devil77
Goto Top

Probleme bei Zugriff auf Server Intern - Extern

Ich habe ein Problem mit dem Zugriff zu owncloud, welches wir auf einem eigenen Server liegen haben.

- Server mit owncloud befindet sich im Netzwerk unter dem Namen "SERVER" mit der IP 192.168.190.5
- über die Firewall (DSL Anschluss mit fester IP) ist der Server von Außen erreichbar über server.website.de:8080

Das Problem ist das ich im eigenen Netz über die Adresse server.website.de:8080 keinen Zugriff habe und die Seite nicht gefunden wird.
Greife ich von Außerhalb über diese Adresse auf Owncloud zu funktioniert es.
Über die IP des Servers im Netzwerk 192.168.190.5:8080 ist Owncloud intern erreichbar.
Ich vermute das es evtl. mit der Firewall zu tun hat die den Zugriff blockt.
Dort ist aller einkommende Verkehr geblockt bis auf Port 8080 der auf die Server IP 192.168.190.5 umgeleitet wird.
Ich weiß nur nicht warum und wie ich es erreich kann das der Server Intern über beide Adressen erreichbar ist.

Content-ID: 231335

Url: https://administrator.de/contentid/231335

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

108012
108012 28.02.2014 um 17:59:52 Uhr
Goto Top
Hallo,

Das Problem ist das ich im eigenen Netz über die Adresse
server.website.de:8080 keinen Zugriff habe und die Seite nicht
gefunden wird. Greife ich von Außerhalb über diese Adresse auf
Owncloud zu funktioniert es.

Dann wirst Du wohl die Funktion Hairpin NAT dazu benötigen.
Die Suchfunktion im Forum kann Dir da locker einige aktuelle
Beiträge liefern die Dir das ganze Szenario erklären.

Gruß ♪
Dobby♬
Pjordorf
Pjordorf 28.02.2014 aktualisiert um 18:18:32 Uhr
Goto Top
Hallo,

Zitat von @devil77:
- über die Firewall (DSL Anschluss mit fester IP) ist der Server von Außen erreichbar über server.website.de:8080
OK.

im eigenen Netz über die Adresse server.website.de:8080 keinen Zugriff habe
Was passiert statt dessen? Nichts wäre ein falsche Antwort face-smile

und die Seite nicht gefunden wird.
Was wird stattdessen gefunden? Nichts wäre auch hier die falsche Antwortface-smile

Irgendetwas passiert bei dir, sollen wir das durch ein Ratespiel herausbekommen?

Greife ich von Außerhalb über diese Adresse auf Owncloud zu funktioniert es.
Hattest du schon erwähnt.

Über die IP des Servers im Netzwerk 192.168.190.5:8080 ist Owncloud intern erreichbar.
OK.

Ich vermute das es evtl. mit der Firewall zu tun hat
Und ich vermute dein Router hat damit zu tun. Was ist das für ein Router und kann oder beherscht er Hairpin NAT oder auch Hairpinning NAT oder Loopback NAT genannt (es gibt noch weitere Begriffe dafür)? http://en.wikipedia.org/wiki/Hairpinning oder gar hier https://forum.telekom.de/foren/read/service/dsl-festnetz/speedports/spee ... oder http://networkingforintegrators.com/2013/02/hairpin-nat-or-how-to-use-y ... oder http://www.heise.de/security/artikel/Angepinnt-271004.html. Weitere Quellen kannst du nun selbst finden.

Ob dein uns unbekannter Router dies kann? Wohl nicht. Ober er es können muss? Nein. Es gibt keine RFC die dies für eine Router fordert, somit ist es ein Merkmal das ein Hersteller ein- und ausbauen kann wie er es möchte. Ob jeder Router Hersteller darauf hinweist? Nein.

Hairpinning ist in http://tools.ietf.org/html/rfc5128 behandelt.

Ich weiß nur nicht warum
Nun, welche IP wird dir genannt wenn du ein "ping server.website.de" machst? Deine Interne IP oder deine Externe IP? Ist es die Externe IP, dann nutze Split-DNS. Mach in deinen DNS Server (sofern du eine verwendest) einen Eintrag für den Namen der zu deiner Internen IP führt. Kein eigenen DNS Server? Ein Raspberry PI mit DNSMASQ löst dein problem sofort. oder du verwendest tatsächlich die Hosts Datei deiner (unbekannten) Clients (Windows, Linux, OSx, OS/2, xBox, PS2, eierphone und eiertablett, Android usw.usw.usw.) und trage dort deinen Server ein. Sei gewarnt, die Hosts datei ist kein sicherer Ort und kann vom OS überschrieben werden (ohne dich zu Informieren oder zu fragen). Einen DNS server ist die bessere Wahl.

