Port 80 nicht mehr offen

[IngoF]

Hallo,

ich habe das Problem dass mein Port 80 (und 5001) auf der DS1815+ nicht mehr erreichbar ist.

Die Umleitung von HTTP zu HTTPS ist deaktiviert. Testweise auch mal aktiviert und wieder deaktiviert.
Trotzdem werden ich immer zu HTTPS umgeleitet. Egal ob DSM, DokuWiki, Webseiten.

in der Fritzbox ist die Freigabe eingerichtet. Auch "exposed Host" hat testweise nichts gebracht.
Aber auch lokal aus dem eigenen Netz komme ich nicht auf die Ports
Ein externer Portscan zeigt die Ports allerdings als geschlossen an.

Laut netstat -tulpn sieht alles gut aus:

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      16966/nginx: master
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      16966/nginx: master
tcp        0      0 0.0.0.0:5000            0.0.0.0:*               LISTEN      16966/nginx: master
tcp        0      0 0.0.0.0:5001            0.0.0.0:*               LISTEN      16966/nginx: master
tcp6       0      0 :::80                   :::*                    LISTEN      16966/nginx: master
tcp6       0      0 :::443                  :::*                    LISTEN      16966/nginx: master
tcp6       0      0 :::5000                 :::*                    LISTEN      16966/nginx: master
tcp6       0      0 :::5001                 :::*                    LISTEN      16966/nginx: master

Hat jemand eine Idee woran es noch liegen kann?
Ist halt blöd mit HTTPS ohne LetsEncrypt Zertifikaten. Ohne Port 80 klappt das ja nicht...

 

[mayo007]

Wurde der Internetanschluss auf DS Lite geändert?

 

[IngoF]

Nein, habe eine feste öffentliche IPV4.

Aber selbst im eigenen LAN klappt es nicht.
Habe auch einen DNS-Server auf der Diskstation laufen der auch funktioniert.
Der DNS ist auch in der Netzwerkkarte des PC als einziger DNS-Server angegeben.
Daran sollte es daher auch nicht liegen..

Aber selbst wenn ich die http://192.168.x.x:5000 eingebe lande ich auf dem HTTPS-DSM.
Also spricht das eher dagegen dass die Umleitung von HTTP auf HTTPS nicht rausgeht?
In der DSM-Systemsteuerung wird der Haken rausgenommen.,

 

[Benares]

Trotzdem werden ich immer zu HTTPS umgeleitet

Das könnte auch eine Folge von HSTS sein. Der Browser merkt sich dann, dass das Ziel auch über https zu erreichen ist und bevorzugt dies in Zukunft. Abhilfe: Bowser-Cache löschen. Die reine Erreichbarkeit eines Ports kann man auch leicht mit telnet testen ("telnet <ip> <port>")

 

[IngoF]

Danke für den Tip.
HSTS hatte ich bisher noch nie aktiviert nur mal testweise vor ein paar Jahren.

Es lief seit längeren auch die automatische Zertifikatverlängerung von LetsEncrypt. Bis gestern...
Da habe ich Eine Hyperbackup-Migration durchgeführt. Von Raid6 mit 7 Platten auf Raid5 mit 5 Platten.
Die fehlende Festplatte für das Raid 6 ist schon geplant.

Da die Zertifikate nicht mit migriert werden stehe ich jetzt ohne Zertifikate da

 

[stulpinger]

"16966/nginx: master" - hast Du bei nginx was geändert bzw. nginx reverse proxy installiert ?

 

[Adrian-S]

Auch wenn der Port im Router angeblich offen ist, würde ich ihn trotzdem einmal löschen und neu anlegen. Ich hatte das schon öfter mit der Fritz!Box bei mir und auch bei anderen, dass der Port ganz plötzlich nicht mehr durchgereicht wird, ohne eine Änderungen daran vorgenommen zu haben.

 

[IngoF]

"16966/nginx: master" - hast Du bei nginx was geändert bzw. nginx reverse proxy installiert ?

nicht das ich wüsste...

Ich habe mal zum testen in Chrome jeweils einen neues Inkognito-Fenster geöffnet und alles mögliche mit der Photostation ausprobiert...


