Hallo zusammen
Ich hab einige Services via Port Forwarding gegenüber dem Internet exposed. Das funktioniert soweit so gut. CGNAT scheint kein Problem zu sein.
Wenn ich mit meinem Handy im 4G/5G Netz bin, kann ich problemlos auf die Services zugreifen.
Jedoch klappt es nicht, wenn ich im lokalen WLAN bin. Jegliche Verbindungen vom WLAN aus über die externe IP geht nicht.
Ist das so normal, wird das bewusst nicht gerouted? Gibt es da irgendwelche Workarounds?
Aktuell habe ich es so gelöst, dass ich den Hostname im WLAN auf die interne IP (192.*) auflöse. Das funktioniert, jedoch nicht mit meinem Handy da ich dort NextDNS verwende..
Wäre froh um jeden Tipp..
Wir haben einen Testbuild 13.90.42 generiert, der folgendes Problem löst:
Dieser Testbuild sollte das Problem in diesem Thread lösen.
Beste Grüsse und danke für ein Feedback
Auf die externe WAN-IP des Routers kann man vom internen Netz (WLAN oder LAN) nicht zugreifen.
Das ist in der Regel auch nicht nötig, denn im eigenen Netz kann man ja direkt auf die eigenen Devices zugreifen.
P.S.
Ich gehe nicht davon aus, dass du CGNAT hast, denn dann würde der externe Zugriff nicht funktionieren.
Wundert mich schon, dass das sonst niemand stört..
In der Regel greifen wir ja über einen Hostname auf die Services zu.. in meinem Fall habe ich ein Wildcard CNAME DNS Alias auf meine *.internet-box.ch Adresse gemacht..
Wie löst ihr denn das? Ihr habt zb eine Nextcloud Instanz so exposed, Adresse zb nextcloud.example.ch. Und dann konfiguriert man auf dem Handy die Nextcloud App mit der URL.. und dann geht das nut ausserhalb des eigenen WLANs.. stört das sonst niemanden, bzw wie kann man das lösen?
Es stört (fast) niemand, weil 98% der Kunden (mich eingeschlossen) keine solchen Lösungen/Bedürfnisse hat und genau für diese Kunden ist die Internet-Box gebaut.
Evtl. kann dir hier aber jemand weiter helfen, der eine ähnliche Anwendung wie du hat.
Hallo @dnuevo
Auf meinen Android & Apple Gerät funktioniert es ohne Probleme.
Ich habe für meine Domains CName gesetzt bei meinem Provider, diese lauten alle auf xy.internet-box.ch
In der Nextcloud-App greife ich ganz normal auf den Dienst zu.
Das einzige was weiter geleitet wird auf der IB 3 ist: Der Port welcher NC braucht, so wie die für den VPN-Dienst.
Zusätzlich läuft ein Pi-Hole, dieser ist zuständig das die Zertifikate auch stimmen.
Ich kann ohne Probleme zuhause im WLAN auf meine Geräte Zugreifen, sei es wenn ich denn Hostname oder die IP
gruss Lorenz
Hm, das ist mein Use Case..
Kann es sein, dass dein Pi Hole (der ja DNS macht) im WLAN die interne IP retourniert bei dir?
Dann, wenn du im WAN bist (extern, zb Handy 4G) benutzt du den Standard Swisscom DNS, der die externe IP retourniert?
So geht das.. ich hab jedoch eben seit Jahren das "Private DNS" auf dem Handy, also immer denselben DNS Server, kann dort nicht differenzieren..
Weiss jemand, *wieso* man intern im WLAN *nicht* über die WAN IP auf sich selbst connecten kann?
@hed schrieb:
Auf die externe WAN-IP des Routers kann man vom internen Netz (WLAN oder LAN) nicht zu greifen...
Bei mir geht genau das:
im Handy im eigenen WLAN nur die externe IP eingeben die im Routermenu ersichtlich ist, und meine Nextcloud im eingenen Netz kommt. Allerdings mit der Reklamation, dass ein Zugriff über eine nicht vertrauenswürdige Domain passiert, und weiter komme ich so nicht.
normalerweise löst man das mit einer ddns (entweder direkt mit dem ddns-Dienst von Swisscom, und/oder einem anderen; bei mir infomaniak, der auch in der IB3 konfigurierbar ist). Gebe ich im eigenen WLAN https://meinedomain.ch:Weiterleitungsport ein, komme ich problemlos auf die Nextcloud; genau gleich, wie wenn ich im Mobilenetz bin.
Aus dem internen Netz gehe ich aber meist direkt über die lokale IP des Nextcloudservers.
Und ein pihole läuft auch, der macht dns, aber für nextcloud habe ich nichts konfigurieren müssen auf pihole.
Hallo @dnuevo
Das einzige was auf dem Pi-Hole eingetragen ist, das der Hostname die Interne-IP-Adresse hat.
Sonst ist nicht mehr auf diesem Installiert.
Und wenn ich Intern mit der Internen IP darauf zugreife gibt es auch die Fehlermeldung wegen dem Zertifikat, aus diesem Grund habe ich ca. 4 Zertifikate welcher der Pi-Hole verwaltet.
