freakms
Goto Top

Lokale Nextcloud über Openvpn

Hallo zusammen,

ich hänge nun schon länger an folgendem Problem: Die Nextcloud ist wenn ich mit openvpn verbunden bin, nicht über die externe Domain xx.domain.de erreichbar

Raspberry a 192.168.178.x (eingesetzt als reverse proxy und openvpn server)
Raspberry b 192.168.178.x (eingesetzt als Docker oder Webserver)

Nextcloud auf Raspberry b , virtual Host über Apache2 xx.domain.de

Was funktioniert:
Externer Zugriff über Domain xx.domain.de , kein Problem auf die NC zuzugreifen. Auch funktioniert der lokale Zugriff über 192.168.178.xx:44443 auf die Nextcloud.

Jetzt kommts aber:

Client a --> Openvpn Verbindung über xxx.domain.de --> Raspberry a; Zugriff über 192.168.178.xxx funktioniert, egal ob die Route für die Fritzbox eingestellt ist oder nicht. Client A bekommt eine IP Adresse aus dem Openvpn Pool zugewiesen; 10.8.0.x/24

Ich habe schon die Route zwischen dem Openvpn Netz und dem der Fritzbox geschaltet und umgekehrt, habe mit trusted_domain in der NC Config gearbeitet (10.8.0.*)....

Wo ist mein Denkfehler?...

Ich möchte gerne Vermeiden über VPN im selben Subnetz zu sein.

Vielleicht kann mir ja jemand helfen. Vielen Dank im Voraus

Content-Key: 583180

Url: https://administrator.de/contentid/583180

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 29.06.2020 aktualisiert um 17:59:21 Uhr
Goto Top
Moin,

du scheiterst daran, das deine Fritzbox so etwas nicht unterstützt. Jede bessere firewall ließe sich mit splitt DNS oder hairpin NAT konfigurieren. Die Fritte kann dies leider nicht.

Von intern wirst du über die Domäne auch nicht drauf zugreifen können. Was anders passiert über OpenVPN ja eigentlich auch nicht.
Sollte es anders sein, müsste sich bei der Fritte etwas geändert haben.

Über OpenVPN solltest du aber die IP des NC Servers aufrufen können wenn deine route(n) stimmen.

Gruß
Spirit
Mitglied: freakms
freakms 29.06.2020 um 19:20:02 Uhr
Goto Top
aloha,

doch doch, wenn ich intern arbeite (also nicht über vpn) kann ich ganz normal meine Domain nutzen, auch für die Desktop App.

Die ip des NC Servers bekomme ich auch.
mhh...wenn ich das möchte komme ich wohl doch nicht drum rum in den selben IP Kreis zu gehen...na mal sehen.
Mitglied: erikro
erikro 29.06.2020 um 19:29:49 Uhr
Goto Top
Moin,

kannst Du die IP vom Client a aus anpingen? Wenn nein, wie sehen denn die Routing-Tabellen auf Client a und auf der PI aus?

Liebe Grüße

Erik
Mitglied: freakms
freakms 29.06.2020 um 19:47:57 Uhr
Goto Top
welche ip meinst du denn? Die von der Nextcloud? ...ja, auch die von openvpn. Also ich habe in der Fritzbox eine statische Route für das Netz des Openvpn eingerichtet, mit Gateway des Rasp1 im lokalen Netz, quasi sinngemäß du findest das netz 10.8.0.x über die 192.168.178.x(rasp a).

Umgekehrt entsprechend für das andere Netz.
Mitglied: erikro
erikro 29.06.2020 um 19:55:03 Uhr
Goto Top
Zitat von @freakms:

welche ip meinst du denn? Die von der Nextcloud? ...ja,

Dann sind die Routen richtig. Sonst könntest Du nicht aus dem einen Netz in das andere Netz pingen.

