Frage zu Port Freigaben und DNS-Rebind-Schutz

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
I

Informatix

Neuer User
Mitglied seit
1 Jul 2005
Beiträge
34
Punkte für Reaktionen
1
Punkte
8
Hallo,
ich habe hier ein Problem mit der Weiterleitung von Anfragen.
Situation:
In der FritzBox habe ich unter Port Freigaben meinen Server als Ziel für https (443) Anfragen eingestellt.
Erreichbar ist die FritzBox von aussen per Dyndns.
Die Adresse sieht so aus: subdomain.meinedomain.dyndnsanbieter.de
Bin ich außerhalb meines Netzes funktioniert die Weiterleitung und ich lande auf meinem Server.
Rufe ich aber die gleiche Adresse aus dem internen Netz auf, kommt die Info von der FritzBox das
der DNS-Rebind-Schutz die Weiterleitung verhindert hat.
Das ist soweit logisch, trage ich aber nun die o.g. Adresse als Ausnahme in die Liste ein, werde ich nicht an den Server
weitergeleitet, sondern es erscheint die Anmelde Seite der Fritzbox.
Es schaut so aus als ob die Port Freigaben bei Anfragen mit externen Adressen aus dem internen Netz nicht funktionieren.
Was muss ich einstellen damit externe Adressen die auf intern Systeme zeigen auch aus dem internen Netz funktionieren?

Danke und Grüße
 
Dafür brauchst du einen eigenen internen DNS Server, der die Auflösung auf die interne IP übernimmt.
 
Du hast sicher Recht, aber könntest du es bitte etwas näher erläutern, da ich es genausowenig verstehe.
Wenn die Adresse ausgenommen ist, müßte sie doch ganz normal nach außen in die große weite Welt weitergeleitet werden und somit über diesen Umweg von außen wieder wie eine externe Anfrage behandelt werden.
Somit dann nach meinem Verständnis eben langsamer, funktionieren sollte es aber dennoch für einen diesbezüglichen DAU wie mich.
Sonst wäre ja die Einstellung Ausnahmen eintragen zu können ziemlich witzlos und unnötig, wenn es dann doch nicht so funktioniert.
 
  • Like
Reaktionen: Informatix
Die Adresse subdomain.meinedomain.dyndnsanbieter.de löst danke DynDNS nach deiner IP Adresse auf, die du von deinem Provider erhalten hast. Die Fritz!Box erkennt aber, dass die Anfrage aus dem internen LAN kommt und interpretiert das, als wäre sie selbst gemeint.

Die Ausnahme über den Rebindschutz funktioniert nur dann, wenn du bei deiner Domain einen Eintrag auf eine IP in deinem lokalen Netz einrichtest.

server.dynsdns.com -> 192.168.178.10

Wenn du nun diese Adresse aufrufst, landest du dank ausgeschalteten Rebind Schutz auf der lokalen IP.
 
  • Like
Reaktionen: Grisu_
Das funktioniert (habe die Adresse erst mal in der hosts eingetragen)
Was dabei unschön ist das ich ja zwei DNS Server konfigurieren muss.
Jede Anfrage muss dann erst mal an den internen DNS weitergeleitet werden und erst dann gehts zum externen.
Somit dauert die Namensauflösung etwas länger.
Schöner wäre es wenn die FritzBox das intern händeln könnte, sie 'sieht' ja wer eigentlich angesprochen werden soll.
Ich werde es jetzt mal mit dem DNS probieren.
Danke für die Hilfe
 
chrsto schrieb:
server.dynsdns.com -> 192.168.178.10

Wenn du nun diese Adresse aufrufst, landest du dank ausgeschalteten Rebind Schutz auf der lokalen IP.
Zum Vergrößern anklicken....
Danke für die Erklärung, verstehe ich soweit auch, kann es aber nicht nachvollziehen.
Welchen Nutzen hätte dann ein solcher Ausnahmeeintrag?
Auf der Domain kann ich ja keine private Adr. eintragen, die kennt dort doch niemand, damit sie geroutet werden könnte.
Irgendwie steh ich da ziemlich auf der Leitung und sehe absolut keinen Nutzen in der Ausnahmetabelle, wo man die dann sinnvoll anwenden könnte.
 
