Hallo,
ich hatte 3 Monate eine NC laufen und war damit zufrieden. Nun habe ich diese auf einen Raspberry Pi 4b neu aufgesetzt und hangle mich von Problem zu Problem.
Ich habe den Effekt, dass ich plötzlich keinen Zugriff mehr auf meine NC habe, die Anmeldung wird auch für 30s geblockt. In diesen Zeiten geht der URL Zugang über die registrierte Domain und die Apps auf dem Smatphone nicht, über die interne IP ist aber alles erreichbar. Die Ursache deutet auf fail2ban hin. Ich habe alles Apps der Clients neu aufgesetzt, ohne Erfolg. Kann man eine IP Range (Intranet) auf eine Whitelist setzen, mehr fällt mir dazu nicht ein. Habt Ihr noch andere Ansatzpunkte? In welchem Log findet man dazu überhaut was?
Für mich klingt das als würde deine externe IP geblockt. Eventuell hast du auf einem deiner Geräte eine App installiert, in der ein falsches Passwort gespeichert ist.
die Anmeldung wird auch für 30s geblockt.
Das wird durch den integrierte App "Brute-force settings " verursacht. Wenn Fail2ban blocken würde, hättest du gar keine Verbindung mehr zum Server und würdest diese Meldung nicht sehen. Im Log der Nextcloud (Einstellungen → Protokollierung) solltest du “Failed Login” Einträge finden. Dort wird dir der User und die IP-Adresse der Login-Versuche angezeigt. Whitelisten kannst du einzelne IPs oder ganze Subnetze unter Einstellungen → Verwaltung → Sicherheit → Brute-Force IP-Whitelist. Ich würde eher der Ursache für die Sperrungen auf den Grund gehen wollen, anstatt einfach die IPs whitelisten.
danke für Deine Antwort. Es existieren beide Effekte: Server nicht erreichbar (URL mit Domain) und die 30s. Ich habe jetzt nochmal alle Apps auf meinem Smartphone gelöscht und neu aufgesetzt. Daran kann es jetzt nicht mehr liegen. Allerdings existiert noch ein Handy mit der App Talk (das Handy kommt heute am Abend zu mir) und einen Win PC zur Synchronisierung eines Profils/Ordners. Der PC steht aber 2000km entfernt…Zugriff habe ich da erst wieder im Jan21. Die Installation auf den beiden Geräten erfolgte unter einer Vorinstallation von NC, wobei ich aber peinlichst auf die gleichen Accounts geachtet habe.
Im Protokoll finde ich keinen Eintrag über die letzten Tage zu geblockten IPs oder dergleichen. Gibt es noch ein Log unter Debian? Während der Recherche viel mir die UTC Zeit auf. Die Zeitzone stand noch auf London. Habe diese jetzt auf Berlin/Europe eingerichtet und den ntp installiert.
Ich habe jetzt nochmal alle Apps auf meinem Smartphone gelöscht und neu aufgesetzt.
Ziemlich sicher ist das Problem jetzt schon gelöst. Wenn es einer der anderen externen PCs/Geräte
gewesen wäre, wärst du im internen Netz nicht geblockt worden, weil diese ja mit einer anderen IP daher kommen als du.
Das Blocken basiert immer auf der Source IP des Gerätes, welches die Verbindung aufbaut. Darum funktionierte der Zugriff via IP Adresse nachwievor. Wenn du die Nextcloud im internen Netzwerk direkt via IP-Adresse kontaktierst, sieht sie die IP des jeweiligen Gerätes. Nutzt du hingegen den Domainnamen in Verbindung mit einer externer DNS Auflösung, machst du einen Umweg über das NAT im Router (NAT-Loopback) und die Source-IP wird auf die des Routers umgeschrieben. Die Nextcloud sieht dann nur noch die IP-Adresse deines Routers und nicht mehr diejenige des Gerätes, welches die Verbindung ursprünglich iniziert hat. Darum werden dann auch gleich alle Geräte im lokalen Netzwerk geblockt, die sich via Domainnamen verbinden wollen.
In welchem Log findet man dazu überhaut was?
Das Log befindet sich bei Debian standardmässig unter /var/log/fail2ban.log.
In den letzten Stunden habe ich einiges unternommen. Zwei Handys mit Talk und DAVx5 hatten zur Authentifizierung nicht die URL mit dem Domainnamen sondern die externe IP Adresse, ein Handy war im Intranet. Alle Konten bei den Handys wurden neu erstellt, seither habe ich keine Zugriffsprobleme mehr. Toi-toi…
Parallel wurden noch folgende Änderungen vorgenommen:
Änderung der Zeitzone auf Berlin/Europe
Installation und Einrichtung des NTP zur Zeitsynchronisation
Aktualisierung der NC über Einstellungen/Übersicht auf 20.0.4
DB aktualisiert nach Einstellung/Sicherheits- & Einrichtungswarnung
Updates (nc-update-nc-apps, nc-update-nextcloud, update) über Web Interface
Mehr kann ich diesbezüglich nicht aktualisieren. In den Produktivbetrieb möchte ich die NC aber noch nicht übernehmen. Einige Punkte/Effekte würde ich gern vorher noch klären.
Darf ich Dich dazu befragen?
Ich habe am Raspberry die Daten und Datenbank auf einer externen SSD ausgelagert. Das geht wirklich sehr gut. Nun möchte ich bei einer Datensicherung eine zweite SSD anschließen, die Datensicherung darauf speichern und diese dann im Safe verschließen. Mein Problem dabei ist, dass ich sobald die zweite SSD im laufenden Betrieb anschließe, er die erste SSD unmountet, die zweite SSD nicht einbindet und somit nicht mehr lauffähig ist. Die Abhilfe ist, die zweite SSD nur an- bzw. abzustecken, wenn das System down / ausgeschaltet ist. Dann ist alles ok und die DS funktioniert einwandfrei. Hast Du eine Idee was man da noch machen könnte ohne die NC herunterzufahren?
