Zulassungsliste fĂŒr WOPI-Anforderungen nicht konfiguriert

🌐 International support đŸ‡©đŸ‡Ș Deutsch (german)
,
1

Hallo,

das Programm ONLYOFFICE habe ich heute auf der Nextcloud deaktiviert und dann gelöscht.
Anschließend habe ich “Nextcloud Office” und " Collabora Online - Built-in CODE Server" installiert.

In den Einstellungen fĂŒr “Nextcloud Office” wird mir nun folgende Fehlermeldung angezeigt:

You have not configured the allow-list for WOPI requests. Without this setting users may download restricted files via WOPI requests to the Nextcloud server.

Hier konnte ich noch keine Lösung fĂŒr finden.

MfG
Dirk

2 Likes
2

Hallo Dirk,

nach allem, was ich bisher dazu gefunden habe, kannst du die Meldung getrost ignorieren, wenn du mit dem Built-in-CODE-Server arbeitest https://help.nextcloud.com/t/security-setting-for-nextcloud-office/151613/4?u=eifeelove. “In” ist halt "in"nerhalb :sunglasses:, und vermutlich braucht es da - anders als bei einem weiteren eigenen Server (außerhalb deiner NC) - keine weiteren Zulassungslisten. Gruß - und Entspannung!

2 Likes
3

Hallo Dirk @buytool

Ich nutze wie Du den eingebauten Built-in-CODE-Server und konnte die von Dir erwÀhnte Meldung wie folgt ausschalten:

  • Als Admin in Deine Nextcloud-Instanz einloggen
  • MenĂŒ “Administrationseinstellungen”
  • etwas nach unten scrollen, dann Links den MenĂŒpunkt “Office” aufrufen
  • wieder etwas nach unten scrollen zu den “Erweiterten Einstellungen”
  • Im Feld “Allow List for WOPI Requests” (D)eine interne IP eintragen. Bei mir ist 127.0.0.0 eingetragen.
  • Die Meldung mĂŒsste jetzt verschwunden sein. Meine Instanz lĂ€uft mit dieser Einstellung einwandfrei.

Beste GrĂŒsse
Erich

5 Likes
4

Hallo,
ich greife das Thema noch einmal auf, da ich gerade vor dem gleichen Problem stehe.

Ist es wirklich hinsichtlich der Sicherheit des Servers unbedenklich, die WOPI Allow Liste leer zu lassen? Theoretisch wĂ€re es doch möglich den Server ĂŒber eine WOPI Anfrage anzusprechen - auch ĂŒber den Built-In-Server, oder?

Weiß da jemand mehr?

5

Hallo,
der Built-in-Server ist eine fĂŒr die Nextcloud entwickelte Integration. Die gibt es auch noch fĂŒr andere Anwendungen (moodle, owncloud, 
). In die Nextcloud integriert lĂ€uft er HINTER deinem nginx- oder Apache-Server, ĂŒber den ja schon deine Nextcloud im Netz ist. So verstehe ich jedenfalls auch den Post, den ich oben verlinkt habe (Leute, die das besser wissen - bitte gerne korrigieren!). Collabora Online kannst du ja auch außerhalb von Nextcloud einrichten. HierfĂŒr sind WOPI-Allow-Listen sicher wichtig. Vermutlich ist der WOPI-Sicherheitshinweis aus dem Built-in Server noch nicht richtig rausgenommen. Bei mir ist er jedenfalls ganz bald nicht mehr aufgetaucht.

1 Like
6

Seit Nextcloud 28.0.2 habe ich die Fehlermeldung jetzt auch. Habe verschiedene IPs eingetragen und auch localhost oder 127.0.0.0 auch 127.0.0.1. Die Fehlermeldung geht weg, aber der Collabora Built-in-CODE-Server lĂ€uft nicht mehr und stopft mir die nextcloud.log mit EintrĂ€gen voll bis sie ĂŒberlĂ€uft.
Gibt es eine verstehbare Dokumentation zu WOPI, was es ist und wie man es UmgebungsabhÀngig konfiguriert?

7

Wo lÀuft denn die Nextcloud?
Wenn es im Webhosting ist, dann hast Du dort eine IPv4- und eine IPv6-Adresse und diese beiden Adressen mĂŒssen dort hinein.

8

Die lÀuft auf einem ubuntu-server im internen Netzwerk (192.168.x.x). Die öffentliche ipV4 hat der Router (Fritzbox) mit portrouting auf den Server.

9

Versuch doch einmal bei “Allow list for WOPI requests” Deine aktuelle öffentliche IP-Adresse einzutragen.

Wenn es damit funktioniert, dann muss dort der regionale Adressbereich Deines Anbieters eingetragen werden, außer Du hast eine feste IPv4-Adresse.

Z.B. fĂŒr Vodafone “DE-ARCOR-20050815” die “88.64.0.0/12”.

10

Das funktioniert, die Meldung ist weg und der Zugriff funktioniert. Das funktioniert aber nur solange ich noch eine feste IP habe. Da die immer teurer wird, und ich die Nextcloud nur ehrenamtlich verwende mĂŒsste es doch auch eine andere möglichkeit geben. Wie ist das mit der Fritzbox-Adresse von AVM? Geht das auch?

11

Okay, dann geht es weiter.

Auf der Webseite https://networksdb.io/ gibt es einen Bereich “IP Address Lookup”, dort gibst Du Deine aktuelle öffentliche IP ein und erfĂ€hrst schon einmal, in welchem Bereich Du liegst.
In das WOPI-Feld muss dann der ermittelte IP-Bereich der bei CIDR: steht hinein.

Das musst Du dann öfter kontrollieren und alle bei Dir möglichen Bereiche ermitteln. Bei mir sind es in den letzten Jahren drei IP-Adress-Bereiche geworden.

12

Vielen Dank fĂŒr die Hinweise, dass hilft mir weiter!

13

Wenn das noch aktuell ist:
Ich habe vor Monaten dieses hier ergoogelt und das lĂ€uft zuverlĂ€ssig. Es wird die aktuelle externe IPv4 ĂŒber DynDNS abgefragt und in die WOPI-Liste eingetragen.

#!/bin/bash

dyn_ip=$( cat /usr/local/sbin/wopi-ip.txt )
ext_ip=`curl -s http://checkip.dyndns.org | awk '{print $6}' | awk ' BEGIN { FS = "<" } { print $1 } '`
if      [ "$ext_ip" = "" ];then
                echo "Keine Internetverbindung. Keine IP zum aktualisieren."
elif [ "$dyn_ip" = "$ext_ip" ];then
        echo "ist aktuell $dyn_ip"
elif [ "$dyn_ip" != "$ext_ip" ];then
        echo $ext_ip > /usr/local/sbin/wopi-ip.txt
        echo $(date +"%m.%d.%Y") $ext_ip >> /usr/local/sbin/wopi-ip-hist.txt
        echo "DynDNS ist nicht aktuell, Update gestartet: Neue IP = $ext_ip"
        sudo -u www-data /usr/bin/php -f /var/www/nextcloud/occ config:app:set richdocuments wopi_allowlist --value=$ext_ip
else
        echo "ERROR"
fi

Das ist dann als /usr/local/sbin/wopi-ip.sh mit AusfĂŒhrrechten gespeichert und alle 5 Minuten in die Crontab von root eingetragen.

#WOPI Office IP aktualisieren
*/5 * * * * /usr/local/sbin/wopi-ip.sh > /dev/null

SpÀtestens nach 5 Minuten ist dann nach einem Wechsel der dynamischen IP diese wieder eingetragen.

2 Likes