Zuletzt bearbeitet:
Das ist dann sinnvoll (und gleichzeitig gefährlich, daher der Rebind Schutz), wenn du im internen Netz keinen DNS Server betreibst, deinen internen Server aber trotzdem über die Subdomain server.dyndns.de erreichbar machen, dafür aber nicht alle hosts Dateien deiner Clients anfassen möchtest.
 
  • Like
Reaktionen: Grisu_
Ich habe in meiner DDNS-Hauptdomain auch einige Subdomains, die auf die interne IPv6 meiner Geräte zeigen. So kann ich das (Wildcard-)Zertifikat dafür z.B. auch intern nutzen. Mit der Fritzbox als DNS-Server muss man dafür aber den Rebind-Schutz aushebeln, weil sonst die Fritte den Namen nicht auflöst.
 
Ok, das ist mir dann etwas zu hoch, bleibt für mich als Fazit, daß es eine für mich nicht nutzbare Funktion bleibt, muß ich mir also keine weiteren Gedanken darüber machen.
Dachte die FB macht ja das DNS für die internen Geräte bzw. leitet es an externe weiter wenn öffentliche Adresse, somit ist ja immer irgendwie ein DNS vohanden, sonst könnte man ja keine URLs eingeben.
Kurzum fehlt mir das Verständnis oder Anwendungsgebiet für Ausnahmeeinträge. Wird es sicher geben, nur eben außerhalb meines wohl sehr eingeschränkten Verwendungszwecks.
 
Das Problem ist grundsätzlich ein IPv4/IPv6 Problem. Über IPv4 funktioniert die Weiterleitung der Box. Über IPv6 muss man aber den Server direkt ansprechen, nicht die Box, da der Server eine eigene öffentliche IPv6 hat. Spricht man die Box an, landet man auf der Webseite der Box.

Hier erfolgt der Zugriff von außen offensichtlich über IPv4, aus dem Heimnetz über IPv6.
 
Hallo, habe es gelöst!
Ja es ist ein IPv6 'Problem' bzw. logisch wenn man es erst einmal verstanden hat.
Ich hatte den DynDNS auf meiner FritzBox eingericht, somit hat die Fritzbox IHRE IPv4 und IHRE IPv6 Adresse dem DynDNS Anbieter mitgeteilt.
Bei IPv4 greifen die Portfreigaben, bei IPv6 wird das Zielsystem aber direkt angesprochen.
Somit wurde bei einem Request, mit abgeschalteten DNS-Rebind-Schutz die IPv6 Adresse der Fritzbox angesprochen - kann nicht funktionieren!

Die Lösung ist recht einfach, auf der Fritzbox den DynDNS Dienst abstellen und auf dem Server einrichten.
Dann wird von diesem nach wie vor die Public IPv4 Adresse dem DynDNS Anbieter mitgeteilt ABER die IPv6 Adresse des SERVERS!!!
Damit funktioniert nun der interne als auch der externe Zugriff auf die Webseite über IPv4 UND IPv6

Eigentlich logisch, wenn man es weiß.....
 
Informatix schrieb:
auf der Fritzbox den DynDNS Dienst abstellen und auf dem Server einrichten.
Dann wird von diesem nach wie vor die Public IPv4 Adresse dem DynDNS Anbieter mitgeteilt ABER die IPv6 Adresse des SERVERS!!!
Zum Vergrößern anklicken....
Das funktioniert, ja. Aaaaaaber nur für ein einzelnes Gerät.
Mit der Fritzbox hast Du jedoch die Variante, via AVM-DDNS-Server "MyFritz" alles an IP-Adresse (IPv4 UND IPv6) für jedes angelegte Gerät in Deinem Netzwerk aufzulösen.
Du solltest Dich mal damit beschäftigen, dann kannst Du verschiedene Dienste innerhalb Deines Netzwerkes von außen auch per IPv6 im Zugriff zu haben.
 
Jaein, auf meinem Server habe ich einen Reverse-Proxy am laufen. Mit dem kann ich auch jedes Gerät erreichen.
Mit dem AVM-DynDNS wäre das auch möglich.
Ist halt ein anderer Weg.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 674 (Mitglieder: 16, Gäste: 658)

Neueste Beiträge

Statistik des Forums

Themen
246,149
Beiträge
2,246,964
Mitglieder
373,668
Neuestes Mitglied
Stripi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück