Proxmox für den Server und pihole
Ubuntufür die Clients
Actual Behaviour:
Es gibt keinen Zugriff auf den Cloudserver. Die Ports 443 and 80 für den Zugriff auf den Server sind in der FB dem Server 192.168.178.50 (seafile-test) zugeordnet. Wenn ich eine lokale Verbindung zum Server über https://xy.myfritz.net aufbaue, werden ich zur Startseite der Fritzbox geleitet. Aus dem Internet gelange ich zum Server - das passt.
Debug Token:
https://tricorder.pi-hole.net/OkDlw2er/
Meine Konfiguration der Fritzbox:
DNS-V4 Server: 192.168.178.39 (pihole)
alternative rDNS-V4 server: 1.1.1.1
Ich habe auch bei DNS-Rebind-Protection folgende Werte eingetragen und die FB neu gestartet:
seafile-test
192.168.178.50
seafile-test.fritz.box
Pihole ist folgendermaßen konfiguriert:
DNS-Server:
Quad9
Cloudflare jeweils mit IPV4 und IPV6
Never forward non-FQDN A and AAAA queries ist abgeschaltet. Never forward reverse lookups for private IP ranges ist abgeschaltet Use Conditional Forwarding ist abgeschaltet
Fritzbox (192.168.178.1) und Pi-hole (192.168.178.35) liefern hier identische Antworten.
Da Pi-hole hier also zunächst mal nichts falsch macht, handelt es sich auch nicht um ein Pi-hole-Problem, sondern wahrscheinlich um eins der Fritzbox-Konfiguration.
Anhand der IPv6-Adresse lässt sich erkennen, dass die Fritzbox für xy.myfritz.net ihre eigene öffentliche IPv6-Adresse hinterlegt hat.
Im Gegensatz zu IPv4 (wo auch die öffentliche IPv4-Adresse der Fritzbox hinterlegt ist) gibt's bei IPv6 aber kein NAT.
Eine einfache Portweiterleitung reicht damit also nicht aus.
In der Folge landen Zugriffsversuche von IPv6-fähigen Clients über 2003:<redacted>3a:443 oder 2003:<redacted>3a:80 also auf der Anmeldeseite der Fritzbox.
Okay, gut zu wissen, dass Pihole richtig konfiguriert ist.
Die Freigabe habe ich gemacht. Die Ports sind auf IPv4 und IPv6 freigegeben.
Heute Morgen hatte ich mit dem Smartphone aus dem lokalen Netzwerk Zugriff auf den Server. Mit der App und mit dem Browser. Mit dem Notebook nicht. Hier ist vielleicht die Fehlerursache. Dabei ist hier auch das DNS auf automatisch gestellt.
Plötzlich geht wieder der Zugriff auf Seafile nicht mehr. Auch nicht mit dem Smartphone. Ich habe nichts verändert an der FB und auch nicht an pihole.
Es ist zum Verzweifeln.
Die Freigabe ist nicht neu - die habe ich schon bei der Einrichtung des Seafile-Servers angelegt.
seafile-test.xy.myfritz.net funktioniert nicht -auch nicht aus dem Internet.
Aktuell kann ich mit dem Seafile-Client zugreifen. Das würde mir schon reichen. Aber ich habe die Befürchtung, dass es bald wieder nicht mehr geht.
Auch kurios: Mit dem Tablet und Firefox habe ich lokal Zugriff. Mit Tablet und Chrome-Browser nicht.
Ich habe die DNS-Rebind-Protection im Verdacht. Da habe ich wie anfangs geschrieben, folgende Einträge:
seafile-test
192.168.178.50
seafile-test.fritz.box
Ich weiß aber nicht, ob das richtig ist.
Der DNS-Rebind-Schutz würde nur eine Rolle spielen, wenn ein von der Fritzbox befragter DNS-Server (aus Internet » Zugangsdaten » DNS-Server) eine private IP-Adresse zurückliefern würde.
Das ist bei Dir nicht der Fall: Deine Domäne wird in öffentliche DNS-Adressen aufgelöst.
Zusätzlich wäre zu vermuten, dass Deine Fritzbox ohnehin Pi-hole als lokalen DNS-Server verteilt (also über Heimnetz » Netzwerk » Netzwerkeinstellungen | IPv4-Einstellungen). In diesem Fall käme der DNS-Rebind-Schutz überhaupt nicht zum Tragen, da die Fritzbox aus dem Heimnetz überhaupt keine DNS-Anfragen mehr erhält und somit auch keine Antworten mehr versendet oder unterdrückt.
Da Fritzbox und Pi-hole für xy.myfritz.net identische Antworten liefern, kann außerdem ausgeschlossen werden, dass Pi-hole hier beteiligt ist.
EDIT: Du könntest noch prüfen, ob das für die MyFRITZ!-Adresse auch der Fall ist.
DS-Lite? Sagt mir nichts. Wir haben einen normalen 50MBit-Anschluß bei der Telekom.
Ich habe nun die Port-Freigaben durch "Freigaben" ersetzt und es mit seafile-test.xy.myfritz.net versucht. Ohne Erfolg.
Beim Zugriff aus dem Internet meldet der Browser
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit seafile-test.xy.myfritz.net trat ein Fehler auf. Die Gegenstelle meldet, dass sie auf einen internen Fehler gestoßen ist.
Fehlercode: SSL_ERROR_INTERNAL_ERROR_ALERT
Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Auch an dieser Fehlermeldung ist DNS nicht beteiligt:
SSL-Aushandlungen können erst nach einer erfolgreichen DNS-Auflösung starten.
Das deutet auf ein Problem mit dem SSL-Zertifikat für Deine Domäne hin, z.B. könnte das Zertifikat nicht für seafile-test.xy.myfritz.net gelten, oder Dein Browser erzwingt eine HTTPS-Verbindung, obwohl Du überhaupt kein Zertifikat für Deine Domäne hast.
Das seafile-Zertifikat ist gültig und wird über den Internet-Zugriff akzeptiert.
Die FB hat auch eines und ich vermute, dass ich mit lokalem Zugriff auch wieder bei der FB-Anmelde-Seite lande. Wahrscheinlich, weil seafile-test.xy.myfritz.net nicht gefunden wird?
Nein.
Deine bisherigen Schilderungen und nslookup-Ergebnisse geben keine Hinweise darauf, dass DHCP oder DNS etwas mit Deinem Fehlerbild zu tun haben könnten.
Ja, mittlerweile glaube ich auch, dass pihole nicht die Ursache ist.
Möglicherweise habe ichdie SSL Zertifikate falsch ausgestellt. Seafile-test und xy.myfritz.net habe ich mit dem gleichen Domain Namen erstellt. Das werde ich morgen dann untersuchen. Vielen Dank schon mal für deine Hilfe.
Die Lösung ist, den Server neu aufzusetzen mit der Adresse seafile-test.xy.myfritz.net. Dann wird auch das Zertifikat auf die Adresse ausgestellt. Zusätzlich noch die Freigabe der Ports undnun gehts.
Danke für Deine Gedult.