Was mich etwas wundert:
Ich habe in der Netzwerkkarte den nur DNS der Diskstation. Keinen zweiten DNS.
bei nslookup meldet sich ohne DNS-Eingabe der DNS der Fritzbox. Erst wenn ich den DNS der Diskstation Explizit eingebe:

C:\Users\Name>nslookup meineDomain.de
Server:  fritz.box
Address:  fd00::ab12:1234:abce:ef12

Nicht autorisierende Antwort:
Name:    meineDomain.de
Address:  180.170.160.150


C:\Users\Name>nslookup meineDomain.de 192.168.111.222
Server:  UnKnown
Address:  192.168.111.222

Name:    meineDomain.de
Address:  192.168.111.222


C:\Users\Name>nslookup meineDomain.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    meineDomain.de
Address:  180.170.160.150


C:\Users\Name>nslookup meineDomain.de 8.8.4.4
Server:  dns.google
Address:  8.8.4.4

Nicht autorisierende Antwort:
Name:    meineDomain.de
Address:  180.170.160.150

Edit:
Habe auch noch mal die Freigabe komplett gelöscht.
lokal scheint der Port zumindest offen zu sein.
nach telnet 192.168.111.222 80 bleibt das Fenster offen. Beim Schließen mit STRG+C sehe ich dann den Fehler 400.

 

[Benares]

Ich habe in der Netzwerkkarte den nur DNS der Diskstation. Keinen zweiten DNS.

Nein, du arbeitest ja auf deinem PC und da ist scheinbar deine Fritzbox als DNS-Server eingestellt oder per DHCP zugewiesen.
Bevor du es mit externen IPs probierst, muss es ja erstmal intern klappen.
Hast du mal den Browser-Cache gelöscht oder es mit telnet probiert?

 

[IngoF]

Nein, du arbeitest ja auf deinem PC und da ist scheinbar deine Fritzbox als DNS-Server eingestellt oder per DHCP zugewiesen.

Eigentlich nicht.
Ich habe meine IP-Adresse manuell vergeben und auch nur manuell meinen DNS-Server der Diskstation als einzigen DNS angegeben.
Die Fritzbox steht nur als Gateway in der Netzwerkkarte.

Hatte noch eine zweite Netzwerkkarte im Rechner. Habe dort sicherheitshalber das Kabel abgezogen.

Wenn ich ipconfig /all eingebe kann ich auch sehen dass unter DNS nur meine Diskstation auftaucht. (Mit beiden der IPV4 und der IPV6 Adresse)

mit Telnet habe ich es mal getestet. Das Fenster bleibt offen. Das bedeutet ja dass der Port zumindest offen ist. Wenn ich mit STRG+C schließe sehe ich einen Bad Request (400).

Seltsamerweise funkt dann trotzdem die Fritzbox dazwischen und ich gehe wohl über die externe IP auf meine Diskstation.
Das erklärt aber nicht warum es mit der LAN-IP auch nicht klappt.

Cache habe ich nicht gelöscht. Aber habe es im Inkognito-Fenster von Chrom getestet. Das klappt auch bei anderen Webseiten wenn ich da mal Probleme mit dem Cache habe

Wenn ich es mit Telnet teste würde die HTTP nach HTTPS Umleitung dann eigentlich auch zuschlagen???

Ich habe die Diskstation interne Umleitung in Verdacht. Die aus irgendwelchen Gründen die aktiv bleibt obwohl der Hacken nicht in der DSM-GUI gesetzt ist.
Die Fritzbox würde doch nicht von sich aus den Port 80 auf 443 umleiten wenn der Port 80 geblockt ist, oder?

 

[stulpinger]

"manuell meinen DNS-Server der Diskstation als einzigen DNS angegeben"

d.h. Du hast auf der DS einen DNS-Server laufen ?

 

[IngoF]

Ja, das ist richtig... meine DNS-Server auf der Diskstation...


