URL und IP Zugriff funktioniert nach Neustart nicht mehr korrekt

[Whoisfoxmulder]

Hallo Zusammen

Ich versuche mal meine Ausgangslage zu schildern und möglichst viele Details vorab zu liefern

Gestern habe ich meinen Server sauber heruntergefahren, da ich den Strom für eine Bohrung in einem Zimmer abstellen musste.
Danach habe ich den Server wieder hochgefahren. Nun funktioniert der Zugriff via URL nicht und der Zugriff via IP wirft einen Sicherheitsfehler.
Geändert am Setting habe ich nichts in diesem Zeitraum.

Beweisstück A (IP Zugriff)


Beweisstück B (URL Zugriff)


Folgende Konfiguration habe ich mir einmal eingerichtet (und hat auch funktioniert):

1. DynDNS
   
   
   
2. Docker mit entsprechenden Containern
   
   
3. Erreichbarkeit der Container via URL (Reverse Proxy)
   
   
   
   
4. SSL Zertfikate (Let's Encrypt)
   
   
   
5. SSL Renewal Aufgabe
   

Folgendes habe ich bereits versucht:

• Zugriff externes Netz (Mobile 4G) via URL - erfolglos
• Zugriff internes Netz (LAN) via IP - Sicherheitswarnung
• Zugriff internes Netz (LAN) via URL - erfolglos
• Erneuerung der SSL Zertifikate - funktioniert
• IP, Freigaben der Ports des Routers geprüft - stimmt
• Ports der Docker Container geprüft (sind diese noch gleich? - Ja)
• Prüfung der Subdomains beim Anbieter - ok; sind noch alle da
• Prüfung der DynDNS Funktionalität beim Anbieter - ok; steht nach wie vor zur Verfügung

Habt ihr eine Idee oder einen Ansatz wie ich das wieder zum laufen bekomme?
Was mir aufgefallen ist: Die DynDNS IP meines Anbieters und diejenige von Synology zeigen auf die gleiche IP. Aber ich nehme an, das war vorher schon so?

Liebe Grüsse

 

[blurrrr]

Da stimmen angeprochene URL und FQDN im Zertifikat nicht überein, das ist alles.. Ist halt so, wenn Du sagst, Du heisst "whoisfoxmulder" und in Deinem Personalausweis steht dummerweis "imanalien" ??

Habt ihr eine Idee oder einen Ansatz wie ich das wieder zum laufen bekomme?

Klar, sprech das Ding so an, wie es im Lets-Encrypt-Zertifikat drin steht...

 

[Whoisfoxmulder]

Da stimmen angeprochene URL und FQDN im Zertifikat nicht überein, das ist alles.. Ist halt so, wenn Du sagst, Du heisst "whoisfoxmulder" und in Deinem Personalausweis steht dummerweis "imanalien" ??

Klar, sprech das Ding so an, wie es im Lets-Encrypt-Zertifikat drin steht...

Hi @blurrrr
Danke für Dein Feedback.

Das Zertifikat wird ja pro Subdomain hinterlegt und erneuert. Das war nie ein Problem - erst seit dem Neustart.
Die Seite erscheint erst gar nicht beim Aufruf via URL. Sprich das Zertifikat ist ausgestellt für radarr.meineURL.ch (vgl. Bild unter Nr. 4 im ersten Post) und die gebe ich auch im Browser ein.

Habe es nun nochmals manuell gelöscht, ein neues (gleiche URL) hinzugefügt und dann mittels Konfigurieren dem Dienst das korrekte Zertifikat hinterlegt. Leider ohne Erfolg.



Oder steh ich auf dem Schlauch?

 

[Benares]

Schau erstmal, dass "nslookup radarr.meineURL.ch" auf die richtige IP auflöst, der externen IP deines Routers.
Wenn dann auch noch die Portweiterlungen stimmt (Port 443 -> Port 443 der DS), und auch das Zertifikat auf diesen Namen ausgestellt ist, sollte auch ein Zugriff mit https://radarr.meineURL.ch klappen.

Dein 2. Screenshot in #1 zeigt, dass entweder mit der Namensauflösung oder etwas mit der Weiterleitung nicht stimmt.

 

[blurrrr]

Da Du hier so schön schwärzt... vllt wirfste nochmal ein Blick auf die Zertifkatsfehler-Bilder oben (hat aber schon geholfen!) Btw geiler Provider... 10GBit für 79,- ist schon mal eine echt krasse Ansage... ?