Du versuchst also mit

https://192.168.178.x:44443 #ist das nicht eine Vier zu viel? Oder irre ich mich?

vom Client a aus die Nextcloud zu erreichen und das geht nicht?
Mitglied: aqui
aqui 29.06.2020 aktualisiert um 20:01:04 Uhr
Goto Top
Ich möchte gerne Vermeiden über VPN im selben Subnetz zu sein.
Das ist ja auch Quatsch und ist niemals der Fall. Der VPN Client bekommt immer eine Tunnel IP aus dem OVPN Netz.
Die Route auf der FritzBox ins interne OVPN Netz muss immer sein. Was du da mit "die Route zwischen dem Openvpn Netz und dem der Fritzbox geschaltet und umgekehrt" genau meinst verstehst vermutlich nur du selber. Allein das umgekehrt lässt leider vermuten das du routimngtechnisch da eher nach Trail an Error verfährst statt mal nachzudenken...
Aber egal. Alles was du zu dem Thema wissen musst steht hier im OVPN Tutorial:
Merkzettel: VPN Installation mit OpenVPN
Ob es nun im VPN Umfeld besonders intelliugent ist eine lokale .178.0er AVM Standard IP Adressierung zu wählen sei mal dahingestellt. Schlau ist das nicht gerade. Warum das so ist steht HIER.
Fazit:
Halte dich an das obige OVPN Tutorial, dann klappt das auch fehlerlos.
Für ein detailierteres Troubleshooting wäre die OVPN Server und Client Konfig wie immer hilfreich. So bleibt uns ja mal wieder nur die Kristallkugel. face-sad
ugriff über 192.168.178.xx:44443 auf die Nextcloud.
Wenn Port Verschleierung dann auch richtig und die Ephemeral Ports 49152 bis 65535 dafür nutzen ! 44443 ist mitten im Bereich der weltweit fest registrierten IANA Ports.
Ist aber Quatsch wenn man eh gesichert mit VPN arbeitet.
Mitglied: freakms
freakms 29.06.2020 um 19:59:36 Uhr
Goto Top
hehe, falsch verstanden.

Das funktioniert. Nein, da die Portrange bis einschließlich 65535 gehen, ist 44443 noch in der Range drin ;) den Port kann man ja, entweder beim Docker oder in seinem Webserver als Port für den virtuellen Webhost frei definieren.

Ich kann nur nicht mit einer 10.8.0.x Adresse (also per vpn verbunden) die Nextcloud über xx.domain.de erreichen.

Ich könnte auch die lokale Adresse nehmen, hat aber den Nachteil, dass ich dann zwei Nextcloud Konten in der App benötige. Denn einige Netze lassen kein VPN zu.

Und es wäre dann scharmanter, wenn ich ein Konto verbinden kann, und sowohl per VPN als auch in einem anderen Netz einfach über die externe Domain zugreifen kann.
Mitglied: aqui
aqui 29.06.2020 aktualisiert um 20:04:41 Uhr
Goto Top
https://www.duden.de/rechtschreibung/charmant

den Port kann man ja, entweder
Wenn dann aber auch intelligent und richtig ! Siehe oben !
ch kann nur nicht mit einer 10.8.0.x Adresse (also per vpn verbunden) die Nextcloud über xx.domain.de erreichen.
Das ist auch klar weil die FritzBox kein NAT Hairpinning supportet ! Dafür braucht es einen "richtigen" Router.
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Mitglied: erikro
erikro 29.06.2020 um 20:05:57 Uhr
Goto Top
Zitat von @freakms:
Ich könnte auch die lokale Adresse nehmen, hat aber den Nachteil, dass ich dann zwei Nextcloud Konten in der App benötige. Denn einige Netze lassen kein VPN zu.

Und es wäre dann scharmanter, wenn ich ein Konto verbinden kann, und sowohl per VPN als auch in einem anderen Netz einfach über die externe Domain zugreifen kann.

Verstehe ich das richtig: Die Nextcloud ist sowieso aus dem Internet ohne VPN erreichbar? Wozu dann der Aufwand mit dem VPN. Der Vorteil des VPN ist doch gerade, dass die Cloud dann nicht mehr aus dem Internet erreichbar ist. Einen anderen sehe ich nicht. Die Datenübertragung ist durch https hinreichend gesichert. Mehr Sicherheit kannst Du hier eher mit Clientzertifikaten erreichen. Das sollte auch in Netzen gehen, die kein VPN zulassen.
Mitglied: freakms
freakms 29.06.2020 um 20:10:47 Uhr
Goto Top
Ich möchte gerne Vermeiden über VPN im selben Subnetz zu sein.
Das ist ja auch Quatsch und ist niemals der Fall. Der VPN Client bekommt immer eine Tunnel IP aus dem OVPN Netz.

Das hängt ja allein Davon ab, wie du den VPN Server konfigurierst. Aber ja das macht man nicht....


genau meinst verstehst vermutlich nur du selber. Allein das umgekehrt lässt leider vermuten das du routimngtechnisch da eher nach Trail an >Error verfährst statt mal nachzudenken...