Habe jetzt noch weiter gesucht und noch einiges herausgefunden.
Webseiten über http:// sind im Internet überhaupt nicht erreichbar es kommt ein Timeout.
lokal wird scheinbar immer der DNS der Fritzbox genommen. obwohl der Diskstation DNS läuft und als einziger DNS in der Netzwerkkarte eingetragen ist
Wenn ich auf den Webserver der DS1621 umleite funktioniert es auch mit http im eigenen Netz und über das Internet.
Auf der DS1815 habe ich noch mal die default Seite installiert die auch über die Domain selber erreichbar ist und keine subdomain). Die Seite ist über LAN-IP erreichbar

 

[Benares]

lokal wird scheinbar immer der DNS der Fritzbox genommen. obwohl der Diskstation DNS läuft und als einziger DNS in der Netzwerkkarte eingetragen ist.

Ob der DNS-Server auf der DS läuft, ist völlig irrelevant. Wichtiger ist, das auf deinem PC deine Fritzbox als primärer DNS-Server konfiguriert ist und nicht der der DS (s. #8)

Hatte noch eine zweite Netzwerkkarte im Rechner. Habe dort sicherheitshalber das Kabel abgezogen.

Eben, und das allein reicht nicht, wenn dort andere DNS-Server konfiguriert sind. Dann musst du diesen LAN-Anschluss besser auch deaktivieren.

 

[IngoF]

Erst mal die wichtigere Nachricht:

Es funktioniert jetzt ​

Ob der DNS-Server auf der DS läuft, ist völlig irrelevant. Wichtiger ist, das auf deinem PC deine Fritzbox als primärer DNS-Server konfiguriert ist und nicht der der DS (s. #8)

Vielleicht habe ich mich falsch ausgedrückt. Mit Netzwerkkarte meinte ich auch den PC (also die Netzwerkkarte im PC). Dort war nur der DNS der Diskstation eingetragen. Und nicht nicht der DNS der FritzBox.

Eben, und das allein reicht nicht, wenn dort andere DNS-Server konfiguriert sind. Dann musst du diesen LAN-Anschluss besser auch deaktivieren.

Ok, wieder was gelernt....
Allerdings war auf der anderen Netzwerkkarte ein anderes Subnetz eingetragen und das Feld DNS war leer. Also dürfte dass kein Problem gewesen sein.


Ich habe wohl festgestellt dass in den Netzwerkeinstellungen auf einer Netzwerkschnittstelle der Diskstation selber die Fritzbox als DNS eingetragen war. Allerdings war das ja nur für ausgehende DNS Anfragen von der Diskstation. Also ncht die Nameserver-Anfragen von meinem PC.

Allerdings lief dort auch mein DNS Server. Aber das dürfte ja keine Auswirkungen haben, oder?
Dort waren ja manuell die Einträge für die LAN-IP der Diskstation zu dem Namen eingetragen.

Jetzt mal meine Vermutung zum Problem:​

Ich habe erst Probleme mit meiner Fritzbox7490 mit dem Glasfaseranschluss gehabt. Dort war am Anfang auch eine Dynamische IP mit Carrier-Grade-NAT eingerichtet. Das wurde dann auf die feste öffentliche IPV4 geändert. Dann kam ich von außen weder auf die HTTPS noch auf die HTTP Webseiten. Laut Trace von der Fritzbox kamen alle Anfragen aus dem Internet (erster TCP Verbindungs Aufbau für den Webseitenzugriff) und es gab nach dem SYN keine Antwort nur drei Retransmission und dann Funkstille.

Habe dann auf die FritzBox 7590 gewechselt. Dort hatte ich das Problem nur mit HTTP und HTTPS lief. Auch das LetsEncrypt Zertifikat konnte ich nicht erstellen.

Außerdem vermute ich dass Chrome auch irgendwie Irritationen verursacht hat.

Jetzt zur Einstellung die die Fehler hauptsächlich verursacht hat:​

Der Übeltäter war eine Einstellung die ich bei der Migration übereilt nebenbei gemacht habe und zu wenig Aufmerksamkeit geschenkt habe:

Systemsteuerung -> Netzwerk -> DSM-Einstellungen -> Domain. Dort hatte ich meineDomain.de eingetragen.


Die Einstellung bewirkt dass Aufrufe von meineDomain.de auf der DSM-Desktop Seite landen. Diese wurde automatisch auf HTTPS umgeleitet, obwohl der Haken bei HTTP-Verbindungen für DSM-Desktop automatisch zu HTTPS umleiten deaktiviert war!