Also... machen wir es mal ganz trocken: Zum einen endet Deine WAN-IP mit der 18 (in Deinen Screenshots mit der 195). Zum anderen sind die entsprechenden Ports nicht offen. Da es sich aber wohl um A-Records im DNS handelt, scheinen die wohl nicht mehr so ganz zu passen. Bei Deinem ISP seh ich in den Tarifen auch nix von eine statischen öffentlichen IPv4-Adresse, von daher kann es sein, dass Du eine dynamische (sich ändernde) IP hast. Mag sein, dass durch es durch die DHCP-Lease-Time erstmal den Anschein gemacht hat, als würde sich diese nicht ändern, kann aber eben durch die Abschaltungen ggf. dazu geführt haben, dass sich die Adresse dann doch geändert hat. Falls dem so sein sollte, such Dir einen DynDNS-Anbieter (der aktualisiert Deine IP dann immer mit einem statischen FQDN) und Deine bisherigen A-Records wandelst Du zu CNAME-Records um, welche allesamt auf den FQDN der DynDNS-Adresse zeigen

EDIT: Wenn dem nicht so sein sollte... schau vllt nochmal im Router, ob die Ports noch alle offen sind, oder ob der ISP ggf. mit einem Firmware-Update und einer automatischen Rekonfiguration nicht evtl. alles weggeschmissen hat an Einstellungen. Alternativ einfach mal beim Provider anrufen, "interne" Kommunikation funktioniert ja, nur extern halt nicht. Zur Sicherheit check aber vorher auch nochmal, ob das NAS das richtige Gateway eingetragen hat.

 

[Whoisfoxmulder]

Schau erstmal, dass "nslookup radarr.meineURL.ch" auf die richtige IP auflöst, der externen IP deines Routers.
Wenn dann auch noch die Portweiterlungen stimmt (Port 443 -> Port 443 der DS), und auch das Zertifikat auf diesen Namen ausgestellt ist, sollte auch ein Zugriff mit https://radarr.meineURL.ch klappen.

Hi @Benares
Danke für den Input.

Da erhalte ich dieses Resultat:


1. Adresse ist der Router
2. Adresse ist eine öffentliche IP (nicht diejenige des DynDNS)

 

[Whoisfoxmulder]

Da Du hier so schön schwärzt... vllt wirfste nochmal ein Blick auf die Zertifkatsfehler-Bilder oben (hat aber schon geholfen!) Btw geiler Provider... 10GBit für 79,- ist schon mal eine echt krasse Ansage... ?

Also... machen wir es mal ganz trocken: Zum einen endet Deine WAN-IP mit der 18 (in Deinen Screenshots mit der 195). Zum anderen sind die entsprechenden Ports nicht offen. Da es sich aber wohl um A-Records im DNS handelt, scheinen die wohl nicht mehr so ganz zu passen. Bei Deinem ISP seh ich in den Tarifen auch nix von eine statischen öffentlichen IPv4-Adresse, von daher kann es sein, dass Du eine dynamische (sich ändernde) IP hast. Mag sein, dass durch es durch die DHCP-Lease-Time erstmal den Anschein gemacht hat, als würde sich diese nicht ändern, kann aber eben durch die Abschaltungen ggf. dazu geführt haben, dass sich die Adresse dann doch geändert hat. Falls dem so sein sollte, such Dir einen DynDNS-Anbieter (der aktualisiert Deine IP dann immer mit einem statischen FQDN) und Deine bisherigen A-Records wandelst Du zu CNAME-Records um, welche allesamt auf den FQDN der DynDNS-Adresse zeigen

Hi @blurrrr
Haha mein Anbieter liefert keine 10GBit für 79.-; auf jeden Fall nicht in meinem Abo nur 1GBit für 49.- aber das ist ok...

BTT
Die mit .195 ist diejenige meines DynDNS Anbieters (vgl. Screenshot Punkt 1). Daher ja ich habe bereits einen DynDNS Anbieter und das hat auch geklappt. Im Screenshot 1 sieht man auch, dass die Kommunikation mit dem Anbieter funktioniert.

Das intern mit der IP ein Zertfikatfehler kommt ist halb so wild. Aber, dass von intern und extern der Aufruf via URL nicht mehr geht, das ist mühsam.

Hier noch ein Auszug des Anbieters (gleicher, bei welchem ich die URL registriert habe).



Die Ports auf dem Router sind nach wie vor offen:

 

[blurrrr]

https://www.wingo.ch/de/internet "Internet Max"? ?? Zumindestens sollte das Dein Anbieter sein laut dem Reverse-Lookup.

Was das DNS-Gefrickel angeht... Die Screenshots zeigen alle die 195, aktueller DNS-Status sagt ".101.18". Check mal Deine WAN-IP auf die letzten beiden Oktette, ob das mit der aktuellen übereinstimmt. Ansonsten: Router mal neustarten und wenn das auch nicht hilft, Portweiterleitungen rauswerfen, neustarten, neu eintragen. Da Du vermutlich nix an der Syno-Firewall geschraubt ist, gehe ich (erstmal) nicht davon aus, dass es daran liegen wird (sie temporär zu deaktivieren, falls aktiv wird aber auch nicht schaden).

 

[Whoisfoxmulder]

Aber wenn ich den DynDNS Check im Synology mache, steht normal und beim Anbieter ist auch die 195 als DynDNS eingetragen.
Ok ich versuch mal die Schritte.
Die Syno-FW war nie aktiv

Melde mich nochmals Danke schonmal

 

[Whoisfoxmulder]

Also. Habe alles gemacht:
1. Router neu gestartet; kein Erfolg
2. Portfreigaben gelöscht; neu gestartet; Portfreigaben neu hinzugefügt; kein Erfolg

Kann mir nicht erklären warum es mal funktioniert hat mit den Einstellungen und nun nicht mehr
Hier noch zwei weitere Screenshots - vielleicht helfen die noch bei der Lösungsfindung.

