Fritzbox mit Server in lokalen Netz und externer dynamischer Adresse
Guten Abend,
ich stehe vor einem Problem, dass meine Kenntnisse offensichtlich übersteigt und ich hoffe hier einen Ausweg zu finden.
Die Ausgangslage ist folgende
- Ich arbeite zu Hause an einem Mac, der seit einiger Zeit für Webdienste nur noch HTTPS-Verschlüsselte Zugriffe erlaubt
- Als Router habe ich eine AVM Fritz!Box 7490 im Einsatz, die Netzwerkpakete vom Typ HTTPS (Port 443) im internen Netzwerk grds. nicht weiterleitet
- Ich betreibe einen Reverse-Proxy, über den ich unterschiedliche Dienste auf OS-Basis für meine dienstlichen Belange bereitstellen möchte, u. a. ein Wiki, Kanban
- Die Software läuft einem Server, der unterschiedliche virtuelle Maschinen bereitstellt, u. a. den Reverse-Proxy, das Wiki, Phiole und einiges mehr
Aus dem internen Netz komme ich nicht über die https-Adressen (subdomains einer meiner Domains) auf die Webseiten, von außen - z. B. über das WLan des Nachbarn, oder Opera mit VPN - klappt es weitestgehend.
Ich suche eine Möglichkeit, die von mir benötigten Dienste über eine einheitliche Adresse aufrufen zu können, ohne - wie aktuell praktiziert - per Fritzbox-Namensauflösung eine spezielle Adresse für internen und eine zweite für externen Zugriff verwenden zu müssen.
Mittel meiner Wahl wäre eine Portweiterleitung der Fritzbox (TCP), z. B. ein Zugriff per Port 8443, der intern an den Proxy mit Port 443 weitergeleitet wird. Das scheint aber nicht zu funktionieren
Vielleicht weiss einer von Euch ja einen Weg, wie ich meine Probleme lösen kann. Ist der beschriebene Weg möglich, oder übersehe ich etwas ?
Herzliche Grüße
Martin Fischer
ich stehe vor einem Problem, dass meine Kenntnisse offensichtlich übersteigt und ich hoffe hier einen Ausweg zu finden.
Die Ausgangslage ist folgende
- Ich arbeite zu Hause an einem Mac, der seit einiger Zeit für Webdienste nur noch HTTPS-Verschlüsselte Zugriffe erlaubt
- Als Router habe ich eine AVM Fritz!Box 7490 im Einsatz, die Netzwerkpakete vom Typ HTTPS (Port 443) im internen Netzwerk grds. nicht weiterleitet
- Ich betreibe einen Reverse-Proxy, über den ich unterschiedliche Dienste auf OS-Basis für meine dienstlichen Belange bereitstellen möchte, u. a. ein Wiki, Kanban
- Die Software läuft einem Server, der unterschiedliche virtuelle Maschinen bereitstellt, u. a. den Reverse-Proxy, das Wiki, Phiole und einiges mehr
Aus dem internen Netz komme ich nicht über die https-Adressen (subdomains einer meiner Domains) auf die Webseiten, von außen - z. B. über das WLan des Nachbarn, oder Opera mit VPN - klappt es weitestgehend.
Ich suche eine Möglichkeit, die von mir benötigten Dienste über eine einheitliche Adresse aufrufen zu können, ohne - wie aktuell praktiziert - per Fritzbox-Namensauflösung eine spezielle Adresse für internen und eine zweite für externen Zugriff verwenden zu müssen.
Mittel meiner Wahl wäre eine Portweiterleitung der Fritzbox (TCP), z. B. ein Zugriff per Port 8443, der intern an den Proxy mit Port 443 weitergeleitet wird. Das scheint aber nicht zu funktionieren
Vielleicht weiss einer von Euch ja einen Weg, wie ich meine Probleme lösen kann. Ist der beschriebene Weg möglich, oder übersehe ich etwas ?
Herzliche Grüße
Martin Fischer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1248746088
Url: https://administrator.de/forum/fritzbox-mit-server-in-lokalen-netz-und-externer-dynamischer-adresse-1248746088.html
Ausgedruckt am: 09.04.2025 um 12:04 Uhr
18 Kommentare
Neuester Kommentar
Dann liegt bei dir eine Fehlkonfiguration vor.
