Cloud-Server Freigabe im lokalen Netzwerk nicht erreichbar

[ulihu]

Hallo.
Ich habe einen Seafile-Server aufgesetzt, der über Port 443 und 80 erreichbar sein soll. Dazu habe ich die Freigaben in meiner FB 7530 gesetzt.
Der Server ist aus dem Internet unter xy.myfritz.net auch zu erreichen. Passt.

Nur im lokalen Netzwerk ist er nicht erreichbar. seafile-test.xy.myfritz.net geht weder lokal noch aus dem Internet.
Ich habe mittlerweile auch folgende Adressen für den DNS-Rebind-Schutz eingetragen:
seafile-test
192.168.178.50
seafile-test.fritz.box
seafile-test.xy.myfritz.net

Aber das hilft auch nichts.
Seltsamerweise habe ich mit dem Tablet Zugriff, wenn ich im lokalen Netz mit VPN eine Verbindung aufbaue. Die VPN-IP ist ausserhalb des Adressbereiches des DHCP-Servers. Wahrscheinlich geht es deswegen.
Aber das ist keine gute Lösung für mich, weil das mit dem PC nicht funktioniert.
Weiß jemand, ob die Einträge im Rebind-Schutz passen?

 

[blurrrr]

seafile-test.xy.myfritz.net geht weder lokal noch aus dem Internet.

Hi, sollte es nicht einfach "nur" xy.myfritz.net sein?

 

[ulihu]

Habe ich auch schon ausprobiert. Das geht nur von extern.

 

[blurrrr]

Nö, das sollte eigentlich auch von intern gehen und xy.myfritz.net wäre (meiner Ansicht nach) erstmal richtig, da ich - kann mich aber auch irren - nix davon weiss, dass es was wie <hostname>.xyz.myfritz.net gibt. Dazu noch die korrekten Portfreigaben (v4) + Rebindschutz und fertig. Alternativ bei v6 müsste der DynDNS-Record halt "direkt" auf den Seafile-Host zeigen und es müsste eben eine passende Portfreigabe erstellt werden.

Vielleicht erstmal wie folgt:

1) Hast Du nur IPv4, IPv6 (+ eingeschränkt IPv4), oder Dualstack (IPv4+IPv6) am Deinem Internetanschluss?
2) Der Eintrag xy.myfritz.net wird vermutlich nur auf den Router zeigen, was bei IPv6 schon nicht passt. Schau Dir mal die am Router verfügbaren IP-Adressen an (v4+v6) und kontrolliere wie nslookup xy.myfritz.net, ob die IP-Adressen - welche dann angezeigt werden - auch zu den IP-Adressen passen, welche Dein Router Dir anzeigt.
3) Dazu noch die Seafile-Konfiguration selbst, was hast Du dort als FQDN eingetragen?

Ansonsten bleibt noch zu sagen:
1) Wenn was nicht geht, immer in die Logs schauen(!), es ist ein himmelweiter Unterschied, ob die Pakete am Zielhost ankommen (und nicht bearbeitet werden aufgrund einer Fehlkonfiguration dort), oder ob die Pakete erst garnicht am Zielhost ankommen.
2) "Geht nicht" ist dabei auch nicht sonderlich zielführend, denn "irgendeine" Form von Feedback wirst Du bekommen. Sei es in Form einer Fehlermeldung, gar keiner Meldung, oder z.B. einem Timeout. Da wäre es schon sinnvoller, wenn man - je nach Konstellation - etwas genauer beschreiben würde, was nun genau nicht geht und welche Fehlermeldung dabei herum kommt

 

[Barungar]

nix davon weiss, dass es was wie <hostname>.xyz.myfritz.net gibt.

Die gibt, es wenn man sie explizit anlegt... das sind sogenannte MyFritz-Freigaben.

 

[blurrrr]

Dank für die Info @Barungar

 

[ulihu]

Ich habe nun nslookup ausgeführt:

nslookup xy.myfritz.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
Name:   xy.myfritz.net
Address: 84.152.198.152
Name:   xy.myfritz.net
Address: 2003:c1:2fff:xy:464e:6dff:fec6:43a

und für den seafile-server:

nslookup seafile-test.xy.myfritz.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
Name:   seafile-test.xy.myfritz.net
Address: 84.152.198.152
Name:   seafile-test.xy.myfritz.net
Address: 2003:c1:2f35:xy:be24:11ff:fe4c:aee7

Wenn ich über das Internet oder lokal seafile-test.xy.myfritz.net eingebe,
erhalte ich im Browser:

Beim Verbinden mit seafile-test.xy.myfritz.net trat ein Fehler auf. Die Gegenstelle meldet, dass sie auf einen internen Fehler gestoßen ist.


