Hi. Ich verwende auf einem System den NginX Proxy Manager um von außen Zugriff auf meine Nextcloud-Instanz zu bekommen. Ich habe es sogar geschafft, die Warnhinweise komplett weg zu bekommen.
Mein Aufbau:
Server: Unraid
NginX Proxy Manager in einer VM (außer NPM und endlessh läuft da nichts drauf) - (wird demnächst umgestellt als Dockeranwendung direkt auf Unraid mit separater IP-Adresse)
Portweiterleitung 80 und 443 zum NPM
Nextcloud als Docker direkt in Unraid
NPM mit Domain zum Docker Nextcloud eingerichtet
Nun zu meinen 2 Fragen.
Was passiert genau, wenn ich meine Adresse xxxxx.xxxx.duckdns.org aus meinem eigenen Lan aufrufe? Ich habe das Gefühl, dass die Anfrage erst nach außen zu DuckDNS geschickt und dann zurück zu meinem Rechner gelangt. Da ich eine Bambusleitung habe, merke ich den Unterschied, ob ich rein von intern oder von extern zugreife. Kann ich Nextcloud oder den Proxy Manager irgendwie überreden, dass die Adresse, wenn diese aus meinem eigenen Lan aufgerufen wird, direkt zu meiner Nextcloud gelangt? Quasi so, dass der Proxy Manager das erkennt und mich intern weiterleitet? Ich frage explizit nach dem Aufruf meiner Domain- Adresse und nicht nach der IP-Adresse.
Eigentlich müsste die Anfrage intern weiterlaufen, schließlich wird ja nur ein DNS-Request gestellt. Was genau da bei dir passiert kann ich mir nicht erklären, aber du könntest probieren, auf dem Router den DNS-Eintrag mit einer lokalen IP zu hinterlegen. Dann sollte es auf jeden Fall nicht nach draußen gehen (geht natürlich nur, wenn der Router als Standard-DNS für jeden Rechner hinterlegt ist und er die Möglichkeit dafür gibt).
Also einfach DNS-Eintrag hinzufügen für deine xxx.xxx.duckdns.org domain und dann die lokale IP des Proxymanagers oder sogar, je nach Konfiguration, die IP der NextCloud.
dein client (aka browser) fragt erstmal beim dns server nach der ip adresse von xxxxx.xxxx.duckdns.org. als antwort kommt die externe ip adresse deines routers zurück. als nächstes schickt dein client (aka browser) ein http get “xxxxx.xxxx.duckdns.org” an diese ip adresse. dein dsl router ist entweder so schlau zu erkennen, dass er dieses paket jetzt an deinen proxy weiterleitet oder es passiert: nix. weil er würde das paket ins internet schicken und dort würde es nirgendwo ankommen.
wenn du eine antwort im client bekommst, ist dein router schlau und ggf. das bootle neck, weil er den durchsatz begrenzt.
wenn du den router umgehen willst, musst du einen eigenen internen dns server aufsetzen, der xxxxx.xxxx.duckdns.org direkt mit der internen adressen des npm auflöst.
Danke für die Antworten. Bin grad dabei einen bind DNS-Server in einer kleinen VM aufzusetzen. Mal seh’n, ob ich das noch hinbekomme . Ist schon 'ne Weile her. Aber ich habe meine Aufzeichnungen noch. Dürfte dementsprechend kein Problem darstellen. Wenn ich das am Laufen habe, probiere ich das Ganze Szenario noch einmal mit Pihole. Der sollte das auch beherrschen. Ich schreibe später meine Lösung hier rein.
Wenn du den Pihole als DNS Server im internen Netzt nutzt, brauchst du keinen seperaten DNS Server dafür… Seit einiger Zeit kannst du direkt im WebGUI des Pihole DNS-Overrides hinzufügen. Entscheidend dabei ist natürlich, dass alle Geräte im internen Netz den Pihole als DNS Server verwenden, aber das sollten sie ja sowieso, wenn sie den Pihole für das Blocking nutzen sollen
Hab’ ich gestern doch vergessen, meine Antwort noch zu Posten. Also…
Ich habe mir als Erstes bind in einer VM installiert und es hat funktioniert. Somit habe ich wieder einmal fast verlorene Sachen im Kopf aufgefrischt. Muss auch mal sein . Das Problem ist, wenn ein System Jahre lang ohne Eingriffe funktioniert, dass dann doch hier und da einige Sachen auf der Strecke bleiben, wenn man sich nicht ständig damit befasst oder befassen muss.
Dann bind wieder weg und den Versuch mit Pihole gestartet. Hat ebenso funktioniert.
Heute noch, der Vollständigkeit Halber diesen Versuch noch mit Adguard. Da soll es diese Funktion auch geben.
Mir hatte der Denkanstoß mit DNS schon sehr weitergeholfen. Letzendes werde ich wohl, der Einfachheit geschuldet, Pihole verwenden. Irgendwie/irgendwo ist die Oberfläche dort immer noch vertraut.
hier noch ein Paar Inputs für mich und andere, das Problem kommt immer wieder auf:
Andriods bevorzugen IPv6 IPs und DNS. d.h. sie versuchen zuerst immer die IPv6 Adresse aufzulösen. In Kombination mit myfritz und aktiviertem IPv6 ist das Ergebnis dass die Androids übers Internet auf die IPv6 Adresse der Fritzbox zugreifen und (je nach Port Forwarding) nicht das Zielsystem erreichen. Ich habe es gelöst indem im Pihole den myfritz host blockiert habe. Die Lösung ist leider lückenhaft weil die Fritzbox immer(?) selbst IPv6 DNS server anbietet (IPv6 RA) - geht aber fast immer…
Adguard habe ich getestet, war Feuer und Flamme Pihole zu ersetzen - die Konfiguration und Funktion bei Adguard gefällt mir deutlich besser als bei Pihole, Adguard ist bei mir aber komplett durchgefallen als ich gesehen habe dass es um Faktor 10 langsamer als Pihole ist (Test: per Script 10k Anfragen zu 400 DNS Adressen aus dem Cache - mehrmals für beide wiederholt). Heutige Webseiten bestehen aus hunderten (externen) Elementen, die uU eine DNS Anfrage verursachen - ein langsamer DNS Server verdirbt einem sofort den Spass.