Alle meine Linux System aktualisiere ich über: “apt-get update -y && apt-get upgrade -y”. Bei NC wird aber zum Thema update “nur” verwiesen auf die 3 Updatefunktionen im Webinterface oder über ncp-config. Reichen die 3 Punkte plus die Aktualisierung über Einstellung/Übersicht aus?
Wenn ich in das Webinterface zur Konfiguration mittels ncp möchte, geschieht das über den Port 4443. Gebe ich diesen im Router zusätzlich frei, geht dies trotzdem nicht von extern. Intern auch nur über die interne IP. Ist das normal bzw. gewünscht? Abhilfe ist über ein VPN sich von extern anzumelden und wieder über die interne IP zu arbeiten. Dramatisch ist dies nicht. Könnte man dies trotzdem ändern und den Zugriff über die Domain einrichten?
Ein letzter Punkt, welcher für die Anwender der NC von Bedeutung ist. Ich habe eine Adressliste mit über 300 Kontakten. Teilweise wird diese über DAVx5 mit den Handys synchronisiert, was nach anfänglichen Problemen nun funktioniert. Sucht man einen Kontakt, ist dieser durch die Suchfunktion auf dem Handy auch schnell gefunden und angezeigt. Die Nutzer, welche über PC bzw. den Browser arbeiten, können auch über die Suchfunktion oben rechts den gewünschten Kontakt eingeben. Das Ergebnis wird in einer Liste darunter auch angezeigt. Wählt man nun aus der Liste einen Kontakt zur vollständigen Anzeige aus, reagiert das System kurz und es wird nur die Menüzeile ohne den Kontakt angezeigt, also eine fast leere Seite. Woran kann dies liegen bzw. was kann ich zur Abhilfe machen?
Jetzt fällt mir noch ein allerletzter Punkt ein, der aber schon mal im Forum angesprochen wurde. Die kompletten Kontakte kann ich anderen Nutzern per Freigabe zugänglich machen, geht auch gut. Jetzt war mein Ansinnen, aus einer Adressliste zusätzliche Gruppen zu bilden und diese Gruppen per Freigabe zu verteilen. Das geht aber nicht. Ist dies wirklich nicht möglich?
Das waren nun mein aktueller Stand und die noch offenen Punkte. Ich würde mich sehr freuen neue Ideen zur Lösung zu erhalten.
Sorry, ich wollte direkt einen User ansprechen, da ich mit Dank seiner Hilfe lösende Antworten erhalten habe. Um jetzt nicht 5 einzelne Threads zu öffnen, sendete ich eine Nachricht an den kompetenten User.
Ohne jetzt alles gelesen zu haben. Es gibt verschiedene Gründe, weshalb die IP auf der BL in Fail2Ban landet.
In meinem Fall war es eine Mischung aus seltsamen Zugriffen des NC-Clients und einem Bug [AH01797] in Plesk:
Ich hatte das damals mit einer Ausnahmeregel gelöst. Natürlich nicht schön, aber besser als alle paar Tage seine sich ständig ändernde IP auf Whitelist zu setzen.
meine NC läuft auf einem lokalen Raspberry 4b und ist über eine feste IP mit Domainnamen von extern erreichbar. Das geschilderte Problem trat bisher nicht wieder auf, es lag wahrscheinlich an einem oder zwei Clients, welche die NC über die externe IP und nicht über den URL-Namen angesprochen haben.
Vor einigen Tagen dann der Schock, alle NC User konnten problemlos arbeiten nur der ncp bekam über den Browser keinen Zugang, SSH ging aber. Ich studierte die Log-Files auch fail2ban und fand aber nichts. Das System hängt über einen Switch an einer Fritz!Box. Diese habe ich neu gestartet und alles war wieder ok. Also am NC-System wurden keine Veränderungen oder Neustarts vorgenommen. Die Ursache war wohl nur die Fritz!Box.
Was ist denn Deine Meinung zu “apt-get update -y && apt-get upgrade -y”?
Danke für Deine Hinweise, man weis ja nie was noch so passiert…
Eine FB als Störenfried? Für mich schwer vorstellbar.
Fail2Ban sperrt die IP ja auch nicht pauschal, sondern nur für bestimmte Bereiche. Je nachdem wie deine Filter und Jails konfiguriert sind.
Was soll ich sagen? System auf aktuellen Stand halten ist immer gut.
Persönlich lasse ich den “y”-Schalter immer weg. Ich will selbst sehen und bestätigen, was da auf meiner Maschine passiert
apt-get update && apt-get dist-upgrade && apt-get autoremove && apt-get autoclean
wäre aber sicher noch sinnvoller. “autoremove” deinstalliert nicht mehr benötigte Pakete und “autoclean” entfernt die ganzen Installationsreste, Cache, etc.
apt-get update && apt-get dist-upgrade && apt-get autoremove && apt-get autoclean
wäre aber sicher noch sinnvoller. “autoremove” deinstalliert nicht mehr benötigte Pakete und “autoclean” entfernt die ganzen Installationsreste, Cache, etc.
Würde ich hier nicht empfehlen. @dtb verwendet NextcloudPI. Im darunterliegenden Raspian sind defaultmässig “unattended upgrades” aktiviert. Wenn dann würde ich höchstens apt update && apt upgrade machen.