Wenn die Namensauflösung die interne IP des Reverse-Proxy zurückgibt, nutzt der Rechner nicht den DNS-Server, der die interne IP zurückgibt oder du hast IPv6 aktiv und überschreibst die IPv6-Adresse nicht.
Der DNS-Server der Fritzbox darf gar nicht zum Einsatz kommen.
Wenn die Namensauflösung die interne IP des Reverse-Proxy zurückgibt, nutzt der Rechner nicht den DNS-Server, der die interne IP zurückgibt oder du hast IPv6 aktiv und überschreibst die IPv6-Adresse nicht.
Der DNS-Server der Fritzbox darf gar nicht zum Einsatz kommen.
Aus dem internen Netz komme ich nicht über die https-Adressen (subdomains einer meiner Domains) auf die Webseiten
Sehr wahrscheinlich eine Hairpin NAT Problematik ?!:https://en.wikipedia.org/wiki/Network_address_translation#NAT_loopback
Portweiterleitung der Fritzbox (TCP), z. B. ein Zugriff per Port 8443, der intern an den Proxy mit Port 443 weitergeleitet wird. Das scheint aber nicht zu funktionieren
Sollte es aber ! Ist ja klassisches, stinknormales Port Forwarding was auch an jedem Allerweltsrouter funktioniert !Lässt nur den Schluss zu das du vermutlich einen DS-Lite_Anschluss hast mit CGN. Kann das sein ??
Wenn ja wäre das eine Erklärung. Bei DS-Lite ist das wegen des zentralen Provider CGNs technisch nicht möglich !
aber AVM sagt offiziell, dass die 443 nicht im internen Netz forwarden...
Scheinbar hast du den von dir verlinkten AVM-Artikel nicht verstanden. Der beschreibt nicht ein AVM-spezifisches Problem sondern eine allgemeine Eigenschaft von IPv6.Aufgrund des IPv4-Mangels wurde vor langer Zeit NAT eingeführt, also viele Geräte in deinem Netzwerk nutzen eine IPv4-Adresse im Internet. Der Router muss dafür kräftig arbeiten, kann aber eben auch in die Kommunikation eingreifen. Sprich du greifst aus deinem internen Netzwerk auf deine IPv4-Internet-Adresse zu und der Router kann dich entsprechend zurück auf das Gerät in deinem internen Netzwerk umleiten, so wie bei Zugriffen aus dem Internet. Fachbegriff Hairpin-NAT. Erspart dir eben diese Sache mit dem Split-View-DNS. Unsaubere Lösung, aber für unbedarfte Endanwender das einfachste. Kostet am Ende nur kräftig Rechenpower im Router.
IPv6 wurde so entwickelt, dass kein NAT mehr nötig ist. Mittlerweile gibt es für spezielle Anwendungen wieder entsprechende Lösungen, aber in Heimroutern sind die nicht zu finden. Desweiteren arbeitet NAT66 oder NPTv6 anders als das aus IPv4 bekannte NAT. Dein Router hat eine andere IPv6-Adresse als die Geräte in deinem internen Netzwerk. Mangels NAT gibt es bei IPv6 keine Weiterleitung, sondern du musst direkt die IPv6-Adresse des internen Geräts ansprechen.
Als Beispiel nehme ich mal mein AVM-freies Netzwerk:
Der Router hat WAN-seitig die 2a02:908:2xyz:3:742f:6ab6:5e9:1d2e, das NAS dahinter jedoch die 2a02:908:2xyz:7101:1::3.
Der Router kennt aber nur seine IPv6-Adresse und kann nur diese über den DynDNS-Client an AVM melden. Sprich egal was du machst, du hast immer die falsche IP-Adresse. Daher ist die Empfehlung jetzt von AVM, dass man für freigegebene Dienste einen DynDNS-Client auf dem System laufen lässt, auf dem die freigegebenen Dienste betrieben werden, damit die richtige Adresse übermittelt werden kann.
