Hallo zusammen Ich hab einige Services via Port Forwarding gegenüber dem Internet exposed. Das funktioniert soweit so gut. CGNAT scheint kein Problem zu sein. Wenn ich mit meinem Handy im 4G/5G Netz bin, kann ich problemlos auf die Services zugreifen. Jedoch klappt es nicht, wenn ich im lokalen WLAN bin. Jegliche Verbindungen vom WLAN aus über die externe IP geht nicht. Ist das so normal, wird das bewusst nicht gerouted? Gibt es da irgendwelche Workarounds? Aktuell habe ich es so gelöst, dass ich den Hostname im WLAN auf die interne IP (192.*) auflöse. Das funktioniert, jedoch nicht mit meinem Handy da ich dort NextDNS verwende.. Wäre froh um jeden Tipp..

Wir haben einen Testbuild 13.90.42 generiert, der folgendes Problem löst: Netzinterne Requests auf public IPs funktionieren nicht mehr Download Dieser Testbuild sollte das Problem in diesem Thread lösen. Beste Grüsse und danke für ein Feedback

Auf die externe WAN-IP des Routers kann man vom internen Netz (WLAN oder LAN) nicht zugreifen. Das ist in der Regel auch nicht nötig, denn im eigenen Netz kann man ja direkt auf die eigenen Devices zugreifen. P.S. Ich gehe nicht davon aus, dass du CGNAT hast, denn dann würde der externe Zugriff nicht funktionieren.

@hed Wundert mich schon, dass das sonst niemand stört.. In der Regel greifen wir ja über einen Hostname auf die Services zu.. in meinem Fall habe ich ein Wildcard CNAME DNS Alias auf meine *.internet-box.ch Adresse gemacht.. Wie löst ihr denn das? Ihr habt zb eine Nextcloud Instanz so exposed, Adresse zb nextcloud.example.ch. Und dann konfiguriert man auf dem Handy die Nextcloud App mit der URL.. und dann geht das nut ausserhalb des eigenen WLANs.. stört das sonst niemanden, bzw wie kann man das lösen?

@dnuevo Es stört (fast) niemand, weil 98% der Kunden (mich eingeschlossen) keine solchen Lösungen/Bedürfnisse hat und genau für diese Kunden ist die Internet-Box gebaut. Evtl. kann dir hier aber jemand weiter helfen, der eine ähnliche Anwendung wie du hat.

Hallo @dnuevo Auf meinen Android & Apple Gerät funktioniert es ohne Probleme. Ich habe für meine Domains CName gesetzt bei meinem Provider, diese lauten alle auf xy.internet-box.ch In der Nextcloud-App greife ich ganz normal auf den Dienst zu. Das einzige was weiter geleitet wird auf der IB 3 ist: Der Port welcher NC braucht, so wie die für den VPN-Dienst. Zusätzlich läuft ein Pi-Hole, dieser ist zuständig das die Zertifikate auch stimmen. Ich kann ohne Probleme zuhause im WLAN auf meine Geräte Zugreifen, sei es wenn ich denn Hostname oder die IP gruss Lorenz

@Lori-77 Hm, das ist mein Use Case.. Kann es sein, dass dein Pi Hole (der ja DNS macht) im WLAN die interne IP retourniert bei dir? Dann, wenn du im WAN bist (extern, zb Handy 4G) benutzt du den Standard Swisscom DNS, der die externe IP retourniert? So geht das.. ich hab jedoch eben seit Jahren das “Private DNS” auf dem Handy, also immer denselben DNS Server, kann dort nicht differenzieren.. Weiss jemand, *wieso* man intern im WLAN *nicht* über die WAN IP auf sich selbst connecten kann?