Nachdem ich bei der Domäne dann dsm.meineDomain.de eingetragen habe und den Haken bei der Umleitung gesetzt habe und ich die Fritzbox neugestartet habe lief alles. Meine Fritzbox mochte hinterher keine HTTP und HTTPS Freigabe mehr setzen und hat irgendwelche Ports nach außen genommen.

Die LetsEncrypt Zertifikate konnte ich wohl nicht mehr erstellen weil meineDomain.de dann auf DSM-Desktop umgeleitet wurde und deswegen die Austellung fehlgeschlagen ist.

Allerdings wird in Windows bei nslookup ohne Angabe des DNS-Server immer noch die Antwort von dem FritzBox DNS-Server geschickt.
Das scheint normal zu sein und hat wohl nichts mit den Browser zu tun. (#8)

 

[Benares]

Allerdings wird in Windows bei nslookup ohne Angabe des DNS-Server immer noch die Antwort von dem FritzBox DNS-Server geschickt.

Poste mal die Ausgabe von "ipconfig /all" deines PCs, dann erklär ich's dir
Außerdem sind die DNS-Einstellungen auf DS und PC völlig unterschiedlich Dinge, ebenso die Einstellungen für Domain im Anmeldeportal oder sonstwo.

 

[IngoF]

verzeih mir wenn ich zuviel ausgegraut habe . Mit IP V6 muss ich mich irgendwann noch mal beschäftigen...

 

[Benares]

Ich sehe da erstmal zwei LAN-Adapter, von denen mindestens einer nicht deaktiviert ist.
Und ob einer davon nicht die IPv6 deiner FB als DNS-Server hat, ist leider auch nicht erkennbar.

C:\Users\Name>nslookup meineDomain.de
Server:  fritz.box
Address:  fd00::ab12:1234:abce:ef12
...

Das ist der ausschlaggebend!

 

[IngoF]

OK. die zweite Netzwerkkarte hat keinen DNS eingetragen.
Laut ipconfig /all stehen nur die IP-Adressen der Diskstation. Keine einzige IP Adresse von der Fritzbox. (abgesehen vom Default-Gateway).
Habe auch mal versucht die Diskstation als Gateway einzutragen, Also dass keine IP-Adresse von der Fritzbox in der Netzwerkkarte steht.
Trotzdem wird die Fritzbox verwendet.

Laut meiner Suche ist es auch so dass nslookup immer den Eingetragenen DNS-Server verwendet.
Seltsamerweise ist das meine Fritzbox. Obwohl nirgendwo die Fritzbox als DNS eingetragen ist und überall meine Diskstation als DNS eingegeben ist. Das dürfte meiner Meinung nach nicht so sein.

C:\Users\Test>tracert meineDomain.de

Routenverfolgung zu meineDomain.de [180.170.160.160]
über maximal 30 Hops:

1 <1 ms <1 ms <1 ms fritz.box [192.168.100.1]
2 1 ms 1 ms <1 ms ip-180.170.160.160.irgendwer.de [180.170.160.160]

Ablaufverfolgung beendet.
Dass die erste Route über die Fritzbox geht ist ja verständlich. Sie ist ja als Gateway eingetragen.
Beim zweiten Eintrag sollte dann aber die LAN-IP meiner Diskstation auftauchen, und nicht wie hier die öffentliche IP.
Wenn in der Befehlszeile in Windows die Fritzbox als DNS-Server verwendet wird wird Chrome, und alle anderen Programme/Tools auch die Fritzbox als DNS-Server benutzen und nicht meinen DNS der Diskstation.
Aber warum ist das so???

