Vodafone EasyBox 805; Raspberry 2 als Webserver mit strato domain und dynDNS; ich lande auf Konfigurationsseite des Routers; fehlendes Puzzleteil Portmapping?

  • Wenn deine Dyndns Adresse nun im Browser aufgerufen wird, wird bei Strato ausschließlich die aktuelle IP abgefragt und somit an deinen Router auf Port 443 weitergeleitet.

    Genau, so hatte ich mir es gedacht. Aber wodurch kommt es dann zu Stande, dass ich ein mal auf der Konfigurationsseite des Routers lande und als "externer user" auf der angedachten Webpage?


    Thx

  • Dann musst du erst einmal verstehen, was dyndns ist.

    Auch, aber m. E. ist es für den TE viel wichtiger zu verstehen, was Hairpinning (NAT-Loopback) bei einem Router ist, denn er hat ja auch geschrieben:

    Quote

    Am Router gibt es dann die Portumleitung, diese Route sollte doch eigentlich für alle gleich sein egal global oder local netwerk.

    Hairpinning ist wenn ein Gerät im W/LAN (d. h. "local network") eines Routers, ein anderes Gerät (mit lauschendem Port) im W/LAN mit Hilfe der externen/öffentlichen IP-Adresse des Routers und den im Router weitergeleiteten Port, erreichen kann.


    EDIT:


    ... und dann kann ein evtl. dns-rebind-Schutz (neben dem Hairpinning) auch noch eine Rolle spielen, ob und wie (d. h. evtl. zusätzliche Konfiguration) es geht oder nicht geht.


    Kann die VF-Box Hairpinning und dns-rebind-Schutz? Hairpinning eher nicht, oder?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Kann die VF-Box Hairpinning und dns-rebind-Schutz? Hairpinning eher nicht, oder?

    Das weiß ich nicht, da ich die VF Box nicht weiter kenne. Aber da die Box sehr eingeschränkt ist, vermute ich mal nicht.

    Ansonsten müsste die Verbindung ja an den pi weitergeleitet werden und nicht an den Router. Von außen scheint es ja zu funktionieren.


    //EDIT

    Da habe ich mir auch noch nie Gedanken drüber gemacht, weil es mit der Fritzbox kein Problem ist.

  • Ansonsten müsste die Verbindung ja an den pi weitergeleitet werden und nicht an den Router.

    Ja, aber das hat der TE nicht gewusst und evtl. auch nicht gewollt. Denn wenn man z. B. ein Smartphone hat, will man zuhause und weit weg von zuhause (d. h. im richtigen Internet), "identisch" zugreifen (d. h. nicht einmal mit der IP des PI und das andere mal mit der IP des Routers). Klar gibt es dafür auch Workarounds. ;)

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wird wahrscheinlich mit IPv4 sowieso nicht funktionierer ,(falls er keine eigene vm provider hat)

    ProviderNat, IPv4 Adressen werden von mehreren geteilt sind von aussen also nicht eindeutig erreichbar. mit IPv6 gehts, die sind eindeutig ( falls hwaddr SLAAC soieso)

  • Wird wahrscheinlich mit IPv4 sowieso nicht funktionierer ,(falls er keine eigene vm provider hat)

    Dann hast Du den Beitrag #16 in diesem Thread nicht gelesen. Dort schreibt der TE u. a. auch:

    Quote

    Ich habe jetzt zu meiner Überraschung festgestellt (daran hatte ich nicht gedacht), dass andere Benutzer die Webseite normal aufrufen können und nicht auf der Routerseite landen. Es hat also damit zu tun, dass ich die Webpage im Explorer aus dem local network besuche. Jedoch ist es so,

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ja, aber das hat der TE nicht gewusst und evtl. auch nicht gewollt. Denn wenn man z. B. ein Smartphone hat, will man zuhause und weit weg von zuhause (d. h. im richtigen Internet), "identisch" zugreifen

    Das ist mir schon klar.

    Meine Antwort in #20 bezog sich ja auch nur auf die Frage, warum auf dem Pi ein ssl Zertifikat erstellt werden muss, obwohl bei Strato ja eins existiert.


    An sonsten.

    Dadurch, dass ich mich von außen über das "richtige Internet" nur per Wireguard verbinde, nutze ich eh ausschließlich die Interne IP. Die DynDns brauche ich folglich nur für Wireguard.

  • ..., nutze ich eh ausschließlich die Interne IP. Die DynDns brauche ich folglich nur...

    Was bei einer FritzBox (die Du ja hast) kein Problem wäre, denn die FritzBox kann Hairpinning und dns-rebind-Schutz kann man (falls erforderlich) mit der FritzBox auch konfigurieren.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Was bei einer FritzBox (die Du ja hast) kein Problem wäre, denn die FritzBox kann Hairpinning und dns-rebind-Schutz kann man (falls erforderlich) mit der FritzBox auch konfigurieren.

    Schon, aber so brauche ich keine weiteren ports (443) öffnen. Ausserdem fühle ich mich mit Wireguard etwas wohler. Vor allem auch im öffentlichen Wlan.

  • Soweit ich weiß, muss Port 80 für LetsEncrypt erreichbar sein.

    Soweit ich weiß, reicht 443.
    Empfohlen werden von LE beide Ports aber wer z.B. vom Provider aus irgendwelchen Gründen Port 80 geblockt bekommt, kann auch nur mit 443 arbeiten.


    Nachtrag:
    @Gooseberry_314

    Zum generellen Problem (Login vom Router wird angezeigt):
    Du musst den Port des Routers von 443 auf nen anderen legen.
    Das ist bei den Fritzboxen genauso, denn wenn man da verschlüsselt zugreifen möchte, ist 443 vorgegeben.

    Wie man das bei VF ändert, weiß ich leider nicht, wird aber sicherlich auch leicht zu finden sein.
    Wenn Du eh nur intern auf Deinen Router zugreifst (Konfig), dann ist ja der verschlüsselte Port egal, Du kannst den ja auf was anderes setzen, wo Du Dir gut merken kannst.
    Intern brauchst Du ja auch nicht verschlüsseln und wenn Du von extern aus zugreifst, gibst Du den Port halt mit an.

    ;) Gruß Outi :D
    PIs: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Tests) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite)
    2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (noch ohne) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (Ubuntu Server 64 Bit) / Pi 400 (Bullseye 64 Bit) / 2x Pi Pico
    Platinen: Sense HAT / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT

    Edited 4 times, last by Outlaw: Nachtrag ().