Kein Zugriff aus internem Netz auf NC / DNS-Rebind-Schutz in der AVM Fritz!Box?

🌐 International support đŸ‡©đŸ‡Ș Deutsch (german)
, , , , ,
8

Hallo @dtb

Ich kann hier nur etwas allgemeiner gefasste Antwort geben, da ich NextcloudPi und auch die Fritzbox nicht im Detail kenne. Ich glaube aber nicht, dass die Probleme mit den “trusted domains” EintrĂ€gen zu tun haben und wenn nur indirekt.

Das ist subotimal. Trage am besten ĂŒberall nur den externen Domainnamen ein. Alles andere sind Workarounds, die nicht das eigentliche Problem lösen. Das Ziel hier sollte sein, dass du mit allen GerĂ€ten, sowohl aus dem lokalen Netz, wie auch aus dem Internet ausschliesslich via Domainnamen, sprich “EXTERNE_URL” auf deine Nextcloud zugreifen kannst.

Vergiss mal efĂŒr einen Moment die Trusted Proxies. Dort muss genau ein Eintrag drinn sein, und zwar deine “externe” URL. Wenn DNS intern und extern funzt, bzw. NAT Loopback richtig funktioniert, braucht es die anderen EintrĂ€ge nicht, sie stören aber auch erstmal nicht weiter.

Folgende Punkte mĂŒssen erfĂŒllt sein, dass es so wie oben gesagt funktioniert.

  • Port 80 und 443 mĂŒssen in der Fritzbox via Portforwarding an den Nextcloud Server weitergeleitet werden. Deaktiviere am besten alle “MyFritz”-Shenanigans, die irgendwie das WebUI der FritzBox von aussen erreichbar machen oder dich sonst mit irgendwelcher “Magie” unterstĂŒtzen wollen. Das tun sie nĂ€mlich in diesem Fall nicht. Im Gegenteil, sie bieten Konfliktpotential mit dem Portforwarding, wenn sie auch Port 80 und/oder 443 nutzen wollen.

  • Damit NAT-Loopback funktioniert, muss muss eine Ausnahme im DNS-Rebind Schutz der Fritzbox definiert werde, so dass bei DNS Anfragen fĂŒr “cloud.deinedomain.de”, welche dem Client ja deine externe IP Adresse zurĂŒckgibt, der Traffic in der Fritzbox wieder zurĂŒck in dein LAN, zum Raspi geroutet wird. DNS-Auflösung privater IP-Adressen nicht möglich | FRITZ!Box 7362 SL | AVM Deutschland. Auch hier nochmal: Irgendwelche Automagie der Fritzbox könnte hier stören.

Eine weitere, zwar aufwĂ€ndigere, aber imho auch sauberere und in der Regel auch performantere Lösung, wĂ€re einen seperaten internen DNS Server zu verwenden, auf welchem du dann einen lokalen “host override” fĂŒr “cloud.deinedomain.de” setzt. Dann wird bei DNS Anfragen im internen Netz die lokale IP Adresse deine Pis zurĂŒcggeben, anstatt die externe IP Adresse.