Zugriff auf die NextCloud URL von iPhone nicht möglich

Witzker · January 14, 2023, 10:34pm

Ich habe meine IONOS Subdomain auf die Fritz!Box DynDNS erfolgreich umgeleitet.
Dann gehts weiter zum Nginx Proxy Manager mit Portweiterleitung auf die IP der VM, wo der NPM läuft.
Vom NPM dann weiter zur IP der VM wo die NextCloud läuft
Alles Klar?

So nun greife ich vom PC aus auf die IONOS Subdomain zu und lande auf der NextCloud = alles Gut

dann greife ich vom Android Tablet aus auf die IONOS Subdomain zu und lande auf der NextCloud = alles Gut

ABER:

Wenn ich vom iPhone aus auf die IONOS Subdomain zugreife, meckert der Browser. Ich soll den Rebindschutz in der Fritz!Box konfigurieren.
Hab da die cloud.xxxx.com eingetragen.

Und nun lande ich nur auf der Fritz!Box Anmeldeseite (nicht am NPM) = NICHT Gut!

Was mache ich falsch??

PS: der CalDav Zugriff auf die Subdomain funktioniert!!
Also muss doch etwas durch den NPM richtig geroutet werden.

Mit der NextCloud App kann ich auch mit der Ionos Subdomain zugreifen!

Den Zugriff vom iPhone Browser habe ich nur getestet, weil ich einen Fehler beim Anmelden der DECK App hatte.
Der weiße Bildschirm ist nun weg und ich habe den Anmeldebildschirm wieder (für eingeweihte)
Aber geht die Anmeldung nicht:
Error loading page
Domain: NSURLErrorDomain
Error Code: -1202
(kann schon wieder kein Bild hochladen!!)

SSL Zertifikat gibts im NRM

Habe irgendow gefunden das man im NRM unter advanced das eintragen soll:
proxy_hide_header Upgrade;
client_max_body_size 0;
proxy_request_buffering off;
location /.well-known/carddav {

return 301 $scheme://$host/remote.php/dav;*
}
*location /.well-known/caldav *
*{ *
return 301 $scheme://$host/remote.php/dav; *
}
*location /.well-known/webdav *
{
return 301 $scheme://$host/remote.php/dav; *
}

Hilft aber auch NIX!

SysKeeper · January 14, 2023, 11:12pm

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3565_FRITZ-Box-meldet-Der-DNS-Rebind-Schutz-Ihrer-FRITZ-Box-hat-Ihre-Anfrage-aus-Sicherheitsgrunden-abgewiesen/

Hast du die Fritzbox nach dem Eintrag neugestartet wie oben beschrieben?
Nutzen alle Geräte die Fritzbox als DNS?

Witzker · January 15, 2023, 12:04am

Wow Danke für die schnelle Antwort

Ja

Wenn die Ionos Subdomain in dem Rebindschutz eingetragen ist, ändert sich beim Zugriff mit Deck nichts!
Wenn ich mit Chrome Browser vom iPhone zugreife, lande ich nun auf der Anmeldeseite der Fritz!Box.
Auf PC und Android funktioniert alles.
Also ist der NRM wohl richtig konfiguriert !?
Anscheinend leite die Fritz!Box die Anfrage der Ionos Domain, wenn sie vom PC oder Android Browsern (Edge, Chrome, Firefox, Opera) kommt richtig an den NRM weiter und leitet dann auch richtig zur VM mit NextCloud.

Wenn die Anfrage aber vom iPhone kommt, geht sie nicht zum NRM, sondern zum Anmeldebildschirm der Fritz!Box

Bin ich der einzige mit dem Problem?
So beim Zugriff mit Safari kommt jetzt Webseite nicht gefunden wollen sie zur Startseite der Fritz!Box!
Also wird event. Doch versucht die Seite vom NRM zu bekommen und der gibt sie nicht her?

Muss man unter Advanced noch was eintragen?

Was muss sonst Ein/Aus geschaltet werden?

unter SSL

SysKeeper · January 15, 2023, 12:33am

Was mich etwas irritiert ist dass von anderen Geräten aus funktioniert. Wenn alle den gleichen DNS etc verwenden, sollte es auch bei allen funktionieren. Was passiert denn wenn du mit dem iPhone nicht im WLAN, sondern per LTE auf die Subdomain zugreifst?
Schau bitte auch sicherheitshalber noch mal unter WLAN und DNS dass dort nichts auf manuell steht.

