Selbstgebastelten File Server aus dem Internet erreichen, ohne Fehlermeldung "nicht sicher"...

[Barungar]

Ich möchte nur nochmal an den "seltsamen" Umstand erinnern, dass Du auf der Seite Deiner FritzBox gelandet bist und nicht auf Deinem File-Server... da sprechen alle Indizien dafür, dass das in diesem Moment eine IPv6-Verbindung war und der DynDNS AAAA-Record eben nicht auf den File-Server sondern auf die FritzBox zeigt.

Spricht wird der DynDNS-Name nach IPv4 aufgelöst, so kommst Du wegen der Portweiterleitung auf den File-Server, wird der DynDNS-Name jedoch nach IPv6 aufgelöst, so erscheint die Webseite Deiner FritzBox.

P.S.: Was da gut helfen kann sind "MyFritz-Freigaben" in Verbindung mit einem MyFritz-Namen, da kann man nämlich auch ganz einfach und elegant korrekte IPv6-Freigaben auf Geräte hinter der FritzBox machen.

 

[henryfatzke]

Also so in etwa wie auf dem Bild?

 

[blurrrr]

Schon, da muss dann bzgl. IPv4 die öffentliche IP des Routers (nur bei Dualstack, ansonsten wird es nicht funktionieren) und bzgl. IPv6 die öffentliche IP des Servers hinterlegt sein.

 

[henryfatzke]

So in etwa? Ja Dualstack hab ich...

 

[blurrrr]

Wenn die öffentliche IPv4 direkt auf dem Router terminiert und die angegebene IPv6-Adresse die öffentliche des Servers ist, dann sollte das so (meiner Meinung nach) passen und entsprechend auch funktionieren

 

[henryfatzke]

Muß ich bei "NetBIOS-Filter aktiv" und/oder "Teredo-Filter aktiv" etwas ändern und muß ich bei DNS-Rebind-Schutz
noch was eintragen?

 

[blurrrr]

NetBIOS dürfte bei der Kommunikation mit der Aussenwelt über Deinen angedachten Weg keine Rolle spielen und DNS-Rebind-Schutz wäre nur dazu da, wenn Du den Server innerhalb des Netzwerkes mit seinem öffentlichen FQDN (host.domain.tld) ansprichst. Letzteres könnte aber durchaus der Fall sein, von daher trägst Du diesbezüglich bei der Fritz!Box den öffentlichen FQDN (xxxxx.dnshome.de) des Servers ein.

 

[henryfatzke]

Und der "Teredo-Filter aktiv" spielt keine Rolle? So in etwa?

 

[blurrrr]

Jo, genau Teredo brauchst Du eher nicht, von daher dürfte das egal sein.

 

[henryfatzke]

Also in Opera und Chrome wird meine Seite mit XXX.dnshome.de korrekt angezeigt und als sichere Vebindung, im Firefox (eigentlich mein Standard Browser) funktioniert es gar nicht, da geht es nur mit https://109.xxx.xx.xx und dann wird mir wieder der "unsicher Fehler" angezeigt, kann es sein, das ich da was mit den Zertifikaten vermurkst habe, bzw. bei den Ausnahmen?

 

[blurrrr]

Könntest mal STRG+F5 drücken, damit sich der Firefox da nix aus dem Cache holt. Unter Windows auf der Eingabeaufforderung sollte ein "nslookup XXX.dnshome.de" eigentlich die korrekten Ergebnisse bringen (die anderen Browser schaffen es ja auch), von daher wird es ein Problem beim Firefox sein und da ist dann meist der Cache Schuld. Also einfach mal STRG+F5 drücken und schauen, ob es dann funktioniert

 

[Barungar]

@henryfatzke Ich denke mal, dass DU zwei IPv6 vergleichen kannst und daher im DynDNS und in der FritzBox bei der Freigabe die jeweils korrekte IPv6 des Servers steht. Mir ist auf den beiden Screenshot lediglich aufgefallen, das die Schwärzungen unterscheidlich groß sind... wobei mir die im DynDNS auffällig kurz für eine IPv6 vorkommt - da erscheint mir die in der FritzBox schon plausibler.

 

[henryfatzke]

Ich hab jetzt noch mal ein ns lookup gemacht und fotografiert...sorry, die schwärzungen hab ich einfach freihand so reingeknallt

 

[henryfatzke]

Sieht doch korrekt aus, oder sehe ich das falsch? Ich glaube ich installiere mal meinen Firefox ganz frisch um die Altlasten loszuwerden, vielleicht klappts ja dann auch mit der Adresse wieder so wie bei Opera und Chrome...

 

[the other]

Moinsen,
wie gesagt, den Abgleich wirst du schon selber schaffen, ob die globale IPv6 da auch überall korrekt ist...
Wenn dich einfach weiterhin die "Unsicherheitswarnung" bzgl Https und Zertifikat stört:
hast du denn mal geschaut, ob dein Browser auch die das Zertifikat ausstellende CA (Certificate Authority) kennt und diese dort auftaucht?
Kurz (und sehr oberflächlich) ausgeholt: du benötigst für HTTPS ein Zertifikat, mit dem sich dein Server als der ausweist, der er behauptet zu sein (etwa um Man in the Middle Angriffe zu vermeiden). Dieses Zertifikat wird von einer Zertifikateauthorität ausgestellt (CA). Wenn du nun die https Verbindung aufbaust, dann mag dein Server durchaus das korrekte Zertifikat übermitteln (also eigentlich alles ok), aber dein Browser sagt: Bäh! Ich kenn die Stelle nicht bzw ich akzeptiere die Stelle nicht, die das gelieferte Zertifikat ausgestellt hat.
Du bekommst idR neben dem Zertifikat für deinen Server dann auch eines für die zugehörende CA. Diese fügst du im Browser ein unter (Firefox):
Einstellungen > Datenschutz & Sicherheit > Zertifikate > Zertifikate anzeigen.
Hier dann zur Ansicht "Zertifizierungsstellen" wechseln und das Zertifikat importieren...damit sollte die "Achtung, der Server kann nicht beweisen, dass..." Meldung weg sein.
Wenn ich zB selbsterstellte Zertifikate von der eigenen CA (für den internen Gebrauch im LAN) nutzen will, muss ich zuvor meine CA dem Browser bekannt machen. Die großen CAs sind zum Teil bereits dort aufgeführt, mag aber sein, dass deine genutzte noch fehlt. Das wäre ein möglicher Grund für die weiter vorhandene Meldung...
Oder hab ich das aktuelle Problem falsch verstanden?