Hi,
Nachdem ich jetzt aber meinen Speedport abgeschafft und eine pfSense Instanz aufgesetzt haben
was ist denn jetzt "vor" der pfSense? Irgendwas muss ja da sein (Modem/Router). Hört sich ja erstmal schwer nach DNS-Rebind-Schutz an, vor allem, wenn es über die DynDNS-Adresse funktioniert, aber über den CNAME-Record nicht.
Über die DynDNS Adresse und auch die IP allerdings schon. Womit Portfreigabe usw. in pfSense ja korrekt sein sollten, oder?
Ja, das sollte soweit passen.
Jetzt stehe ich etwas an, woran der Fehler noch liegen könnte und bin auf der Suche nach Hilfe bzw. Unterstützung.
Fang erstmal bei den Basics an, das wäre jetzt im konkreten Fall erstmal die Namensauflösung. Wenn die Namensauflösung des CNAME korrekt auf die DynDNS-Adresse (und auf die korrekte IP) aufgelöst wird, dann kannst Du dort schon mal einen Haken hinter machen. Ja, ist doch, ja, wird zu 99,9% sowieso richtig sein, aber dennoch...
Wenn das durch ist und Du - was auch immer Du vor dem Router hast - auch entsprechend eingerichtet hast, geht es jetzt um die Frage "was" vor der pfSense ist. Du kannst einen Speedport (mit integriertem Modem) nicht einfach "nur" durch eine pfSense ersetzen, da fehlt dann noch etwas für die Signalumwandlung ("Modem", im Speedport (und anderen SOHO-Routern) ist sowas i.d.R. mit verbaut). SOLLTE es ein Modem sein, ist die nächste Anlaufstelle erstmal die pfSense, sollte es aber ein anderweitiger Router sein, wäre dieser erstmal die nächste Anlaufstelle.
So oder so kannst Du schon direkt bei der pfSense in die Logs schauen bzw. gehst Du erstmal hin und schaltest Logging für die Firewall ein, welche dafür sorgt, dass die Pakete auch an Deine Nextcloud dürfen. Danach öffnest Du das Firewall-Log (Live-Ansicht) und versuchst mal über den CNAME auf die Nextcloud zu kommen. Wenn da "nichts" im Log auftaucht (weder verworfene, noch akzeptierte Pakete), kommst Du noch nichtmals bis zur pfSense, ergo ist schon vorher irgendwo etwas schief gelaufen (Router/Modem).
Ich gehe aber mal eher davon aus, dass an der pfSense die gewünschten Pakete entsprechend verworfen werden... Die Nextcloud-Config besagt ja sicherlich bei den "trusted_domains", dass sowohl der CNAME, als auch die DDNS-Adresse beide gültig sind. Teste mal "beide" Zugriffe mit dem Handy (nur via LTE, nicht WLAN!). Ich vermute einfach mal, dass da dann beide Zugriffe funktionieren. Falls dem so ist, schau mal hier nach:
https://docs.netgate.com/pfsense/en/latest/services/dns/rebinding.html
Aber so oder so: 1) Kommt was an der Firewall an (dafür auch das Logging für die allow-Rule aktivieren), 2) wenn etwas verworfen wird, "warum"?