@hed schrieb: Auf die externe WAN-IP des Routers kann man vom internen Netz (WLAN oder LAN) nicht zu greifen… Bei mir geht genau das: im Handy im eigenen WLAN nur die externe IP eingeben die im Routermenu ersichtlich ist, und meine Nextcloud im eingenen Netz kommt. Allerdings mit der Reklamation, dass ein Zugriff über eine nicht vertrauenswürdige Domain passiert, und weiter komme ich so nicht. @dnuevo normalerweise löst man das mit einer ddns (entweder direkt mit dem ddns-Dienst von Swisscom, und/oder einem anderen; bei mir infomaniak, der auch in der IB3 konfigurierbar ist). Gebe ich im eigenen WLAN [https://meinedomain.ch:Weiterleitungsport](https://meinedomain.ch:Weiterleitungsport) ein, komme ich problemlos auf die Nextcloud; genau gleich, wie wenn ich im Mobilenetz bin. Aus dem internen Netz gehe ich aber meist direkt über die lokale IP des Nextcloudservers. Und ein pihole läuft auch, der macht dns, aber für nextcloud habe ich nichts konfigurieren müssen auf pihole.

Hallo @dnuevo Das einzige was auf dem Pi-Hole eingetragen ist, das der Hostname die Interne-IP-Adresse hat. Sonst ist nicht mehr auf diesem Installiert. Und wenn ich Intern mit der Internen IP darauf zugreife gibt es auch die Fehlermeldung wegen dem Zertifikat, aus diesem Grund habe ich ca. 4 Zertifikate welcher der Pi-Hole verwaltet. Dieser Prüft regelmässig ob sie erneuert werden sollen, und wenn ja kopiert er sie auf den NC usw… gruss Lorenz

@kaetho Bei mir geht genau das: im Handy im eigenen WLAN nur die externe IP eingeben die im Routermenu ersichtlich ist, und meine Nextcloud im eingenen Netz kommt. Ja genau das geht bei mir eben nicht.. komisch, dass das nicht einheitlich entweder geht oder nicht geht.. Das mit den Zertifikaten ist klar, dafür gibts genug Lösungen. Kann man das ev mit dem Support lösen oder an was kann es liegen, dass das bei gewissen Kunden geht und bei gewissen nicht?

@dnuevo welchen Softwarestand hast du auf dem Router? Ich habe die IB3 mit der 12.02.48 drauf https://www.swisscom.ch/de/privatkunden/hilfe/internet/firmware-aktualisieren-internet-box.html#tab=internetbox3

@dnuevo schrieb: @kaetho Bei mir geht genau das: im Handy im eigenen WLAN nur die externe IP eingeben die im Routermenu ersichtlich ist, und meine Nextcloud im eingenen Netz kommt. … Kann man das ev mit dem Support lösen oder an was kann es liegen, dass das bei gewissen Kunden geht und bei gewissen nicht? @dnuevo Der Swisscom-Support wird und kann dich nur bei 08:15-Lösungen unterstützen. Für alles was darüber hinaus geht (externe FW, eigene Server, Nextcloud, NAS, VPN, etc….), musst du selbst eine Lösung finden z.B. mit Unterstützung anderer User hier im Forum.

Zugriff auf eigene externe IP vom WLAN aus

5018

Ich glaube, dass da ein Fehler in der SW-Version ist.

@JonasB kannst Du das mal anschauen? Glaube, dass das in R13 wieder geht.

dnuevo

@Tux0ne

Nein, es NAT Reflection geht auf dem Handy auch ohne Private DNS nicht.. im ganzen LAN ging es nicht, deshalb die Overrides im LAN internen DNS..

Ich denk mein Setup ist typisch, Port 443 ist von der IB3 auf einen Host geforwarded, das wärs von dieser Seite.. und aus dem WAN her (zb 4g mit dem Handy) klappt auch alles wunderbar.. auch WLAN intern mit dem Remapping auf lokale die IP super.

Aber eben nicht mit externer IP aus dem WLAN raus, was das Private DNS breaked..

Tux0ne

Ok. Es wird ja angedeutet das es ein Software Fehler sein könnte.
Wäre schon das zweite mal in diesem Bereich in dem der Kunde einen “Ausfall” hätte.

Eventuell schaust du dir mal eine eigene Lösung mit einem pf Router an und machst nur eine “DMZ” auf diesen. Dann bist du von diesen Fehlern befreit. + es hätte da viele spannende Projekte da dein Homelab auf Vordermann zu bringen. Zügle deine DNS Geschichten darauf. Setze dein Nextcloud in eine echte DMZ usw.