Ist es deine Interne IP die gelifert wird, stimmt etwas mit deinen Routing nicht.

und wie ich es erreich kann das der Server Intern über beide Adressen erreichbar ist.
Router nutzen der Hairpinning kann oder Split DNS (setzt einen DNS Server in dein Netz vorraus).

Gruß,
Peter

[Edit]
Mist. Da habe ich über 20 Minuten gebraucht die Infos zusammzutragen und die passneden Links zu finden, nur damit Dobby wieder erster wirdface-smile
[/Edit]
108012
108012 28.02.2014 um 18:25:16 Uhr
Goto Top
[Edit]
Mist. Da habe ich über 20 Minuten gebraucht die Infos zusammzutragen
und die passneden Links zu finden, nur damit Dobby wieder erster
wirdface-smile
[/Edit]

Aber wenn ich sonst immer so viel schreibe
passiert mir das sehr viel öfters, als Dir.

Außerdem hast Du natürlich auch recht,
denn Infos sind immer auch eine Bringschuld
und der TO hätte uns das alles auch schreiben
können!

Gruß ♪
Dobby♬
devil77
devil77 03.03.2014 um 15:03:21 Uhr
Goto Top
Vielen Dank für die Antworten und die Tips. Zum Einsatz kommt ein Netgear Prosafe wo sich nach intensiver Recherche im Herstellerforum zeigte, dass die Firmware dran Schuld war. Mit dem Update auf die neuste Version läuft alles wie es soll. Scheinbar stellt der Netgear Loopback automatisch zur Verfügung.
Pjordorf
Pjordorf 03.03.2014 um 15:42:54 Uhr
Goto Top
Hallo,

Zitat von @devil77:
Herstellerforum zeigte, dass die Firmware dran Schuld war.
Es ist Auslegungssache ob ein NAT Loopback oder Hairpin NAT oder Hairpinning ein Sichertsloch darstellt oder nicht, weshabl es von Hersteller zu Hersteller einer Firewall eben anders Interpretiert werden kann. Daher, nicht darauf verlassen das es eine grundlegend vorhandene Funktion ist die als zwingend gegeben sein muss. Es ist eine KANN Funktion. Ein kleiner Raspberry mit seine 2,4 Watt (ohne Monitor, Tastatur und Maus kann schon einen DNS Server mit DNSMASQ bereitstellen um diesen dann Split DNS machen zu lassen.

Gruß,
Peter
benene
benene 24.06.2014 um 23:07:59 Uhr
Goto Top
Hallo!

Ich finde einen Lösungsvorschlag mit dem eigenen DNS Server sehr elegant. Ich habe noch eine "konzeptionelle" Frage dazu:

Ich richte auf dem Rasperry den DNS Server mit bspw. DNSMASQ ein. Jetzt muss ich bei jedem Client im internen Netz diesen DNS Server eintragen, damit die Auflösung funktioniert, oder? Bspw. bei meinem Windows Phone und ich glaube dem iPad kann ich den gar nicht separat eintragen, da wird automatisch der Router (192.168.2.1) als primärer DNS Server angewählt.

Die Frage ist, kann ich das irgendwie umgehen (ist so ein Speedport 921V von der Telekom...). Ich kann, glaube ich, das DHCP ausschalten und das auch über den Raspberry laufen lassen. Hier ist eben auch wieder die Frage, dass die Clients das nicht automatisch mitbekommen.

Über Ideen wäre ich sehr dankbar face-smile

Grüße
Tim
Pjordorf
Pjordorf 25.06.2014 um 12:36:33 Uhr
Goto Top
Hallo,

Zitat von @benene:
Jetzt muss ich bei jedem Client im internen Netz diesen DNS Server eintragen, damit die Auflösung funktioniert, oder?
Richtig. Der DNS auf dein Raspberry PI macht ja sonst auch kein sinn.

gar nicht separat eintragen, da wird automatisch der Router (192.168.2.1) als primärer DNS Server angewählt.
Von alleine passiert da gar nichts. entweder machst du eine Manuelle IP vergabe oder eine per DHCP.

Die Frage ist, kann ich das irgendwie umgehen (ist so ein Speedport 921V von der Telekom...)
Kein eigenen DHCP? Domäne? Die Optionen (DNS usw.) was dein DHCP vergibt kannst du bei diesen dingern (Billig- bzw. Heimrouter) eben NICHT einstellen.

. Ich kann, glaube ich, das DHCP ausschalten
Ja.

und das auch über den Raspberry laufen lassen.
Ja.

Hier ist eben auch wieder die Frage, dass die Clients das nicht automatisch mitbekommen.
Wenn diese sich eine IP per DHCP beziehen, sollten diese es nicht weiter mitbekommen das sich der DHCP geändert hat. Normalerweise ist kein Eingriff an den Clients nötig. Und wenn du die Optionen im DHCP korrekt gesetzt hast läuft alles.

Gruß,
Peter