Dieser Prüft regelmässig ob sie erneuert werden sollen, und wenn ja kopiert er sie auf den NC usw...
gruss Lorenz
Bei mir geht genau das:
im Handy im eigenen WLAN nur die externe IP eingeben die im Routermenu ersichtlich ist, und meine Nextcloud im eingenen Netz kommt.
Ja genau das geht bei mir eben nicht.. komisch, dass das nicht einheitlich entweder geht oder nicht geht..
Das mit den Zertifikaten ist klar, dafür gibts genug Lösungen.
Kann man das ev mit dem Support lösen oder an was kann es liegen, dass das bei gewissen Kunden geht und bei gewissen nicht?
@dnuevo welchen Softwarestand hast du auf dem Router? Ich habe die IB3 mit der 12.02.48 drauf
@dnuevo schrieb:
Bei mir geht genau das:
im Handy im eigenen WLAN nur die externe IP eingeben die im Routermenu ersichtlich ist, und meine Nextcloud im eingenen Netz kommt.
...
Kann man das ev mit dem Support lösen oder an was kann es liegen, dass das bei gewissen Kunden geht und bei gewissen nicht?
Der Swisscom-Support wird und kann dich nur bei 08:15-Lösungen unterstützen. Für alles was darüber hinaus geht (externe FW, eigene Server, Nextcloud, NAS, VPN, etc. ...) , musst du selbst eine Lösung finden z.B. mit Unterstützung anderer User hier im Forum.
Evtl. kann der kostenpflichtige Support von Swisscom helfen:
https://www.swisscom.ch/de/privatkunden/zusatzleistungen/unterstuetzung-service/myservice.html
Wenn die dort feststellen, dass es ein Softwarefehler in der Internetbox ist, dann kostet es dich nichts
@Lori-77 @POGO 1104 @kaetho @hed
Bleibt am Ende die einfache Frage, ob man im internen LAN über die externe WAN IP auf sich selbst connecten können *sollte* oder nicht.
Anscheinen können dies einige User, andere nicht..
Bei @kaetho geht's,wie sieht es bei anderen aus? Wär super, wenn wir einen Gruppenumfrage machen könnten, ev noch mit anderen die diesen Thread sehen..
Danke euch!
Hallo @dnuevo
Wenn ich im Internen Lan bin dann geht es über denn PI-Hole, habe dort in der Host-Datei ein paar IP-Adressen so wie Hostname drin welche er dann richtig auflöst.
Darum funktioniert es auch, und ich gehe immer über die Hostname auf meine Geräte so ist auch das Zertifikat-Problem gelöst.
Ein Raspi kostet nicht viel Geld, um es auszuprobieren.
Und bei mir läuft der DHCP auf der Unifi.
Der Router gibt also nur 1 IP-Adresse weiter.
Gruss Lorenz
Ja, wie im initialen Post erwähnt hab ich das auch im LAN.. habe ein k3s cluster, der macht auch DNS im LAN wo das lokal umgemappt wird.. die restlichen DNS Anfragen gehen via DNSCrypt an NextDNS..
Aber das geht eben nicht mit Android Clients wie meinem Handy.. dort will ich auch unterwegs NextDNS nutzen. Daher ist ein Private DNS hinterlegt (DoH), zwangsläufig immer derselbe, dort kann ich nicht remappen.
Daher die explizite Frage, wer ohne remapping zugreifen kann . @kaetho kann ja anscheinend..
Ja, geht nach wie vor, so wie hier beschrieben. Aber DHCP-Server ist bei mir die IB3, und auf dem Raspi ist unter Docal DNS nichts eingetragen.
Verwendest du für dein Nextcloud nicht Standardports?
Funktioniert NAT Reflection wenn auf dem Handy der Private DNS deaktiviert ist?
Spielt die Firewall der Internet Box rein?
Erzähl mal was zu deinem Aufbau
Grundsätzlich „funktioniert“ NAT Loopback. Aber da von Seite Swisscom nichts dokumentiert ist, muss man vermutlich aufpassen, dass man nicht zu sehr vom Standard abweicht. Und ob man da jetzt wieder alles im Zuge der neuen Firewall Modis bedacht hatte, mag ich mal zu bezweifeln. Sicher sofern eben zB nicht Standardports genutzt werden würden.
Ich glaube, dass da ein Fehler in der SW-Version ist.
@JonasB kannst Du das mal anschauen? Glaube, dass das in R13 wieder geht.
Nein, es NAT Reflection geht auf dem Handy auch ohne Private DNS nicht.. im ganzen LAN ging es nicht, deshalb die Overrides im LAN internen DNS..
Ich denk mein Setup ist typisch, Port 443 ist von der IB3 auf einen Host geforwarded, das wärs von dieser Seite.. und aus dem WAN her (zb 4g mit dem Handy) klappt auch alles wunderbar.. auch WLAN intern mit dem Remapping auf lokale die IP super.
Aber eben nicht mit externer IP aus dem WLAN raus, was das Private DNS breaked..