Edit: den unteren Teil falsch verstanden. Also jetzt kommt kein Fritzbox Webinterface mehr? iPhones haben etwas Schwierigkeiten mit HTTP/2, entweder das ausmachen oder dieses proxy_hide_header Upgrade eintragen. Eigentlich kommt dort aber dann aber eine andere Meldung…

devnull · January 15, 2023, 6:50am

@Witzker
Um eine Fehlkonfiguration des iPhone auszuschließen, vielleicht mal mit einem anderen iPhone probieren. Bitte auch wie @SysKeeper beschrieben zwischen WLAN und LTE (oder fremden WLAN) unterscheiden und hier die Unterschiede posten.

Witzker · January 15, 2023, 8:25am

So zum Rebindschutz:
in der Fritz!Box die Domain der Nextcloud eingetragen. Nun landet das iPhone auf der Startseite der Fritz!Box
auch bei 2 andere iPhones
Ohne WLAN über mobile Daten
diese Webseite URL der NC ist vorübergehend nicht erreichbar

proxy_hide_header Upgrade;

eingetragen
mit Mobilen Daten OK!!

Also mal so mit WLAN weiter:
wenn ich mich bei Deck nun anmelden will, benötige ich:
Benutzername:
Passwort: im Feld steht App-Token!
Mit dem normalen Benutzerkennwort geht das nicht!
Wo bekomme ich diesen Token her?

SysKeeper · January 15, 2023, 9:23am

Nextcloud - Einstellungen - Sicherheit. Da kannst du unten einen generieren
https://docs.nextcloud.com/server/latest/user_manual/de/session_management.html

Witzker · January 15, 2023, 10:04am

Super vielen Dank! Well Done

So und nun das ganze mit WLAN

Wie sollen wir vorgehen?
Fritz!Box hat Rebind mit Cloud.domein.com
NRM hat :

und in Advanced:
proxy_hide_header Upgrade;

Bevor wir das WLAN angehen:

Starte mal alles neu, leere alle Browser Cash und ich prüfe mal mit allen Browsern am PC und Android auf mehreren, Geräten, ob damit die anderen Zugriffe vom PC und Android sowohl auf die NC selbst Und auf Android zusätzlich NC App und Deck noch funktionieren.
OK so?

I’ll be Back!

Witzker · January 15, 2023, 12:29pm

So leider wie ich befürchtet habe, kamen die bisherigen Zugriffsdaten aus den Browser cashs

Wenn die NC URL im Rebindschutz in der Fritz!Box eingetragen ist, geht der Zugriff im Browser vom PC und auch vom Android Browser nicht mehr.
Di2 NC App und Deck APP auf Android geht nicht.
Wenn ich mich Inder NC APP anmelden will, zeigt er : Server nicht gefunden
Deck sagt, mit dem Server scheint etwas nicht zu stimmen.

Also der Rebindschutz lässt anscheinend die Anfragen von außen nicht weiter zum NRM, sondern zur Anmeldung der Fritz!Box

Aber am iPhone schon!
NC APP & Deck APP funktionieren!!

Wenn ich den Rebind Schutz aus der Fritz!Box wegnehme, geht sogar ohne Neustart die Zugriffe wieder normal auch von Android aus.
Und auch am iPhone:
Wo ich mich ja vorher bei Deck anmelden konnte, geht Deck und die NC APP
Der Browser zeigt CloudPrivat (so heißt diese NC) mit einem Link zu CloudPrivat, wenn ich draufklicke, lädt er diesen Bildschirm neu, aber ich kann mich nicht anmelden.

Nach Neustart der Fritz!Box ohne rebind:
PC & Android zugriff wieder OK
auf 4 iPhones NC und Deck App OK
musste allerdings die Apps neu ohne WLAN mit mobilen Daten neu installieren & anmelden.
Wie es jetzt, mit dem Browser zugriff, aussieht, muss ich nochmal testen.

Zum Rebindschutz steht in der Fritz!Box:
DNS-Rebind-Schutz

Ihre FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie Ausnahmen angeben, für die der DNS-Rebind-Schutz nicht gelten soll. Tragen Sie dazu den vollständigen Hostnamen (Domainname inklusive Subdomain) in die Liste ein.

