Kein Zugriff aus internem Netz auf NC / DNS-Rebind-Schutz in der AVM Fritz!Box?

🌐 Non-english support đŸ‡©đŸ‡Ș Deutsch (german)
, , ,
21

Es ist doch file2ban! Deaktiviere ich den Dienst, lĂ€uft alles ausgezeichnet. Aktiviere ich file2ban wieder, ist die Verbindung weg. Ich erhalte aber keine Nachricht ĂŒber eine geblockte IP.

Meine individuellen Werte zu file2ban habe ich auf Grundeinstellung zurĂŒck gesetzt. Damit ist die NC auch bei aktiviertem Dienst erreichbar. Ich lasse es erstmal so laufen und warte


Findet Ihr einen Zusammenhang?

Thomas

22

Irgend ein GerÀt in deinem internen Netz triggert Fail2ban. Hast du irgendwo noch einen Client am laufen, der sich mit einem veralteten Passwort anzumelden versucht?

Warum du keine Nachricht erhĂ€lst, weiss ich nicht. Emailbenachrichtigungen mĂŒssen fĂŒr Fail2ban sperat konfiguriert werden. In wie weit man das im Admin Interface von NextcloudPi machen kann, weiss ich leider nicht.

Du kannst aber den fail2ban-client auf der Kommandozeile nutzen, um zu sehen ob eine IP geblockt wurde:

Alle Jails auflisten:

fail2ban-client status

Geblockte Adressen eines bestimmten Jails anzeigen:

fail2ban-client status NAME_DES_JAILS

Geblockte IP-Adresse wieder freigeben:

fail2ban-client set NAME_DES_JAILS unbanip IP_ADRESSE
23

Die E-Mails erhalte ich nur von externen geblockten IPs. Intern sollte kein Client laufen mit einem alten Passwort, ich schaue mir aber alles nochmal an. Das Kommando file2ban wird an meiner Konsole nicht gefunden.

Thomas

24

Habe noch einen Typo im ersten Kommando korrigiert. Richtig ist:

fail2ban-client status
25

Die Ausgabe fail2ban-client status erzeugt:

Status
|- Number of jail:      3
`- Jail list:   nextcloud, ssh, ufwban

Aktiviert habe ich noch die App Geoblocker, da wir aus nur 4 LĂ€ndern auf die NC zugreifen. Diese lĂ€uft bisher ohne AuffĂ€lligkeiten und reduzierte unerwĂŒnschte Anmeldeversuche um ca. 95%.

ufw status gibt folgendes aus:

Status: active

To                         Action      From
--                         ------      ----
Anywhere                   DENY        84.3.0.0/16
Anywhere                   DENY        182.113.0.0/16
80/tcp                     ALLOW       Anywhere
443/tcp                    ALLOW       Anywhere
4443/tcp                   ALLOW       Anywhere
DNS                        ALLOW       Anywhere
Samba                      ALLOW       Anywhere
Anywhere                   ALLOW       XXX,XXX.0.0"/16/udp
22                         ALLOW       Anywhere
80/tcp (v6)                ALLOW       Anywhere (v6)
443/tcp (v6)               ALLOW       Anywhere (v6)
4443/tcp (v6)              ALLOW       Anywhere (v6)
DNS (v6)                   ALLOW       Anywhere (v6)
Samba (v6)                 ALLOW       Anywhere (v6)
22 (v6)                    ALLOW       Anywhere (v6)

XXX.XXX.0.0 ist das interne Netz. Alles wurde vor ĂŒber einem Jahr eingerichtet, Geoblocker vor ca. 6 Monaten. Die Probleme traten aber erst spĂ€ter auf.

Thomas

26

Ok. An der UFW-Konfiguration liegt es nicht und von ausserhalb deines lokalen Netzes hast du ja auch keine Probleme, wenn ich es richtig verstanden habe.

Wenn es das nÀchste mal passiert, schau mit dem Befehl: fail2ban-client status nextcloud ob eine IP Adresse gblockt wurde. Falls eine gelistet wird, kannst du sie mit fail2ban-client set nextcloud unbanip IP-ADRESSE wieder freigeben. Wenn es dann unmittelbar danach wieder funktioniert, hat sich irgend ein GerÀt aus dem lokalen Netz versucht anzumelden und wurde geblockt.

Anhand der IP, mĂŒsstest du dann auch sehen ob es sich um eine lokale oder um eine externe IP handelt. Allerdings wirst du wegen NAT-Loopback, bei Versuchen aus dem lokalen Netz, nur die IP des Gateways sehen und nicht die IP des GerĂ€tes, von dem der LogIn-Versuch ausging. Das ist ĂŒbrigens auch der Grund warum sich dann kein lokales GerĂ€t mehr verbinden kann, denn fĂŒr den Server kommen alle lokalen GerĂ€te mit der selben IP daher.

27

Danke @bb77 fĂŒr Deine UnterstĂŒtzung. Ich habe die Bantime von 600s höher gesetzt, um genĂŒgend Zeit zu haben. Bisher lĂ€uft wieder mal alles und die die Ausgabe von fail2ban-client status nextcloud sagt auch alles ok:

Status for the jail: nextcloud
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /media/DataUSB/ncdata/nextcloud.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

Ich melde mich, sobald sich was zeigt. Dir einen schönen Tag.

1 Like
28

Guten Morgen @bb77,

ich möchte Dir nur ein kurzes Feedback zum aktuellen Erkenntnisstand geben. Gestern konnte ich durch deaktivieren/aktivieren von file2ban den Zugriff aus dem lokalen Lan auf die NC aktivieren und deaktivieren. Die Bantime hatte ich sehr hoch. In Versuchen mit 24 und 10 Stunden ging nichts. Jetzt habe ich die Vorgaben ĂŒberall wieder hergestellt und das System lĂ€uft bisher.

Thomas

29

Ich nutze Fail2Ban nicht. Nextcloud verzögert den Zugriff bei zu vielen Versuchen von selbst. Zudem hat meinen Webserver noch niemand ĂŒber HTTP/S-Requests angegriffen.

Aber wenn man Fail2Ban nutzt, kann man bestimmt Ausnahmen fĂŒr das lokale Netzwerk einrichten.

1 Like
30

Yup kann man. Entweder einzelne IPs oder ganze IP Ranges.

FĂŒgt man z.B. in der Datei /etc/fail2ban/jail.conf folgende Zeile hinzu


ignoreip = 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16


ignoriert Fail2ban den gesammte RFC1918 Address-Space. Möchte man das nur fĂŒr ein bestimmtes Jail, kann man es auch in der entsprechenden Config unter /etc/fail2ban/jail.d hinzufĂŒgen. Oder wie gesagt, man kann auch nur einzelne Subnets daraus z.B 192.168.10.0/24 oder einzelne IP Adressen eintragen.

ErgÀnzung:
Nutzt man wie @dtb NAT-Loopback, wird die Nextcloud aber sowieso nur die IP Adresse des Gateways loggen, zumindest bei internen Zugriffen. Dann genĂŒgt es, wenn man diese auf die Ignore-List setzt. Zuvor sollte man aber testen, ob die externen Zugriffe wirklich korrekt geloggt werden. Falls nĂ€mlich auch bei externen Zugriffen nur die Gateway-IP im Log erscheinen sollte, sprich der Router aus irgendeinem Grund die IP des externen Clients nicht an den Server weiterreicht, deaktiviert man Fail2ban faktisch, wenn man die Gateway Adresse auf die Ignore-List setzt.

31

Anfang nĂ€chster Woche bin ich fĂŒr 2-3 Wochen unterwegs. In dieser Zeit werde ich wahrscheinlich kaum im Forum aktiv werden können. Vorteilhaft wĂ€re eine App fĂŒr Android, gibt es sowas?

Ansonsten melde ich mich nach meiner RĂŒckkehr.

Bisher lÀuft die Cloud stabil, nachdem ich bei file2ban die Grundwerte wieder verwende. In meiner Abwesenheit werde ich einen Ausfall kaum bemerken.

Bis bald.

Thomas

32

Meinst du fĂŒr das Forum? DafĂŒr gibt es keine App. Discourse funktioniert aber imho recht gut in den mobilen Browsern. Die meisten Apps fĂŒr Discourse basierte Foren, machen ja schlussendlich auch nicht viel mehr, als die mobile Webansicht des jeweiligen Forums anzuzeigen.

33

Da ich das Problem gerade auch hatte und bei mir lösen konnte, eine kurze Antwort auf diesen alten Post.
Bei mir war das Problem das DynDNS von MyFritz.
Vor einiger Zeit habe ich auf MyFritz als DynDNS gewechselt, dann ist mir das selbe Verhalten an unseren iPhones aufgefallen.

MyFritz nimmt auch AAAA DNS EintrĂ€ge fĂŒr IPv6 vor, die meisten anderen DynDNS Dienste nicht. Habe dann von MyFritz wieder auf den Dyndns von afraid.org (jeder andere geht auch) zurĂŒckgewechselt und das Problem war weg (kein AAAA Eintrag).