In meinem Fall übertrage ich daher über den DynDNS-Client von Synology die IPv6-Adresse an Synology. Der DynDNS-Client in meinem Router überträgt seine IPv6 an meinen DNS-Provider. Das sieht dann so aus, dass ich zwei unterschiedliche DynDNS-Einträge habe, mit identischen IPv4-Adressen, aber unterschiedlichen IPv6-Adressen.
Das hat nichts mit HTTPS zu tun, sondern mit den Eigenheiten von IPv6. Und weil IPv6 standardbedingt Vorrang vor IPv4 hat, läuft man in scheinbare Probleme rein.
DNS-over-HTTPS macht häufig in Split-View-DNS-Anwendungen Ärger, weil man nicht auf dem Schirm hat, dass der Browser einen anderen Server anfragt als der Rest des Systems. Wurde, wenn auch angekündigt, von so ziemlich jedem Browser-Hersteller einfach aktiviert. Aber wer liest schon die Changelogs?
Ich glaub wir reden aneinander vorbei. Folgendes habe ich verstanden:
1. Zugriff von extern klappt (Du sitzt beim Nachbarn im WLAN und gehst auf deinProxy.myfritz.net)
2. Ping/nslookup intern liefert die IP des Reversproxy (z.B. 192.168.178.200)
3. Zugriff intern über deinProxy.fritz.box funktioniert
Du möchtest aber immer deinProxy.myfritz.net benutzen, egal ob intern oder extern.
Ist das so weit korrekt?
Dafür hast du im PiHole jetzt einen Eintrag vorgenommen, der für deinProxy.myfritz.net zu Hause die 192.168.178.200 liefert. Auch korrekt?
Ich wundere mich gerade, dass der Reverseproxy über deinProxy.fritz.box funktioniert. Ist das denn so eingestellt, dass er Anfragen von dort weiterleiten soll? Wenn ja: Ist das vll. auf Anfragen an fritz.box innerhalb des LAN limitiert?
Außerdem wundere ich mich, dass du intern überhaupt über den Reverseproxy und nicht direkt auf die Server gehst, wo dein Reverseproxy hinleitet.
Wenn Ping/nslookup die Adressen korrekt auflösen, dann würde ich einen Fehler im Reverseproxy vermuten, denn die Fritzbox würde an der Stelle überhaupt nicht mehr involviert sein, außer über WLAN.
1. Zugriff von extern klappt (Du sitzt beim Nachbarn im WLAN und gehst auf deinProxy.myfritz.net)
2. Ping/nslookup intern liefert die IP des Reversproxy (z.B. 192.168.178.200)
3. Zugriff intern über deinProxy.fritz.box funktioniert
Du möchtest aber immer deinProxy.myfritz.net benutzen, egal ob intern oder extern.
Ist das so weit korrekt?
Dafür hast du im PiHole jetzt einen Eintrag vorgenommen, der für deinProxy.myfritz.net zu Hause die 192.168.178.200 liefert. Auch korrekt?
Ich wundere mich gerade, dass der Reverseproxy über deinProxy.fritz.box funktioniert. Ist das denn so eingestellt, dass er Anfragen von dort weiterleiten soll? Wenn ja: Ist das vll. auf Anfragen an fritz.box innerhalb des LAN limitiert?
Außerdem wundere ich mich, dass du intern überhaupt über den Reverseproxy und nicht direkt auf die Server gehst, wo dein Reverseproxy hinleitet.
Wenn Ping/nslookup die Adressen korrekt auflösen, dann würde ich einen Fehler im Reverseproxy vermuten, denn die Fritzbox würde an der Stelle überhaupt nicht mehr involviert sein, außer über WLAN.
Kollege @tikayevent hat es aber oben genau auf den Punkt gebracht. Wie übrigens auch der AVM Artikel. Die Problematik liegt am IPv4/IPv6 Dual Stack in Kombination mit dem DynDNS Verfahren.
Bei einem Dual Stack Betrieb haben remote Clients die ebenfalls Dual Stack arbeiten das "Problem" das sie dann primär den DynDNS Namen in die IPv6 Adresse der FB auflösen. IPv6 hat bekanntlich immer Vorrang vor IPv4 Traffic in einem Dual Stack !
