Nextcloud - Zugriff Ipv6

Hallo liebe Forum-User,

ich habe Probleme Nextcloud über Ipv6 erreichbar zu machen. Die Ports sind bei meiner FritzBox offen und der AAAA-Record bei meiner Domain ist auf Ipv6-Adresse meines Servers eingestellt.
Der Apache hört auch auf das IPv6-Protokoll.
Wenn ich im Browser die Ipv6-Adresse meines Servers eingebe, komme ich auf meine Nextcloud, allerdings ohne SSL-Zertifikat.
Ich habe versucht mit “nextcloud.enable-https lets-encrypt” das Zertifikat zu erneuern, allerdings ohne Erfolg.(Über die Domain per IPv4 habe ich ein SSL-Zertifikat)
Wenn ich meine Domain oder IPv6-Adresse versuche zu pingen kommt folgende Meldung: “Destination Host Unreachable”
Ich habe einen DS-Lite Tunnel bei meiner FritzBox, die Pakete werden von einem externen Server getunnelt(6tunnel), liegt vielleicht hier mein Problem?

Ich bin kein Profi was das angeht, ich hoffe aber, jemand kann mir mit meinem Problem helfen…

Liebe Grüße

Manuel

SSL-Zertifikate gibt es für Domains und eigentlich nicht für IPs (die muss man auch nicht extra für ipv6 beantragen). Also du müsstest mal schauen, ob du deine Nextcloud per Domain über ipv6 erreichst.
ipv6 pings sollte man eigentlich machen können, evtl. musst du das in der Firewall explizit erlauben…

1 Like

Nutzt du das Snap? Evtl. hilft dir ja das weiter… https://github.com/nextcloud-snap/nextcloud-snap/issues/1229

da war ich mir nicht ganz sicher, wie kann ich das denn nachprüfen ? Ich dachte wenn ich meine Domain anpinge und über Ipv6 keine Antwort bekomme, ist sie darüber nicht erreichbar…
Über die Ipv6-Adresse im Browser komme ich auf meinen Server, allerdings ohne https, ich dachte hier läge mein Fehler…
Ich habe Ping6 in der FritzBox erlaubt, allerdings kommt trotzdem keine Antwort

@Manuel1
Hast Du den Port 80 frei gegeben, den benötigst Du für Letsencrypt Zertifikate?

https://letsencrypt.org/de/docs/allow-port-80/

Bei mir konnte ich nur mit Domains ssl Zertifikate erstellen.

Oder was bedeutet “eigentlich”, gibt es Ausnahmen?

MfG
nc-kay

Selbst-signierte Zertifikate geht natürlich. Ob es andere Ausnahmen gibt, müsste ich auch nachschauen, sollte aber für Normalnutzer nicht relevant sein.

Ja. Rein theoretisch ist es möglich für eine öffentliche IP Adresse ein Zertifikat zu erhalten. Dazu musst du aber der Besitzer dieser Adresse sein. Für Privatpersonen und auch für die meisten Firmen, dürfte das aber in der Praxis nicht wirklich möglich sein, da die öffentlichen IPs normalerweise den Providern gehören. Und ich sehe ehrlich gesagt auch nicht wirklich viele sinnvolle Anwendungszwecke dafür.

https://sectigostore.com/page/ssl-certificate-for-ip-address/

Für lokale IP Adressen und TLDs, die man nicht registrieren kann, wie z.b. localhost oder server.local, gehen nur selbssignierte Zertifikate. Dort gibt es aber Möglichkeiten, wie man die Browser dazu bringen kann, diesen Zertifikaten zu trauen.

https://letsencrypt.org/de/docs/certificates-for-localhost/

Hier ist die Portfreigabe bei meiner FritzBox und meine aktiven Internet-Verbindungen bei meinem Nextcloud-Server.

Bildschirmfoto 2022-02-23 um 13.20.39

Ja ich benutze es als Snap und das witzige ist, ich bekomme keinen Error, ich weiß nur nicht wo mein Fehler liegt…
Vielleicht hilft das auch weiter: Ich habe mir eine neue FritzBox angeschafft, vorher hat alles funktioniert, also Zugriff per Ipv4 und Ipv6, ich dachte es wäre eine schnelle Sache, einfach den AAAA-Record bei meiner Domain anpassen und auf dem Server wo 6tunnel läuft die neue Adresse eingeben. Gehen tut aber bis jetzt nur der Zugriff über IPv4

Ich kenne mich leider mit weder mit IPv6 noch der Fritzbox wirklich gut aus. Deshalb hier nur noch ein paar Gedanken, die mir spontan durch den Kopf gegenagen sind…

Wenn das Problem nicht damit zusammenhängt, wie der Snap Deamon IPv6 handelt, könnte es evtl. noch daran liegen, wie die Fritzbox IPv6 handelt. Evtl. hilft hier das weiter: https://nocksoft.de/tutorials/server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen/

Oder es hat tatsächlich etwas mit DS-Lite und 6tunnel zu tun…

Ist es bei DS-Lite nicht normalerweise so, dass man nur öffentliche IPv6 Adressen hat, aber keine öffentliche IPv4?

Laut der Beschreibung brauchst man das, wenn die “Applikation” nur IPv4 kann, man aber via IPv6 darauf zugreifen will oder vice versa. Nutzt du das evtl, um damit das Problem der fehlenden öffentlichen IPv4 Adresse zu umgehen, und sprichst darüber die IPv6 Adresse deines Servers via IPv4 an? Ist es dann überhaupt noch möglich, die gleiche IPv6 Adresse direkt zu nutzen?

Genau, ich habe keine eigene öffentliche IPv4-Adresse, deswegen habe ich mir einen virtuellen Server bei Ionos gemietet, welcher eine eigene Ipv4-Adresse besitzt, darauf dann 6tunnel installiert und im A-Record der Domain dann die öffentliche Adresse des Servers angegeben- funktioniert super! Auch gleichzeitig mit Ipv6, nur seit ich mir eine neue FritzBox anschaffen musste, klappt nur noch das Tunneling über Ipv4…
Ich dachte eigentlich, das wäre kein größes Problem, weil ich sogar die Einstellungen auf die neue Box überspielt habe und sich doch nur die Adressen geändert haben…

In diesem Video zeige Ich euch wie Ihr Probleme beim externen Zugriff auf euer Nerzwerk durch DS-Lite lösen könnt. DS-Lite in Verbindung mit dem IPv6 Protokoll kann zu Problem führen wenn man zu Hause selbst hostet, dies gilt für allem für Anwendungen, wie z.B. Home-Server, Raspberry Pi, Nextcloud Hosting, Smart Home, etc.

Das sollte die Lösung sein.

Du nutzt auch ssh. Ich würde dort erstmal versuchen, ob das mit dem Netzwerk alles funktioniert. Geht die SSH-Verbindung über ipv6 als IP-Adresse und geht die Verbinung über den Domainnamen?

Über die globale Ipv6-Adresse komme ich per SSH drauf, über den Domainnamen sagt er mir Permission denied, please try again

du meinst hier noch ssh? Dann sieht es nach Problemen mit dem DNS aus. Nutzt er auch ipv6? ssh -6 user@domain.
Wenn du ein host example.com eingibst (unter Linux), spuckt er dann eine ipv6 Addresse aus?

Hast Du die IPv6 Adresse auch mit https aufgerufen und/oder eine Umleitung von http auf https angelegt ??