Hostnamen-Ausnahmen:

Wenn man das so liest, sollte die URL von außen eigentlich mit der Rebind Ausnahme an den NRM weitergeleitet werde sodass, der auch dann mit der Webseite auf der VM antworten können.
DAS GEHT ABER NACH DEN TESTS NICHT!

Was mein Ihr dazu?

PS: Wir sind noch immer mit Mobilen Daten und nicht im WLAN unterwegs!
to be continued!

Danke für die bisherige Geduld und Unterstützung!

devnull · January 16, 2023, 7:06am

Vorab ich habe keine Geräte von Apple und vielleicht habe dich auch deswegen keine Probleme. Aber ich habe eine FRTZ!Box 7430 und verwende von Zeit zu Zeit eine Nextcloud im internen Netz. Diese steuere ich erstes immer und von jedem Gerät über den externen Namen an und zweitens habe ich nie irgenwelche Konfigurationen bzgl. DNS-Rebind, Hairpinning oder NAT-Traversal vorgenommen. Es läuft einfach.

Vielleicht kannst du einfach mal die Weiterleitung aus deiner FRITZ!Box rauswerfen und möglichst minimalistisch neu konfigurieren. Führe dann vielleicht ein paar DNS-Abfragen von intern durch und rufe dann nacheinander die Nextcloud mit unterschiedlichen Geräten auf. Poste die Ergebnisse.

Am Rande, das sollte kein Problem sein:

Ich habe eine Subdomain meiner privaten Domain per CNAME auf die Subdomain meines DynDNS-Providers ddnss.de umgeleitet. Nextcloud funktioniert sowohl mit Aufruf der Subdomain meiner privaten Domain als auch der Subdomain meines DynDNS-Providers. In der FRITZ!Box ist natürlich ddnss.de eingetragen.

Aber du könntest für deine Nextcloud ja mal die Subdomain von Fritz!Box DynDNS (kenne ich nicht) zusätzlich konfigurieren und diese für deine Nextcloud mal testweise verwenden.

Witzker · January 16, 2023, 4:19pm

Danke vednull aber dein Beitrag hilft leider überhaupt nicht weiter!

Es geht jetzt darum warum ich mit dem iPhone mit “Mobilen Daten” und mit PC und Android auch im Lokalen Netwerk auf die NC im Browser und mit allen erwähnten Apps auf die NC zugreifen kann
Nur der Zugriff mit IPhone (getestet mit 4 iphones ) aus dem lokalen WLAN geht nicht!
Nun alles Klar?
Bin ich der einzige mit diesem Setup und dem Problem?
Könnt Ihr mir vielleicht ein Forum empfehlen wo man sich event. mit diesem seltsamen Verhalten der iPhones im WLAN und der Konfiguration des NRM auskennt.
Das ganze hat jetzt bis auf die “Schönheitsfehler” der Deck App eigentlich mit NC nichts mehr zu tun.

SysKeeper · January 16, 2023, 6:47pm

Das ist jetzt ehrlich gesagt etwas unfair, denn @devnull hat erstmal dargelegt dass es nicht grundsätzlich notwendig ist, große Einstellungen an der Fritzbox zu verändern und andererseits vorgeschlagen verschiedene DNS Abfragen zu machen und zu prüfen, was dabei rauskommt.

Mal ganz von vorne, wenn alle Einstellungen gleich sind zwischen PC, Android und iPhone sollte das meiner Meinung nach klappen. Mir sind da keine Eigenarten des iPhones bekannt (gut, das muss nicht zwangsläufig was heißen…)

Spannend wäre wirklich mal eine DNS Abfrage mit dem iPhone mit WLAN und mobilen Daten zu machen (gibt Apps für im AppStore). Du kannst auch mal probieren im iPhone im WLAN 8.8.8.8 als DNS einzutragen und zu schauen ob es dann funktioniert.

Nutzt du Port 443 oder einen anderen Port?

Witzker · August 28, 2023, 3:45pm

So geht noch immer nicht und wird sogar noch schlimmer!
Wenn ich die Deck-App am iPhone aufrufe und mich anmelden will, geht es nach wie vor nicht. UND die Nextcloud funktioniert danach nicht mehr = Bad Gateway
über die IP ist die noch erreichbar.

Setze ich dann den Snapshot in EXSi zurück - geht alles wieder bis ich mich wieder in Deck anmelde.