Da es bei IPv6 kein Port Forwarding gibt (weil es kein NAT bei v6 gibt), greift auch die Port Forwarding Regel für IPv6 Adressen nicht auf der FritzBox (siehe AVM).
Folglich rennt dann der TCP 443 Request per IPv6 ins Leere bzw. spricht die FritzBox direkt an. Im Default ist aber aus guten Gründen der Zugriff aufs Setup GUI der FritzBox verboten vom Internet. Also bleibt die FritzBox per IPv6 stumm und der DynDNS Zugriff mit v6 rennt ins Leere. Exakt genau also das Verhalten was der TO oben sieht ! Works as designed...
Port Forwarding greift auf der FB einzig nur für IPv4 Frames wie ja auch AVM betont.
Der TO muss also sicherstellen das der DynDNS Dienst einzig nur die IPv4 Adresse der FB an die remoten Clients zurückliefert und keine v6 Adresse, damit remote Dual Stack Clients nur v4 verwenden für den Zugang.
Schrotschuss Alternative wäre sonst das er komplett IPv6 auf seiner FritzBox deaktiviert.
Bei einem Dual Stack Betrieb haben remote Clients die ebenfalls Dual Stack arbeiten das "Problem" das sie dann primär den DynDNS Namen in die IPv6 Adresse der FB auflösen. IPv6 hat bekanntlich immer Vorrang vor IPv4 Traffic in einem Dual Stack !
Da es bei IPv6 kein Port Forwarding gibt (weil es kein NAT bei v6 gibt), greift auch die Port Forwarding Regel für IPv6 Adressen nicht auf der FritzBox (siehe AVM).
Folglich rennt dann der TCP 443 Request per IPv6 ins Leere bzw. spricht die FritzBox direkt an. Im Default ist aber aus guten Gründen der Zugriff aufs Setup GUI der FritzBox verboten vom Internet. Also bleibt die FritzBox per IPv6 stumm und der DynDNS Zugriff mit v6 rennt ins Leere. Exakt genau also das Verhalten was der TO oben sieht ! Works as designed...
Port Forwarding greift auf der FB einzig nur für IPv4 Frames wie ja auch AVM betont.
Der TO muss also sicherstellen das der DynDNS Dienst einzig nur die IPv4 Adresse der FB an die remoten Clients zurückliefert und keine v6 Adresse, damit remote Dual Stack Clients nur v4 verwenden für den Zugang.
Schrotschuss Alternative wäre sonst das er komplett IPv6 auf seiner FritzBox deaktiviert.
@aqui: Aber es gibt doch überhaupt kein Problem aus dem Internet.
Das ist nur ein DNS oder Reverseproxy Problem
--> Split-DNS sauber umsetzen und (wenn unbedingt nötig) den Reverseproxy so konfigurieren, dass er auch interne Anfragen akzeptiert.
Aus dem internen Netz komme ich nicht über die https-Adressen (subdomains einer meiner Domains) auf die Webseiten, von außen - z. B. über das WLan des Nachbarn, oder Opera mit VPN - klappt es weitestgehend.
Das ist nur ein DNS oder Reverseproxy Problem
Ich suche eine Möglichkeit, die von mir benötigten Dienste über eine einheitliche Adresse aufrufen zu können, ohne - wie aktuell praktiziert - per Fritzbox-Namensauflösung eine spezielle Adresse für internen und eine zweite für externen Zugriff verwenden zu müssen.
--> Split-DNS sauber umsetzen und (wenn unbedingt nötig) den Reverseproxy so konfigurieren, dass er auch interne Anfragen akzeptiert.
Mit dem etwas verwirrenden Terminus "dynamische Webadresse" meinst du sehr wahrscheinlich eine dynamische DNS Adresse (DynDNS) oder ??
https://de.wikipedia.org/wiki/Dynamisches_DNS
Nur das wir alle das hier auch netztechnisch richtig verstehen.
https://de.wikipedia.org/wiki/Dynamisches_DNS
Nur das wir alle das hier auch netztechnisch richtig verstehen.