Glaube mir, das ich vorher über das "routingtechnische" nachgedacht habe.

Ob es nun im VPN Umfeld besonders intelliugent ist eine lokale .178.0er AVM Standard IP Adressierung zu wählen sei mal dahingestellt. Schlau ist >das nicht gerade. Warum das so ist steht HIER.

Das ist in keinster Weise "intelligent", sonst macht man ja auch keine VPN Verbindung. Aber ich verstehe in der Tat nicht wie du darauf kommst das ich das gemacht habe?...Ich schrieb doch, VPN Pool: 10.8.0.x und lokales Netz...also Dein betiteltes "AVM Standard IP Adressierung" 192.168.178.x (ob ich da im 3. oktett eine 1, 2 oder 3 oder eine 256 (mal sehen wer es versteht) reinschreibt ist vollkommen egal).

Die Konfig poste ich gerne noch einmal.
Mitglied: 144144
144144 29.06.2020 um 20:43:12 Uhr
Goto Top
Zitat von @freakms:
Das hängt ja allein Davon ab, wie du den VPN Server konfigurierst. Aber ja das macht man nicht....
Natürlich kann man das so konfigurieren, es wird aber immer zu Routing-Problemen führen. Deshalb ist das Quatsch.

Glaube mir, das ich vorher über das "routingtechnische" nachgedacht habe.
Sieht irgendwie nicht so aus ...

Mein Tipp: Nutze statt der öffentlichen Domain sowohl im LAN als auch im VPN eine lokale Domain, z.B. die, die die Fritzbox generiert. Dann brauchst du auch keine zwei Konten.
Mitglied: freakms
freakms 29.06.2020 um 20:52:29 Uhr
Goto Top
Ja die NC ist über das Internet per https erreichbar...genau das ist es ja...das funktioniert ja alles..Da ich aber eine VM nutze mit der ich eben z.b. von unterwegs auch mal den Rasp oder so konfigurieren möchte, würde ich halt gerne auch den Sync über ein Konto mit der Domain machen...und das eben auch über VPN ...nicht mehr und nicht weniger^^ Aber es wird wohl darauf hinaus laufen, dass ich zwei Konten verknüpfe auf ein Pfad und nutze dann über vpn die lokale IP und über Externe Netze die Domain.
Mitglied: 144144
144144 29.06.2020 um 20:55:59 Uhr
Goto Top
Und wieso nutzt du nicht einfach die lokale Domain, die die Fritzbox generiert (hostname.box)?
Mitglied: Spirit-of-Eli
Spirit-of-Eli 29.06.2020 um 21:28:34 Uhr
Goto Top
Zitat von @144144:

Und wieso nutzt du nicht einfach die lokale Domain, die die Fritzbox generiert (hostname.box)?

Wie soll die denn von außen erreichbar sein?
Dann müsste der TO ja immer per VPN zugreifen.
Mitglied: erikro
erikro 29.06.2020 um 21:36:28 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @144144:

Und wieso nutzt du nicht einfach die lokale Domain, die die Fritzbox generiert (hostname.box)?

Wie soll die denn von außen erreichbar sein?
Dann müsste der TO ja immer per VPN zugreifen.

Das ist es ja, was ich nicht verstehe. Wozu das ganze VPN-Gedöns, wenn die Cloud dann doch auch ohne erreichbar ist? Oder liege ich da falsch?
Mitglied: 144144
144144 29.06.2020 um 21:40:44 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Wie soll die denn von außen erreichbar sein?
Dann müsste der TO ja immer per VPN zugreifen.

Hatte das so verstanden, dass er entweder im LAN oder im VPN ist.
Mitglied: Spirit-of-Eli
Lösung Spirit-of-Eli 29.06.2020 um 22:17:13 Uhr
Goto Top
Zitat von @erikro:

Zitat von @Spirit-of-Eli:

Zitat von @144144:

Und wieso nutzt du nicht einfach die lokale Domain, die die Fritzbox generiert (hostname.box)?

Wie soll die denn von außen erreichbar sein?
Dann müsste der TO ja immer per VPN zugreifen.

Das ist es ja, was ich nicht verstehe. Wozu das ganze VPN-Gedöns, wenn die Cloud dann doch auch ohne erreichbar ist? Oder liege ich da falsch?

Ich denke was der TO möchte ist folgendes.