Was mache ich denn da dauernd falsch?

Gibt es eine aktuelle Anleitung, wie man sich in
Nextcloud 27.0.2 erreichbar über
mx.domain.com weitergeleitet mit NPM mit
Let’s Encrypt Zertifikat an
ESXi7 VM IP mit einem
iPhone iOS 15.7.8

Denn wirklich anmelden muss?

PS: wie oben beschrieben geht die Anmeldung aller APPs
Deck, Nextcloud, Notes auf Android wunderbar
auch alle Browser können auf die Nextcloud mit my.domain.com zugreifen

Was ist denn da los?
Hoffe auf Lösung.
Wo könnte man denn event. sonst noch nachfragen, um dieses seltsame Szenario mal zu verstehen?

devnull · August 29, 2023, 12:12pm

Aufgrund deiner Beschreibung scheint es ein iPhone-Problem zu sein. Ist es immer noch möglich die Nextcloud über die interne und externe Adresse aufzurufen. Ich kann dir nur sagen, dass ich erstens kein iPhone habe aber zweitens meine interne Nextcloud nur über den externen per DynDNS-definierten Namen aufrufe. Es gibt somit zwischen intern und extern keinerlei Unterschiede bzgl. Adresse des Aufrufs. Also niemals irgendwie anders wie lokale IP-Adresse oder sonst ein Dreck. Vielleicht macht hier dein iPhone ein Problem. Versuch mal nur mobiles Internet zu verwenden, um den Zugriff über extern zu erzwingen. Geht das?

Tux.local · June 15, 2024, 8:27am

Hallo zusammen
Wir haben gerade dasselbe Thema, alles funktioniert, nc ist hinter einem nginx prox manager, keiner hat Probleme mit dem System nur Apple findet das Target nicht.
In den kommenden Tagen werde ich das Problem analysieren und gebe dann nochmals eine Rückmeldung.

Witzker · June 15, 2024, 8:33pm

Hi, habe wirklich viel zu dem Problem in einigen Foren gesucht und Fragen gestellt.

Meistens wurde es ignoriert und zig Fragen gestellt, um davon abzulenken, wie so oft in Foren - es geht ohnehin alles und es ist alles ganz einfach.
Wenn man alles gefragte genau beantwortet und das Problem genau schildert, ist meistens - Schluss mit dem Thread.
Weill’s eben keiner wirklich weiß und nur …

Nun ich kann Gott sei Dank nun nach zahlreichen versuchen sagen - war wirklich einfach:

Also:
Cache Assets in NPM ausschalten.
Das beeinträchtigt anscheinend die Authentifizierung/Sitzungsverwaltung in Nextcloud.

Wie gesagt bei mir war es dann mit 3 Nextclouds gehostet auf Debian OK.
Ich benutze das Image von https://www.turnkeylinux.org/nextcloud
Bisher noch keine Probleme bei Updates und fantastischer Support - dauert alle Dings - ist aber dafür auch hilfreich!

Hoffe bei Dir gehts dann auch.

UPS:
Sehe gerade ich habe da unter advanced

noch alles andere aus den Zahlzeichen andern Antworten stehen.
Das aber nicht geholfen hat, bis ich Cache Assets ausgeschalten habe.
Hab noch nicht getestet, ob’s auch ohne das geht!

proxy_cookie_path / /;
proxy_set_header Cookie $http_cookie;
proxy_hide_header Upgrade;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
location = /.well-known/carddav {
return 301 $scheme://$host:$server_port/remote.php/dav/;
}
location = /.well-known/caldav {
return 301 $scheme://$host:$server_port/remote.php/dav/;
}

Gib Bescheid, wies bei Dir geht! - hilft wahrscheinlich einigen, die noch immer verzweifelt suchen wie ich’ tat.
LG

Joern_Kenntnisreich · June 15, 2024, 8:45pm

Freut mich, das ich helfen konnte

Witzker · June 15, 2024, 8:51pm

He,
wo ist deine Lösung - hab ich da was Übersehen?
Bitte den Link dazu.
Du hast genau wie oben beschreiben auf meine konkrete Frage, was ich in der config Ändern soll, nicht mehr geantwortet!

Ich bekam das von **
**jtr

Witzker

16. Mai

Turn off Cache Assets in NPM. It will break authentication/session management with Nextcloud.

Hier ist wohl Nomen Nicht Omen