XRY441

@dnuevo

Ich habe das gleiche Problem wie von dir beschrieben.

Um auch unterwegs vom Werbefilter meines Pi-holes profitieren zu können, leite ich meine DNS-Anfragen über DoT an meinen Raspi im Heimnetz. Auf dem Handy gebe ich unter “Private DNS Server” den Hostnamen *.internet-box.ch an. Der Hostnamen wird dann auf die externe IP meiner IB aufgelöst.

Bis vor kurzem hat dies auch tadellos funktioniert. Egal ob über das Handynetz oder das eigene WLAN wurde der Verkehr über die externe IP ins interne Netz durchgeschleust.

Seit einigen Wochen ist aber mein “Private DNS Server” nicht mehr zu erreichen, wenn zu Hause das Handy mit dem WLAN verbunden ist. Den genauen Zeitpunkt, seit wann das Problem auftritt, kann ich dir nicht sagen, weil ich mit dem Handy selten das eigene WLAN verwende.

Da das verhalten aber relativ neu ist, vermute ich, dass sich beim Firmware-Update der IB ein Bug eingeschlichen hat. Aktuell ist bei mir 12.02.48/12.02.62 drauf. Mit der vorherigen Version 11.xx hat es noch funktioniert.

kaetho

@XRY441

du verwendest auch zu Hause im eigenen WLAN auf dem Handy VPN?

Ich habe meinen Raspi mit pihole im Netz. Die IP des piholes ist in der IB3 als DNS-Server eingetragen, das Ganze ist hier beschrieben.

- bin ich mit dem Handy zu Hause im WLAN, greift pihole problemlos, VPN ist dann nicht aktiv, weil nicht nötig -> ich bin ja schon im Heimnetz.

- bin ich unterwegs im LTE-Netz und will auf dem Handy vom Werbeblocker profitieren, dann schalte ich auf dem Handy VPN ein, das auf die IB3 geht.

Das funktioniert auch mit der 12.02.48.

XRY441

kaetho

Deine Lösung mit dem VPN funktioniert. Habe ich auch versucht. Aber es ist nicht was ich verwende.

Wenn man sich von ausserhalb mit VPN ins Heimnetz verbindet, geht der gesamte Datenverkehr dort drüber. Da mein Upload zu Hause ziemlich bescheiden ist, bremst mich das zu stark aus. Darum habe ich damals nach einer Alternative gesucht.

Auf Android-Handys (ab Android 9) gibt es die Möglichkeit den DNS-Server zu wählen. Bedingung ist, dass der Server DoT (DNS over TLS) unterstützt. Meinen Raspi, auf dem auch Pi-hole läuft, habe ich entsprechend konfiguriert, sodass er DoT-Anfragen bearbeiten kann. In der IB3 muss der dazugehörige Port an den Raspi geforwarded werden.

Auf dem Handy muss der Name des Servers eingetragen werden. Da ich den DDNS von Swisscom verwende ist es bei mir irgendetwas.internet-box.ch

Private DNS mode.png

So werden sämtliche DNS-Anfragen vom Handy, egal aus welchem Netz (LTE, eigenes WLAN, fremde WLANs), immer an diese Adresse geschickt, ohne etwas zu ändern bei einem Netzwechsel.

Damit hat man unterwegs die volle Geschwindigkeit des LTE-Netzes, verschlüsselten DNS-Verkehr (zumindest zwischen Handy und Raspi) und den Filter des Pi-holes.

Hinter dem hostname verbirgt sich aber die externe IP meiner IB. Das heisst, wenn ich mein Handy im eigenen WLAN verwende geht die DNS-Anfrage vom Telefon (aus dem internen Netz) an die externe IP der IB und muss von dort wieder ins interne Netz geforwarded werden.

Das funktionierte bei der alten Firmware ohne Probleme, heute aber nicht mehr.