Die Cloud soll von extern und intern gleich erreichbar sein. (Klappt wegen der Fritte nicht)
Die Cloud soll über VPN ebenfalls normal erreichbar sein.

Alles andere ist eher herumgefrickel. Mit einem konfigurierbaren DNS Server wäre das kein Thema. Dann einfach die fqdn intern auf die IP vom pi auflösen.

Besser ist gleich eine vernünftige Firewall wie PfSense zu nehmen und Hairpin NAT auf den Portforwarding Regeln zu aktivieren. Läuft hier perfekt ohne jegliche Probleme.
Mitglied: freakms
freakms 30.06.2020 um 06:45:38 Uhr
Goto Top
Auch,

3 varianten, LAN, VPN oder öffentliches Netz ohne VPN. Und um da nicht einmal ein Konto mit lokaler IP für VPN und dann zusätzlich noch eins mit der Domain zu verbinden....abgesehen davon sind die Teilen Links dann auch mit einer lokalen IP...ja ich könnte auch einen Host Eintrag setzen, das ist mir durchaus bewusst
Mitglied: freakms
freakms 30.06.2020 um 06:47:57 Uhr
Goto Top
Ja, ich habe auch schon mal überlegt mir ne kleine Sophos Firewall reinzustellen, da ich aber gerade umzugsbedingt von Kabel auf DSL wechseln musste und aktuell im Raum steht ob hier bald mit Glas versorgt wird, möchte ich ungern entsprechendes Geld ausgeben.

Ich möchte eh den PI Hole wieder ins leben rufen, ich glaube damit kann ich dann das Vorhaben umsetzen. Da habe ich imho auch die Möglichkeit DNS Zeiger zu setzen.
Mitglied: freakms
freakms 30.06.2020 um 06:48:40 Uhr
Goto Top
Spirit-of-Eli hats geschrieben. Eine lokale Domain ist nicht von extern erreichbar....
Mitglied: jschneppe
jschneppe 30.06.2020 um 09:19:08 Uhr
Goto Top
Hallo,

In der theorie sollte das eigentlich auch mit der Fritte klappen.

aus dem iNet -> meine.next.cloud
aus dem www -> meine.next.cloud
aus dem VPN -> meine.next.cloud

allerdings sollte man dann auch dem Apache der Nextcloud das VPN Netz bekannt machen oder aber alterntiv evtl. blocked Ports aus dem VPN Netz ins www freischalten.

Ich hatte das Problem gelöst indem ich auf dem Nextcloudsystem ein DDNS Client Installiert hatte und da mein Anbieter für meine Domain auch DDNS adressen auf der eigenen Domain anbot war das super, vorteil hierbei ist, solange die Nextcloud eine IP via DHCP bekommt und mit demInternet verbunden ist, kannst du Sie überall hinstellen

Beste Grüße
jschneppe
Mitglied: freakms
freakms 01.07.2020 um 07:35:44 Uhr
Goto Top
Da hast du recht, ich nutze sie allerdings lieber in meinem büro zuhause daher kein ddns client, sondern über ddns der fritte.

Ich es hat auch mal geklappt. Ich vermute im nachhinein auch tatsächlich, dass es mit dem Apache des Docker containers zu tun hat. Als es damals klappte, hatte ich den apache auf dem rasp02 laufen und nicht als docker...

Ich habe es jetzt aber so gelöst, das ich in meinem pihole, einfach ein Local DNS Record auf meinen reverse Proxy gesetzt habe

also client a(lokales netz 192.168.178.x) --> "xx.domain.de" --> DNS Record auf rasp01 (lokales Netz 192.168.178.x) - Nginx listening host für xx.domain.de --> Proxy Pass auf rasp02

somit klappt es und hat den vorteil, dass ich intern freigaben dann trotzdem mit dem externen Domain String machen kann und ich intern natürlich deutlich schnellere upload raten habe.

Danke allen die sich beteiligt haben

/solved
Mitglied: Spirit-of-Eli
Spirit-of-Eli 01.07.2020 um 07:43:41 Uhr
Goto Top
Gut das es nun funktioniert. Die Info mit deinem Pihole wäre aber allerdings ganz gut am Anfang aufgehoben.
Mitglied: freakms
freakms 01.07.2020 um 09:57:08 Uhr
Goto Top
War auch erst in dem einen Kommentar drin. ... Hatte da gar nicht dran gedacht. Aber passt so face-smile