Fail2ban blockt stÀndig meine NC Domain

Hallo,
ich hatte 3 Monate eine NC laufen und war damit zufrieden. Nun habe ich diese auf einen Raspberry Pi 4b neu aufgesetzt und hangle mich von Problem zu Problem.

Ich habe den Effekt, dass ich plötzlich keinen Zugriff mehr auf meine NC habe, die Anmeldung wird auch fĂŒr 30s geblockt. In diesen Zeiten geht der URL Zugang ĂŒber die registrierte Domain und die Apps auf dem Smatphone nicht, ĂŒber die interne IP ist aber alles erreichbar. Die Ursache deutet auf fail2ban hin. Ich habe alles Apps der Clients neu aufgesetzt, ohne Erfolg. Kann man eine IP Range (Intranet) auf eine Whitelist setzen, mehr fĂ€llt mir dazu nicht ein. Habt Ihr noch andere Ansatzpunkte? In welchem Log findet man dazu ĂŒberhaut was?

Thomas

FĂŒr mich klingt das als wĂŒrde deine externe IP geblockt. Eventuell hast du auf einem deiner GerĂ€te eine App installiert, in der ein falsches Passwort gespeichert ist.

die Anmeldung wird auch fĂŒr 30s geblockt.

Das wird durch den integrierte App "Brute-force settings " verursacht. Wenn Fail2ban blocken wĂŒrde, hĂ€ttest du gar keine Verbindung mehr zum Server und wĂŒrdest diese Meldung nicht sehen. Im Log der Nextcloud (Einstellungen -> Protokollierung) solltest du “Failed Login” EintrĂ€ge finden. Dort wird dir der User und die IP-Adresse der Login-Versuche angezeigt. Whitelisten kannst du einzelne IPs oder ganze Subnetze unter Einstellungen -> Verwaltung -> Sicherheit -> Brute-Force IP-Whitelist. Ich wĂŒrde eher der Ursache fĂŒr die Sperrungen auf den Grund gehen wollen, anstatt einfach die IPs whitelisten.

Hallo bb77,

danke fĂŒr Deine Antwort. Es existieren beide Effekte: Server nicht erreichbar (URL mit Domain) und die 30s. Ich habe jetzt nochmal alle Apps auf meinem Smartphone gelöscht und neu aufgesetzt. Daran kann es jetzt nicht mehr liegen. Allerdings existiert noch ein Handy mit der App Talk (das Handy kommt heute am Abend zu mir) und einen Win PC zur Synchronisierung eines Profils/Ordners. Der PC steht aber 2000km entfernt
Zugriff habe ich da erst wieder im Jan21. Die Installation auf den beiden GerĂ€ten erfolgte unter einer Vorinstallation von NC, wobei ich aber peinlichst auf die gleichen Accounts geachtet habe.

Im Protokoll finde ich keinen Eintrag ĂŒber die letzten Tage zu geblockten IPs oder dergleichen. Gibt es noch ein Log unter Debian? WĂ€hrend der Recherche viel mir die UTC Zeit auf. Die Zeitzone stand noch auf London. Habe diese jetzt auf Berlin/Europe eingerichtet und den ntp installiert.

Im Moment ist noch alles ok. Ich warte ab


Thomas

Server nicht erreichbar (URL mit Domain)

Das wÀre dann Fail2ban gewesen. :wink:

Ich habe jetzt nochmal alle Apps auf meinem Smartphone gelöscht und neu aufgesetzt.

Ziemlich sicher ist das Problem jetzt schon gelöst. Wenn es einer der anderen externen PCs/GerÀte
gewesen wÀre, wÀrst du im internen Netz nicht geblockt worden, weil diese ja mit einer anderen IP daher kommen als du.

Das Blocken basiert immer auf der Source IP des GerĂ€tes, welches die Verbindung aufbaut. Darum funktionierte der Zugriff via IP Adresse nachwievor. Wenn du die Nextcloud im internen Netzwerk direkt via IP-Adresse kontaktierst, sieht sie die IP des jeweiligen GerĂ€tes. Nutzt du hingegen den Domainnamen in Verbindung mit einer externer DNS Auflösung, machst du einen Umweg ĂŒber das NAT im Router (NAT-Loopback) und die Source-IP wird auf die des Routers umgeschrieben. Die Nextcloud sieht dann nur noch die IP-Adresse deines Routers und nicht mehr diejenige des GerĂ€tes, welches die Verbindung ursprĂŒnglich iniziert hat. Darum werden dann auch gleich alle GerĂ€te im lokalen Netzwerk geblockt, die sich via Domainnamen verbinden wollen.

In welchem Log findet man dazu ĂŒberhaut was?

Das Log befindet sich bei Debian standardmÀssig unter /var/log/fail2ban.log.

Danke bb77.

In den letzten Stunden habe ich einiges unternommen. Zwei Handys mit Talk und DAVx5 hatten zur Authentifizierung nicht die URL mit dem Domainnamen sondern die externe IP Adresse, ein Handy war im Intranet. Alle Konten bei den Handys wurden neu erstellt, seither habe ich keine Zugriffsprobleme mehr. Toi-toi


Parallel wurden noch folgende Änderungen vorgenommen:

  • Änderung der Zeitzone auf Berlin/Europe

  • Installation und Einrichtung des NTP zur Zeitsynchronisation

  • Aktualisierung der NC ĂŒber Einstellungen/Übersicht auf 20.0.4

  • DB aktualisiert nach Einstellung/Sicherheits- & Einrichtungswarnung

  • Updates (nc-update-nc-apps, nc-update-nextcloud, update) ĂŒber Web Interface

Mehr kann ich diesbezĂŒglich nicht aktualisieren. In den Produktivbetrieb möchte ich die NC aber noch nicht ĂŒbernehmen. Einige Punkte/Effekte wĂŒrde ich gern vorher noch klĂ€ren.

Darf ich Dich dazu befragen?

  1. Ich habe am Raspberry die Daten und Datenbank auf einer externen SSD ausgelagert. Das geht wirklich sehr gut. Nun möchte ich bei einer Datensicherung eine zweite SSD anschließen, die Datensicherung darauf speichern und diese dann im Safe verschließen. Mein Problem dabei ist, dass ich sobald die zweite SSD im laufenden Betrieb anschließe, er die erste SSD unmountet, die zweite SSD nicht einbindet und somit nicht mehr lauffĂ€hig ist. Die Abhilfe ist, die zweite SSD nur an- bzw. abzustecken, wenn das System down / ausgeschaltet ist. Dann ist alles ok und die DS funktioniert einwandfrei. Hast Du eine Idee was man da noch machen könnte ohne die NC herunterzufahren?

  2. Alle meine Linux System aktualisiere ich ĂŒber: “apt-get update -y && apt-get upgrade -y”. Bei NC wird aber zum Thema update “nur” verwiesen auf die 3 Updatefunktionen im Webinterface oder ĂŒber ncp-config. Reichen die 3 Punkte plus die Aktualisierung ĂŒber Einstellung/Übersicht aus?

  3. Wenn ich in das Webinterface zur Konfiguration mittels ncp möchte, geschieht das ĂŒber den Port 4443. Gebe ich diesen im Router zusĂ€tzlich frei, geht dies trotzdem nicht von extern. Intern auch nur ĂŒber die interne IP. Ist das normal bzw. gewĂŒnscht? Abhilfe ist ĂŒber ein VPN sich von extern anzumelden und wieder ĂŒber die interne IP zu arbeiten. Dramatisch ist dies nicht. Könnte man dies trotzdem Ă€ndern und den Zugriff ĂŒber die Domain einrichten?

  4. Ein letzter Punkt, welcher fĂŒr die Anwender der NC von Bedeutung ist. Ich habe eine Adressliste mit ĂŒber 300 Kontakten. Teilweise wird diese ĂŒber DAVx5 mit den Handys synchronisiert, was nach anfĂ€nglichen Problemen nun funktioniert. Sucht man einen Kontakt, ist dieser durch die Suchfunktion auf dem Handy auch schnell gefunden und angezeigt. Die Nutzer, welche ĂŒber PC bzw. den Browser arbeiten, können auch ĂŒber die Suchfunktion oben rechts den gewĂŒnschten Kontakt eingeben. Das Ergebnis wird in einer Liste darunter auch angezeigt. WĂ€hlt man nun aus der Liste einen Kontakt zur vollstĂ€ndigen Anzeige aus, reagiert das System kurz und es wird nur die MenĂŒzeile ohne den Kontakt angezeigt, also eine fast leere Seite. Woran kann dies liegen bzw. was kann ich zur Abhilfe machen?

  5. Jetzt fÀllt mir noch ein allerletzter Punkt ein, der aber schon mal im Forum angesprochen wurde. Die kompletten Kontakte kann ich anderen Nutzern per Freigabe zugÀnglich machen, geht auch gut. Jetzt war mein Ansinnen, aus einer Adressliste zusÀtzliche Gruppen zu bilden und diese Gruppen per Freigabe zu verteilen. Das geht aber nicht. Ist dies wirklich nicht möglich?

Das waren nun mein aktueller Stand und die noch offenen Punkte. Ich wĂŒrde mich sehr freuen neue Ideen zur Lösung zu erhalten.