Portfreigaben FritzBox Detail


Anbieter URL+DynDNS Einträge der Haupt-URL und des DynDNS

 

[rednag]

Symetrisch 10Gbit/s für 79CHF.
Und hier in Neuland....

 

[blurrrr]

Jung, komm, dat bringt doch so alles nix... Frage ist ja schon grundsätzlich: Warum einmal ".18" und einmal ".195", aber vergiss es, hab es mir grade schon selbst beantwortet... 3. Oktett bei der 195 stimmt nicht mit der anderen überein, daher die Frage: WAS ist WAS? Ich vermute aber mal, dass die DynDNS-Adresse mit der 195er IP die des dynamischen Anschlusses ist (weiss der Geier, was es mit der 18 auf sich hat), bei der 195er sind die Ports auch offen...

FAKT ist aber: 1) Soweit KEIN Problem, 2) falsche Einstellungen im DNS, 3) das "kann" nix damit zu tun haben, dass Du das NAS temporär aus hattest.



Webserver "ist" also erreichbar (via 195). Dummerweise zeigen die DNS-Records wie "radarr" auf eine "andere" IP und nicht via CNAME auf Deine DynDNS-Adresse...

 

[Whoisfoxmulder]

Korrekt die 195er ist diejenige des DynDNS dyndns.meineurl.ch und die 18er ist diejenige der Haupt-URL meineurl.ch
Diese IP Adressen sind beim Anbieter im DNS fix und die kann ich auch nicht ändern - hat wohl auch seine Richtigkeit

Im DNS des Syno sind keine Einstellungen vorhanden - da habe ich auch nix geschraubt aktuell.


Für dyndns.meinerurl.ch habe ich aber kein Zertifikat hinterlegt im Syno - hab ja aber auch keinen zugehörigen Dienst.

 

[Whoisfoxmulder]

ah, müsste ich die Einträge beim Anbieter (URL/DynDNS) so legen?

bisher

radarr.meineurl.ch

CNAME

meineurl.ch

neu

radarr.meineurl.ch

CNAME

dyndns.meineurl.ch

 

[blurrrr]

Diese IP Adressen sind beim Anbieter im DNS fix und die kann ich auch nicht ändern - hat wohl auch seine Richtigkeit

Sowas ist keine "Richtigkeit", sowas ist einfach nur "unnötige Einschränkung"... aber... anderes Thema.

Ja genau, so müssen die DNS-Einträge extern aussehen - mit Verweis auf die DynDNS-Adresse

EDIT: Ansonsten wird immer auf die 18 gezeigt (was falsch ist), da Dein Anschluss derzeit die 195 hat (was auch korrekt bei dyndns.deinedomain.tld hinterlegt ist). Wie Du siehst, hat also nix mit dem Shutdown des NAS zu tun


(falsch)

vs.


(korrekt)

 

[Whoisfoxmulder]

Ok, das ist ein anderes Thema

Hmmm aber warum hat es dann immer funktioniert bisher und nun nicht mehr. Das finde ich mehr als speziell.
Habe es bei radarr angepasst - TTL habe ich auf 5 Minuten gesetzt.

EDIT: Jaaaaa es funktioniert wieder! TAUSEND DANK ????
Aber warum hat es bisher funktioniert - das würde mich schon wundernehmen...

 

[blurrrr]

Najo, falsche Denke - auf was stand die TTL denn vorher? Mitunter haben irgendwelche DNS-Server auf der Strecke das jetzt noch was länger im Cache.

EDIT: Also hier läuft's schon....

 

[Whoisfoxmulder]

Najo, falsche Denke - auf was stand die TTL denn vorher? Mitunter haben irgendwelche DNS-Server auf der Strecke das jetzt noch was länger im Cache.

1h war drin ändere es wieder.

 

[blurrrr]

... jo, läuft

EDIT: Die TTL der Records die auf die DynDNS-Adresse zeigen sind relativ egal, das ändert sich ja erstmal nicht mehr... Die TTL der DynDNS-Adresse sollte halt auf ein Minimum reduziert werden (glaub 1 Minute oder so), damit sich das relativ zügig aktualisiert (falls sich die IP ändert), dürfte aber eh Standard sein.

EDIT2: Wusste garnicht, dass es für Heimdall auch einen Login gibt... naja, öfter mal wat neues ?

 

[Whoisfoxmulder]

Anhang anzeigen 62252
... jo, läuft

EDIT: Die TTL der Records die auf die DynDNS-Adresse zeigen sind relativ egal, das ändert sich ja erstmal nicht mehr... Die TTL der DynDNS-Adresse sollte halt auf ein Minimum reduziert werden (glaub 1 Minute oder so), damit sich das relativ zügig aktualisiert (falls sich die IP ändert).

ich frag jetzt mal nicht wie Du das herausgefunden hast Sniffer Du Aber TAUSEND DANK; ohne Dich würde ich noch immer frustriert hier sitzen