Fehlercode: SSL_ERROR_INTERNAL_ERROR_ALERT

• Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.

Es gibt im Heimnetz nur den Host-Namen seafile-test mit der IPv6 2003:c1:2f35:xy:be24:11ff:fe4c:aee7

 

[blurrrr]

seafile-test.xy.myfritz.net

Also das sieht zumindestens schon mal von der v6 soweit richtig aus (entspricht nicht der Fritz!Box-IP).

SSL_ERROR_INTERNAL_ERROR_ALERT

Besagt allerdings, dass es ein Problem mit der Verschlüsselung gibt und das wiederum ist ein Problem mit dem angesprochenen Host. Wie verhält es sich, wenn Du den FQDN (seafile-test.xy.myfritz.net) mal ohne SSL ansprichst (http://seafile-test.xy.myfritz.net), oder findet da schon direkt eine automatische Umleitung auf https statt?

EDIT: Ist ggf. noch irgendwas vor der Seafile-Instanz, z.B. ein Reverse-Proxy? Wie verhält es sich, wenn Du die Instanz lokale via https ansprichst? Theoretisch sollte dort ein Zertifikatsfehler auftauchen, welchen man aber i.d.R. einfach akzeptieren kann und somit Zugriff auf die Instanz bekommt (auch wenn dem Zertifikat vom Zertifikatsspeicher des Computers her nicht automatisch vertraut wird).

 

[Barungar]

Auf welchen Hostnamen ist denn Dein SSL-Zeritfikat ausgestellt?! Das könnte nämlich in die Richtung gehen.
Das Du nämlich den Host unter einem "unerwarteten" Namen ansprichst.

 

[ulihu]

Ja, Ihr habt da vielleicht Recht. Das Zertifikat für xy.myfritz.net ist von der FB erstellt und das andere ist von caddy. Einem Webserver, der von seafile mitgeliefert wird und SSL Zertifikate von Letsencrypt anfordern bei der Installation.
Beider Zertifikate sind auf xy.myfritz.net ausgestellt.
Beim Zugriff aus dem Internet gibt es auch keine Fehlermeldung.
Kann es sein, dass beim lokalen Zugriff das Zertifikat von seafile-test erwartet wird und das von der FB geliefert wird?
Müsste ich seafile-test nochmals neu installieren und als host seafile-test.xy.myfritz.net für die Erstellung des Zertifikats angeben?

 

[blurrrr]

Das Zertifikat sollte auf jeden Fall auf den FQDN ausgestellt sein, welchen Du namentlich ansprichst.

Müsste ich seafile-test nochmals neu installieren und als host seafile-test.xy.myfritz.net für die Erstellung des Zertifikats angeben?

Wenn Deine Seafile-Instanz schon mit Daten befüllt ist, wäre das wohl ein grösserer Umstand, falls nicht, wäre das wohl die einfachste und schnellste Variante.

Beider Zertifikate sind auf xy.myfritz.net ausgestellt.

Das Zertifikat gilt dann aber nur für den entsprechenden Hostnamen und xy.myfritz.net sollte auf die Fritz!Box zeigen. Via IPv4 kannst Du dann zwar eine Portweiterleitung machen, da ist die Fritz!Box-IP auch der korrekte Ansprechpunkt, aber der Hostname stimmt dann nicht. Von der DNS-Auflösung passt das ja soweit bei Dir (zumindestens auf den ersten Blick). Halt Dich einfach fern von anderweitigen FQDNs und bleib bei dem, den Du dafür nutzen möchtest ("seafile-test.xy.myfritz.net") und das gilt auch für die Zertifikate der Seafile-Instanz.

 

[ulihu]

Die Lösung ist tatsächlich, seafile-test.xy.myfritz.net neu aufzusetzen, weil dann auch das Zertifikat genau auf seafile-test.xy.myfritz.net ausgestellt wird.
Herzlichen Dank an Euch für die Denkanstöße - wäre ich selbst nicht drauf gekommen...

 

[blurrrr]

Gerne, schön zu lesen, dass es nun funktioniert und danke für's Feedback