Bis bald und immer schön gesund bleiben.

Thomas

Diese Punkte sind Off-Topic, siehe Titel Deines Topics.
Bitte extra-Themen aufmachen bzw. die Suchfunktion der Foren nutzen.
Danke.

Sorry, ich wollte direkt einen User ansprechen, da ich mit Dank seiner Hilfe lösende Antworten erhalten habe. Um jetzt nicht 5 einzelne Threads zu öffnen, sendete ich eine Nachricht an den kompetenten User.

Bis 2021,

Thomas

Du kannst auch gerne eine PN schreiben.
Zu 4 kann ich Dir sagen, dass dies ein Bug ist. Finde das GitHub-Issue bzw. die Postings hier gerade nicht.

Auch Dir einen guten Rutsch und bis bald.

Ohne jetzt alles gelesen zu haben. Es gibt verschiedene GrĂŒnde, weshalb die IP auf der BL in Fail2Ban landet.

In meinem Fall war es eine Mischung aus seltsamen Zugriffen des NC-Clients und einem Bug [AH01797] in Plesk:

Ich hatte das damals mit einer Ausnahmeregel gelöst. NatĂŒrlich nicht schön, aber besser als alle paar Tage seine sich stĂ€ndig Ă€ndernde IP auf Whitelist zu setzen.

/etc/fail2ban/filter.d/apache-auth.local
> ignoreregex = /var/www/vhosts/domain.tld/nextcloud/config$

Hallo KlausK,

meine NC lĂ€uft auf einem lokalen Raspberry 4b und ist ĂŒber eine feste IP mit Domainnamen von extern erreichbar. Das geschilderte Problem trat bisher nicht wieder auf, es lag wahrscheinlich an einem oder zwei Clients, welche die NC ĂŒber die externe IP und nicht ĂŒber den URL-Namen angesprochen haben.

Vor einigen Tagen dann der Schock, alle NC User konnten problemlos arbeiten nur der ncp bekam ĂŒber den Browser keinen Zugang, SSH ging aber. Ich studierte die Log-Files auch fail2ban und fand aber nichts. Das System hĂ€ngt ĂŒber einen Switch an einer Fritz!Box. Diese habe ich neu gestartet und alles war wieder ok. Also am NC-System wurden keine VerĂ€nderungen oder Neustarts vorgenommen. Die Ursache war wohl nur die Fritz!Box.

Was ist denn Deine Meinung zu “apt-get update -y && apt-get upgrade -y”?

Danke fĂŒr Deine Hinweise, man weis ja nie was noch so passiert


Thomas

Eine FB als Störenfried? FĂŒr mich schwer vorstellbar.

Fail2Ban sperrt die IP ja auch nicht pauschal, sondern nur fĂŒr bestimmte Bereiche. Je nachdem wie deine Filter und Jails konfiguriert sind.

Was soll ich sagen? System auf aktuellen Stand halten ist immer gut.
Persönlich lasse ich den “y”-Schalter immer weg. Ich will selbst sehen und bestĂ€tigen, was da auf meiner Maschine passiert :nerd_face:

apt-get update && apt-get dist-upgrade && apt-get autoremove && apt-get autoclean
wĂ€re aber sicher noch sinnvoller. “autoremove” deinstalliert nicht mehr benötigte Pakete und “autoclean” entfernt die ganzen Installationsreste, Cache, etc.

apt-get update && apt-get dist-upgrade && apt-get autoremove && apt-get autoclean
wĂ€re aber sicher noch sinnvoller. “autoremove” deinstalliert nicht mehr benötigte Pakete und “autoclean” entfernt die ganzen Installationsreste, Cache, etc.

WĂŒrde ich hier nicht empfehlen. @dtb verwendet NextcloudPI. Im darunterliegenden Raspian sind defaultmĂ€ssig “unattended upgrades” aktiviert. Wenn dann wĂŒrde ich höchstens apt update && apt upgrade machen.

Siehe auch hier:

https://docs.nextcloudpi.com/en/staying-up-to-date/

It is highly recommended to use these tools, other methods, including NC’s native updater, may or may not work, use at your own risk.

Nun habe ich diese auf einen Raspberry Pi 4b
Den Rest hatte ich dann wohl ĂŒbersehen. Zuviel Text fĂŒr mich :grimacing:

Joa, er schreibt es nirgens explizit. Kam in der vorhergegangen BeitrĂ€gen/Konversation auf, die dann teilw. noch via PM weitergefĂŒhrt wurde.

1 Like

Hallo


habt vielen Dank fĂŒr alle Hinweise. Ich werde mich an die Vorgaben von NextCloudPI halten.

Thomas