Also hier meine Konfiguration:

IP-Adressen:
FritzBox: 192.168.100.1
PC: 192.168.100.88
Diskstation: 192.168.100.99

PC:
IP-Adresse: Feste IP aus meinem Adressbereich (z.B. 192.168.100.88)
Subnetzmask 255.255.255.0
Gateway: 192.168.100.1
DNS: 192.168.100.99

Fritzbox:
DHCP: deaktiviert

Diskstation Netzwerk:
IP-Adresse: 192.168.100.99)
Subnetzmask 255.255.255.0
Gateway: 192.168.100.1
DNS: 192.168.100.99

Diskstation DHCP:
Primäres DNS: 192.168.100.88
Domainname: meineDomain.de
Start-IP-Adresse: 192.168.100.200
End-IP-Adresse: 192.168.100.250
Netmask: 255.255.255.0
Gateway: 192.168.100.1

Die zweite Netzwerkkarte vernachlässigen wir mal. Weil dort kein DNS-Server eingetragen ist und das Verhalten auf allen Rechnern das selbe ist.
Also auch alle anderen Rechner mit einer Netzwerkkarte. Auch kein Unterschied ob IP-Adressen manuell eingetragen oder über DHCP bezogen werden. Auch egal ob WLAN oder fest verkabelt.

Überall steht nur der DNS der Diskstation. Auch in den IP-V6 Adressen. Nirgendwo ist die FritzBox als DNS eingegeben!

Wo ist da mein Denkfehler ​

WARUM passiert ausnahmslos die Namensauflösung auf meinen sämtlichen PCs über den DNS der FritzBox und nicht über meinen DNS auf der Diskstation ???​

EDIT:
Ich habe jetzt IP-V6 auf der Fritzbox, Diskstation und dem PC deaktiviert.
Jetzt klappt es sofort über den Diskstation DNS.

Warum wird bei Namensauflösungen auf IPV4 bei aktivierten IPV6 die Fritzbox benutzt, obwohl diese nirgendwo als DNS eingetragen ist?

OK, OK, der Fehler saß hartnäckig vor dem PC...​

​

Auf der FritzBox wurde der DHCPV6 Server aktiviert. Den habe ich immer ignoriert oder übersehen.​

Und der hat eben DOCH die Fritzbox als DNS Server übertragen.​

​

War wohl so naiv zu denken dass nslookup bei nachfragen mit IPv4 Adressen IPv6 ignoriert ​

...dachte bisher könnte ich noch IPv6 ignorieren

 

[Benares]

Oh mein Gott, welch ein Chaos

1. Dass dein tracert bei der externen IP deiner Fritzbox endet ist völlig normal. Schließlich löst meineDomain.de ja darauf auf und nicht auf die IP deiner DS.
2. Deine Liste der Konfiguration enthält einige (hoffentlich) Tippfehler. Da müsst überall was mit 192.168.100.x stehen
3. Wozu der DHCP auf deiner DS, wenn du ihn nicht verwendest? Und der primäre DNS müsste ja auch die DS sein und nicht dein PC.
4. Und wozu der interne DNS-Server für meineDomain.de? Ich nehme mal an, du willst darüber dann auf die lokalen IPs auflösen? Denk aber bitte dran, das es auf allen Clients auch einen DNS-Cache gibt.

Aber jetzt finde erstmal heraus, warum deine Clients weiterhin die Fritzbox als DNS-Server verwenden. Was passiert, wenn du nslookup ohne Parameter aufrufst. Ich nehme mal an, da kommt "Standardserver: fritz.box" mit der link local IPv6 deiner Fritzbox. Wenn ja, dann schau mal, was hier eingetragen ist. Da müsste ja dann die IPv6 deiner DS rein.



Aber vielleicht verzichtest du erstmal auf IPv6 sonst wird das Chaos noch größer.

 

[IngoF]

Aber vielleicht verzichtest du erstmal auf IPv6 sonst wird das Chaos noch größer.

Das habe ich gerade auch noch herausgefunden.... (siehe Edit)

Werde mich doch wohl mal mit IPv6 beschäftigen müssen bevor ich das wieder richtig aktiviere...

Ich habe jetzt mal testweise IPv6 wieder aktiviert und den DNS meiner Diskstation dort manuell eingetragen. Außerdem habe ich den DHCPv6 auf der Fritzbox deaktiviert. Damit scheint es auch mit IPv6 zu funktionieren.

Jetzt funktioniert die Namensauflösung jetzt über die Diskstation.
Allerdings taucht die Fritzbox immer noch als DNS-Server bei ipconfig /all an erster Stelle auf.

ipconfig /all
.
.
.
DNS-Server:
<IPv6 der FritzBox>
<IPv4 der Diskstation>
<IPV6 der Diskstation>