Im Moment schalte ich jeweils das “Private DNS” auf dem Handy aus, wenn ich zu Hause im WLAN bin. Dann greift die Pi-hole genau wie bei dir.

dnuevo

@XRY441

interessant, dass ein FW Update das nun verhindert.. hoffen wir, dass das m gefixed wird.. kann man irgendwo Issues reporten?

Ich hab bzgl Private DNS dasselbe Problem, jedoch ist mein Provider dort extern (NextDNS). Und VPN ist auch bei mir keine Option, zu langsam..

Ich hab das Ganze nun so gelöst, dass ich bei Hetzner einen kleinen Cloud Server (VPS) gestartet habe, der macht Reverse Proxy auf die *.internet-box.ch Adresse und macht die TLS Termination. Kostet zwar 3 Eur/Monat, aber zumindest ist mein Problem gelöst.. Traffic zwischen dem RP und meinem Homelab ist auch TLS entcrypted inkl. Client Certs

Wäre aber gut zu wissen, ob und wann diese Regression in der IB3 FW mal korrigiert wird.. ausser, das wurde bewusst entfernt..

XRY441

@dnuevo

Wäre aber gut zu wissen, ob und wann diese Regression in der IB3 FW mal korrigiert wird.. ausser, das wurde bewusst entfernt..

Seit ein paar Tagen erreiche ich meine externe IP auch wieder aus dem internen Netz. Es scheint etwas korrigiert worden zu sein. Ich habe meinerseits nichts geändert.

DorotheaT

Hallo zusammen

Vielen Dank für diese Unterhaltung.

@XRY441: Konnte diese Antwort zur Lösung führen? Wenn ja, markiere doch bitte die Antwort als Lösung.

Danke und liebe Grüsse,
DorotheaT

XRY441

@DorotheaT

Hallo DorotheaT

Ich habe mich leider etwas zu früh gefreut. Es funktionierte zwar alles, wie erhofft, für einen Moment. Aber nach einem Neustart der IB3 war die externe IP wieder nicht mehr zu erreichen.

Nach mehreren manuell ausgelösten Reboots geht es aktuell gerade wieder. Ich erkenne aber kein Muster in welchem Fall es funktioniert oder nicht. Ohne an den Einstellungen etwas zu ändern, läuft nach einem Neustart manchmal alles einwandfrei, aber mehrheitlich eben nicht.

Daher ist es noch zu früh, die Sache als erledigt zu betrachten.

Freundliche Grüsse

XRY441

RaphaelG

Hallo @XRY441

Ich gehe davon aus, dass du die Sache in den letzten Tagen beobachtet hast. Funktioniert es zwischenzeitlich dauerhaft? Wenn nicht, melde dich gerne bei unserem Kundensupport. Allenfalls gibt es hier noch der eine oder andere Tipp.

Liebe Grüsse

Raphael

Stauldoteiy82

@XRY441 schrieb:

Ich erkenne aber kein Muster in welchem Fall es funktioniert oder nicht.

Hast Du bezüglich Muster schon überprüft ob es einen Unterschied macht ob die externe IP nach dem Neustart geändert hat oder wieder dieselbe zugeteilt wurde?

XRY441

Hallo @Stauldoteiy82, @RaphaelG

Vor ein paar Tagen habe ich die Verbindung wieder verloren, obschon meine IB3 seit meinem letzten Post am 29.01. bis heute non-stop am Laufen war. Ob in dieser Zeit eine neue IP zugewiesen wurde, kann ich nicht beantworten.

Heute habe ich nun die IB3 neu gestartet. Nach dem dritten Anlauf läuft es jetzt wieder wie gewünscht und ich kann auf meine IP zugreifen. Die IP war nach jedem Reboot noch dieselbe wie zuvor.

MichelB

Wir haben einen Testbuild 13.90.42 generiert, der folgendes Problem löst:

Netzinterne Requests auf public IPs funktionieren nicht mehr

Download

Dieser Testbuild sollte das Problem in diesem Thread lösen.

Beste Grüsse und danke für ein Feedback

XRY441

@MichelB

Danke für das Update.

Ich habe es am Freitag installiert und bis jetzt läuft alles einwandfrei.

Freundliche Grüsse

« Vorherige Seite