Nextcloud ├╝ber Internet erreichbar machen

Hallo,

Habe auf einer virtuellen debian Maschine, nextcloud mit apache2, mariadb und php installiert und es funktioniert intern soweit. Jetzt macht es nur Sinn, wenn es auch von au├čerhalb erreichbar , z.b. ├╝ber nextcloud.meinedom├Ąne.de ist. Wir haben ein Windows Netzwerk und unsere Dom├Ąne bei 1&1 registriert inkl. einer festen IP. Ich hab jetzt keine Ahnung wo ich jetzt was konfigurieren muss, damit ich dann von extern auf den Nextcloud Server komme. W├╝rde mich ├╝ber eure Unterst├╝tzung freuen.

Danke Basti

Hallo Basti,
Was meinst du damit?

  • hast du einen DNS Namen, der auf diese IP Adresse zeigt? Also kannst du zum Beispiel unter Windows mit nslookup dein.domain.de diese externe Adresse aufl├Âsen?
  • kannst du eventuell sogar zus├Ątzliche DNS Eintr├Ąge anlegen?
  • wenn du einen 1und1 Anschluss hast, setzt du vermutlich eine Fritz!Box ein? Wenn ja, welche?

ÔÇŽ und neben den Fragen schon gleich einmal ein Hinweis: Leg dir doch bei AVM einen MyFRITZ! Eintrag an, den du mit deiner Box verbindest. Das macht die folgenden Schritte sehr viel einfacher.

Klaus

fangen wir mal mit der portweiterleitung auf deinem router an.
du musst dort port 80 und 443 von deiner externen ip in deinem router auf deinen nextcloud server weiterleiten. wie das geht, steht in der anleitung deines routers.

und dann gehtÔÇÖs mit der installation von letsencrypt zertifikaten auf dem nextcloud server weiter. daf├╝r nimmt man entweder certbot oder acme.sh. google findet das.

finally musst du noch in der config.php nextcloud.meinedom├Ąne.de als trusted domain eintragen. wie das geht findet die such funktion des forum oder in der admin anleitung von nextcloud.

Vollkommen richtig! Aber da Basti offensichtlich darin noch wenig Erfahrung hat, schlage die MyFRITZ! Freigabe vor, die neben der Portweiterleitung (├╝brigens auch f├╝r IPV6) gleich noch einen dynamischen DNS Eintrag erzeugt.

Klaus

Also keine Fritzbox - Firmendom├Ąne mit Sophos Firewall.

O.k. Die Beschreibung, wie man die Sophos (z. B. UTM9) mit dem Portforwarding richtig einrichtet, sprengt sicher diesen Rahmen. Ich versuche aber, einen dazu passenden Link zu finden. Dazu aber noch eine Konkretisierung:

  • welche Sophos Firewall/Router?
  • welche Optionen sind lizensiert?
    Und nochmals: Zugriff auf die DNS Eintr├Ąge?

Hallo KLaus,

ja Zugriff auf DNS habe ich. Die Sophos ist eine SG-230.

Vielen,vielen Dank

Fehlt immer noch eine Antwort zum Thema Lizenz

So jetzt mit Bezug auf den Beitrag von @Reiner_Nippes und deine Info noch einmal den Ablauf in K├╝rze (allerdings nur f├╝r IPV4)

Vorab solltest du dir das Sophos UTM Administratorhandbuch herunterladen.

  1. Du solltest deiner Nextcloud Instanz eine feste Adresse im internen Netz zuweisen: Sophos UTM9/Network Services/DHCP/Static Mappings
  2. Portforwarding f├╝r die Ports 80 und 443 einrichten. Also daf├╝r sorgen, dass jeder http/https Aufruf von au├čen deine Nextcloud Instanz erreicht: UTM9/Network Protection/NAT/NAT/New NAT Rule/Rule Typ DNAT --> Rest im Admin Guide nachschlagen.
  3. Unter Network Protection / Firewall sowohl Regeln sowohl f├╝r eingehenden, als auch f├╝r ausgehenden Verkehr (z.b. Web Surfing) erstellen, die den Verkehr zulassen.

Wenn du vielleicht sp├Ąter auch andere Dienste von au├čen erreichbar machen willst, so rate ich dringend von vornherein gleich einen traefik reverse Proxy vor die Nextcloud Instanz zu schalten. Ich w├╝rde das sogar dann bevorzugen, wenn bisher kein weiterer Dienst geplant ist.
Sinnvollerweise installiert man traefik auf einer separaten kleinen virtuellen Maschine (z.B. Debian) und startet nicht gleich mit Docker oder anderen Containerl├Âsungen (KISS, Keep It Small and Simple :wink:), sondern mit dem ÔÇťFileÔÇŁ Backend
Die Vorteile bei der L├Âsung mit traefik (auf den dann nat├╝rlich auch die Portweiterleitung zeigen muss) sind:

  1. Der Vergabe von Zertifikaten per LetÔÇÖs Encrypt ist integriert. F├╝r jede Subdomain wird also automatisch ein Zertifikat erzeugt und aktuell gehalten.
  2. Mit nur einer kleinen zus├Ątzlichen Datei kann man einen weiteren Service aktivieren. Ohne zus├Ątzliche Einstellungen in der Firewall und das auch noch ohne Neustart im laufenden Betrieb.

Tut mir leid, aber eine Profi-Umgebung ben├Âtigt eben doch etwas mehr, als eine Home-L├Âsung.

Bin f├╝r Fragen offen.

Klaus

die sophos utm kann auch gleich als reverse proxy mit waf dienen.

das ist aber der punkt, wo man ggf. mal einen fachmann vor ort zu rate ziehen solte. :wink:

grafik

Gelegentlich sollte man sich auch die Frage stellen. Wenn ich eine Cloud (Server) betreibe der von Internet erreichbar sein soll,auch mein lokales Netzwerk sicher vor Zugriffen von au├čen gesch├╝tzt ist :wink:
Ihr glaubt doch nicht in ernst nur weil man eine Imagedatei oder ein Programm unter Linux in Packetmanager installieren kann das man dann der Super coole Admin ist ? Oder? :wink:

Vereinfacht ausgedr├╝ckt. Lasse ich Leute auf mein Grundst├╝ck weil ich ein Schild aufgestellt habe ÔÇťHeute Freibier!! (Router)ÔÇŁ mu├č ich damit Rechnen das es Menschen gibt die es nicht nur auf mein Bier abgesehen haben.
Bei der Haust├╝r sollte man darauf achten das in Haus gleich hinter der T├╝r ein Sch├Ąferhund sitzt (UFW Firewall). Und daneben die Frau mit ein Nudelholz. Um zu sehen ob die Leute die rein wollen auch Nett aussehenÔÇŽ Wenn sie das nicht machen bekommen die Hausverbot (Fail2ban).

So am Rande ÔÇŽ







Reiner_Nippes
July 11

die sophos utm kann auch gleich als reverse proxy mit waf dienen.

[Klaus Beckstette] Yes, Sir! Darum hatte ich mehrfach nach der Lizenzsituation gefragt!

das ist aber der punkt, wo man ggf. mal einen fachmann vor ort zu rate ziehen solte. :wink:

[Klaus Beckstette] Wohl wahr, wohl wahr :wink:

Klaus