ich habe auf einem NAS in meinem Heimnetz mehrere Docker-Container laufen (Reverse-Proxy inkl. Zertifikate via LetsEncrypt). In der FritzBox ist einen DynDNS-Dienst konfiguriert damit diese aus dem Internet erreichbar sind - was auch wunderbar funktioniert. Was jedoch nicht funktioniert ist der Zugriff über die öffentliche Adresse wenn ich innerhalb meines Heimnetzes bin.
Beim aufruf einer Seite bekomme ich zunächst eine Warnmeldung "Mögliches Sicherheitsrisiko" mit dem Fehlercode MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT.
Wenn ich das Risiko akzeptiere lande ich auf einer Seite, die von der FritzBox stammt in der es heißt:
Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.
Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein.
Wenn Sie über einen anderen Hostnamen auf die FRITZ!Box zugreifen wollen, ergänzen Sie diesen bitte als Ausnahme in der Benutzeroberfläche Ihrer FRITZ!Box unter "Heimnetz > Netzwerk > Netzwerkeinstellungen" im Bereich "DNS-Rebind-Schutz".
Dieses Verhalten habe ich erst seit gestern. Ich verstehe nicht genau warum. Davor lief alles Monate lang völlig Problemlos.
Ich habe daraufhin versucht die Rebind-Ausnahmen zu konfigurieren, damit die Container wieder erreichbar sind. Zuerst hatte ich hier die öffentlichen URLs der Container eingefügt (z. B. jellyfin.xxx.xxxx.org) - das ist falsch, oder?
Andere Beiträge Sprachen immer davon, dass in die Rebind-Ausnahme das Pihole selbst gehört.
Also habe ich in allen möglichen Variationen das Pihole eingetragen.
Aber auch diese Ausnahmen haben leider alle nichts gebracht.
Aktuell habe ich absolut keine weitere Idee was ich noch probieren könnte oder wo der Fehler liegt.
Aus irgendeinem Grund funktioniert es hin und wieder, wenn ich die FritzBox mehrmals neugestartet habe.
Nach einer Weile taucht aber wieder das gleiche Problem auf.
Wenn alle Seiten erreichbar sind aus dem Heimnetz und ich einen ping auf die öffentliche URL absetze, bekomme ich die öffentliche IPv4 der Fritzbox zurück.
Sobald keine der Seiten erreichbar ist aus dem Heimnetz und ich einen ping abgsetze, bekomme ich die öffentliche IPv6 der Fritzbox zurück.
Fehler wegen selbst-signierter Zertifkate, DynDNS, öffentliche URLs, öffentliche IP-Adressen - das klingt eher nach einem Problem im Zusammenspiel DynDNS/FritzBox.
(Nebenbei: URLs sind keine Domänen (klicken für Beispiele).)
Eine URL wäre z.B.: https://en.wikipedia.org/wiki/URL#Syntax
Ein Beispiel für eine Domäne: en.wikipedia.org
Wenn ich ehrlich bin, weiß ich das nicht. Ich habe das Problem im Forum der NAS-Software (unRAID) gepostet. Dort wurde vermutet, dass das Problem an Pi-hole liegt. Sicher war man sich dort auch nicht.
Ich bin mir weiterhin nicht sicher woran es liegt und wo ich am besten nach Hilfe suche. Es ist häufig nicht exakt reproduzierbar. Manchmal tut es für einige Stunden, nachdem ich die FritzBox neugestartet habe. Gestern Abend hat es auch wieder funktioniert und als ich heute Morgen wieder getestet habe, trat das Problem wieder auf.
Wie kommen die darauf?
Überlagerst Du denn Deine öffentliche Domäne (also die in Deinem DynDNS) in Pi-hole mit einer privaten IP (z.B. durch einen Local DNS Record)?
Ein User bat mich Pi-hole als Fehlerquelle auszuschließen und die Konfiguration in der FritzBox des DNS Servers ohne Pi-hole zu machen. Prompt hat es funktioniert. Das war aber wohl eher ein Zufall.
Nein.
Aber ich glaube ich habe jetzt das Problem gefunden und ich kann es nachstellen. Ich weiß nur nicht welche Konfiguration in der FritzBox das Problem löst. Aber wie Du schon gesagt hast, es ist eher ein Problem in der FritzBox, nicht mit Pi-hole - gehört also nicht hier her.
Dennoch beschreibe ich es mal, falls jemand anders hier mal Vorbeikommt, auf der Suche nach der Ursache.
Es liegt auf jeden Fall an IPv4 und IPv6. Ich habe eine native IPv4 und eine IPv6 IP bei Vodafone.
Mein DNS Provider unterstützt beides. Wie bereits mal erwähnt hatte ich das Gefühl, dass mit IPv4 alles tut und sobald IPv6 ins Spiel kommt, bekomme ich besagtes Fehlverhalten.
Ich habe heute eine Domain eines Docker-Containers angepingt und habe eine IPv6 zurück erhalten. Die öffentliche IPv6 meiner FritzBox. Ergebnis: Zertifikat-Fehler und FritzBox-Fehler bzgl. DNS-Rebind.
Habe dann für den DNS-Provider IPv6 deaktiviert und neugestartet.
Erneuter ping auf Domain und ich habe die öffentliche IPv4 der FritzBox zurück erzhalten. Ergebnis: alle Docker-Container sind erreichbar.
Das Spiel habe ich dann nochmal wiederholt und IPv6 wieder aktiviert, wieder gleicher Fehler. IPv6 deaktiviert und Docker-Container wieder erreichbar.
Jetzt muss ich nur noch rausfinden welche Einstellung in der FritzBox auch noch den Zugriff via IPv6 erlaubt. Das werde ich aber in einem FritzBox-Fourm erfragen. Und wenn ich keine Lösung finde, deaktiviere ich einfach IPv6 für DynDNS und lebe damit.
Bucking_Horn ich danke Dir trotzdem für deine Antworten.
Ah - da hätte ich möglicherweise einen Ansatz für Deine Recherchen:
Im Gegensatz zu IPv4, wo Dein Netzwerk nur über die öffentliche IP Deines Routers erreichbar ist, bekommt mit IPv6 jedes Gerät (und u.U sogar jeder Container) eine eigene öffentliche IPv6-Adresse (mindestens).
Um direkt auf diese IPv6-Adresse zu verbinden, müsste ein DynDNS-Client auf dem jeweiligen Gerät die korrekte öffentliche IPv6-Adresse des Geräts an Deinen DynDNS-Anbieter melden.
Im Router braucht es dann nur die Portfreigaben für die entsprechenden Geräte.
Pi-hole läuft auf einem RPi, kein Docker. DHCP macht die FritzBox. Hier an der Stelle habe ich eigentlich nichts gändert an der Standardkonfiguration. Außer natürlich Pi-hole als DNS-Server zu setzen.