NAT Bredouille laufen kann.
Das dann halt unter dem Begriff DNS Rebind Schutz subsummiert.
 
Zuletzt bearbeitet:
Fusion schrieb:
Entweder hosts Datei auf dem Client anpassen oder einen lokalen DNS Server aufsetzen. Oder pihole etc.
Dann wird das nslookup direkt auf die IP des nas aufgelöst und nicht auf eine semi-öffentliche IP.
Zum Vergrößern anklicken....
Alternativ s.o. Zitat @Fusion, dann gehen die Pakete erst garnicht bis zum Router. Wie man es schlussendlich macht, ist eigentlich egal, ich persönlich finde es sauberer, wenn die Pakete erst garnicht dorthin gehen, wo sie nichts verloren haben. Vereinfacht ausgedrückt:

Lieber "Büro -> Wohnzimmer", anstatt "Büro -> Haustür -> Wohnzimmer" ??
 
  • Like
Reaktionen: Fusion
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten