Alias /nextcloud "/var/www/nextcloud/"
<Directory /var/www/nextcloud/>
Options +FollowSymlinks
AllowOverride All
Require all granted
<IfModule mod_dav.c>
Dav off
</IfModule>
SetEnv HOME /var/www/nextcloud
SetEnv HTTP_HOME /var/www/nextcloud
</Directory>
Wie lautet dann die Eingabe im Browser um die Seite aufzrufen?
Sind eventuelle Anpassungen am Router / DNS notwendig?
Eigentlich sollte ich als Systemadmin darüber bescheid wissen…
Ich blicke es aktuell irgendwie nicht…und umgang mit Netzwerken hatte ich nur im ersten Lehrjahr der Ausbildung…
Wenn du tatsächlich eine feste IP hast, die sich nie ändert, musst du eigentlich nur noch deinen Router (Fritzbox?) konfigurieren, so dass er die Ports 80 und 443 durchlässt und an deine Nextcloud-Box weiterleitet.
Der Vollständigkeit halber kommt hier noch, was du bei einer nicht festen IP-Adresse tun musst:
Wenn du einen lokalen Rechner aus dem Internet erreichen willst, brauchst du DynDNS. Dafür gibt es viele, auch kostenlose Anbieter. Ich habe gute Erfahrungen mit SecurePoint: https://www.spdyn.de/
Was ein DynDNS Service leistet: die öffentliche IP deines Routers (Fritzbox?) ändert sich bei jedem Anmelden. Über DynDNS erhältst du eine Domain, die immer die IP deines Routers abbildet. Dann musst du noch deinen Router konfigurieren, so dass er die Ports 80 und 443 durchlässt und an deine Box weiterleitet.
Natürlich sollte deine feste IP-Adresse noch über irgendeinen Namen verfügen. Zudem solltest du dann ein Lets Encrypt - Zertifikat erstellen. Am besten kannst du dafür “certbot” verwenden.
Zunächst einmal vielen Dank für die schnelle Antwort.
Ja, ich habe wirklich eine Feste IP, welche sich nie ändert (Behördenbereich).
Wahrscheinlich liegt es bei mir an der Konfiguration des Routers, bei einer Tracert-Anfrage ist die letzte Anfrage in einem für mich zum aktuellen Zeitpunkt noch nicht ersichtilchen, anderen Netz gelandet.
Die Config im sollte so allerdings funktionieren? oder?
Flexibilität. IP Adressen können sich ändern wenn Netze umstrukturiert werden. Wenn die Installation größer wird, möchte man vielleicht mehrere Server nutzen. Neben ipv4 gibt es noch ipv6, wenn man Direktverbindung ermöglichen möchte (Chat, Talk), ist das mit ipv6 evtl. einfacher weil jeder einfach eine öffentliche Adresse hat.
SSL Zertifkate ist ein anderer guter Grund.
ServerName ist nur ein Hostname oder IP. Es hat keine Unterverzeichnisse. Aber erst einmal muss der Traffic vom Router auf deinen Server weitergeleitet werden (ping).
Privat geht das. Aber selbst wenn du Fotos mit jemandem teilen willst, ist das blöd. Und im Behördenbereich mit selbst-signiertem Zeug ist auch blöd (evtl. haben die eigene Zertifikatsstellen).
definiere “blöd”. einmal im browser eine ausnahme annehmen, ist imho nur lästig.
machst nicht besser, weil das immer noch “selbst signierte” sind. du musst dann immer noch auf deinem client ein ca cert importieren, um keine warnung mehr zu bekommen.
p.s. wir schweifen ab.
p.p.s.: port 80 ohne ssl über’s internet ist “worst case” und geht gar nicht.
Wenn ihr eine eigene Zertifizierungsstelle habt solltest du diese IT-Profis fragen, damit sie deine Nextcloud sicher hochziehen und du solltest uns nicht dauernd widersprechen.
Dein tolles teurers Zertifikat bringt im übrigen keinerlei Vorteil.
Ich wiederspreche nicht, sondern hier findet ein Austausch statt.
Werde ich diese im Bezug auf “Sicher hochziehen” auch fragen.
Das tolle teuere Zertifikat bringt im allgemeinen bei speziellen behördlichen Fachverfahren definitiv Vorteile. Wieso sollte ich diese Zertifikatsstelle nicht nutzen, wenn wir diese doch haben.
Natürlich kannst du die Zertifizierungsstelle nutzen. Aber für die Sicherheit ist TLS/SSL heutzutage eigentlich nur ein Minimum. Verwendest du z. B. IP-Adressen und keine Namen, so besteht eine viel größere Gefahr, dass jemand deine Nextcloud nachbaut, deine Benutzer über irgendwelche Links umleitet und darüber dann Passwörter abgreift. Auch sollte das Zertifikat zum Namen und nicht zur IP-Adresse passen. Zertifikatsfehler im Browser kann man natürlich einfach ignorieren. Man kann auch gleich den Fingerprint vergleichen und auf die gesamte CA verzichten. Nur du solltest immer damit rechnen, dass die Anwender wenig Ahnung von IT haben. Und daher solltest du deine Anwender vor diesen Zertifikatsfehlern immer warnen. Denn am Ende sind diese Zertifikatsfehler unnötig und zeigen nur auf wie wenig Ahnung die Administratoren von IT haben.
Falls deine weltweite feste IP-Adresse keinen Namen hat kannst du über einen CNAME-Eintrag diese für deine Domain bei deinem Provider ganz einfach festlegen oder festlegen lassen. Verwende bitte nicht evtl. existierende Namen wie mail-gw . meine-firma . de , sondern einen neuen Namen wie z. B. cloud . meine-firma . de . Einfach einen CNAME hinzufügen. Kostet meist nichts extra.
Für einen selbst ist das lästig. Wenn ich jedem erklären muss, dass die Ausnahmen im Prinzip nicht schlimm sind und ansonsten niemand einfach den Link nutzen kann, den ich verschicke, dann ist das blöd. Gerade dank letsencrypt ist es heutzutage kein Problem ein ordentliches Zertifikat zu nutzen.
Nach dem Weiterleiten der Ports und dem Beheben eines anderweitigen Problems mit unserem Routing hat der Zugriff ohne Probleme funktioniert! Vielen Dank!
Natürlich ist die Ausnahme schlimm. Am Ende sollte der Anwender schon den Fingerprint überprüfen oder unterliegt sonst der Gefahr, dass mit einen falschen Server kommuniziert wird.
