ich habe zwei Fragen zu der Nextbox, welche ich jetzt schon, obwohl sie mich schon einiges an Nerven gekostet hat super cool finde.
Kurz zu dem was bisher geschah:
Einrichtung der Nextbox lokal ohne Probleme, Erreichbarkeit top. Nun Versuch der Anbindung an die große weite Welt:
Registrierung einer Domain bei DeSEC
Öffnung der HTTP / HTTPS Ports an der Fritz box
Jetzt fängt das Schlamassel an:
Ich habe anscheinend bevor ich ein TLS Zertifikat erstellen konnte HTTPS aktiviert. Jetzt will mich mein Browser immer wenn ich lokal auf die Nextbox zugreifen will http://nextbox.local/login auf die https://abc123.dedyn.io/login umleiten, ergo ich lande im Nirwana.
Es ergeben sich zwei bzw. eigentlich drei Fragen:
Wie komme ich nun lokal wieder auf die Nextbox?
Gibt es, außer beim ISP eine DualStack Option zu buchen mittlerweile eine andere, für den 0/8/15 User wie mich komfortablere Lösung um den Zugriff von draussen zu ermöglichen? (bin bei VF, habe einen DS-Lite bei einem Kabel Anschluß und leider keinen Business Tarif)
Zum Abschluß: welches Zertifikat muss ich über den CertBot erstellen oder läuft das zufälligerweise schon intern über den Einrichtungsassistent und ich hab es einfach nicht gecheckt?
Update zu Frage 1: Das war einfach, dadurch, dass ich HTTPS aktiviert habe, sollte ich auch HTTPS ansprechen. Ich komme also wieder auf die Nextbox. Die beiden anderen Fragen bleiben aber offen.
und willkommen im Forum!
Zuerst wäre es wichtig zu wissen, wer aus dem großen Netz der Netze deine Nextbox erreichen soll.
Jedermann, so in der Art “www.gmsbrhes_nextbox.de”
Nur du selbst, Familie und gute Freunde oder zumindest Bekannte
Wenn du wirklich “alle Welt” einladen willst, solltest zu zum einen, einen erhöhten Aufwand zur Absicherung deines Servers betreiben (und dich nicht nur auf Benutzername und Passwort verlassen) und auch ein Zertifikat verwenden, welches von einer öffentlich registrierten Zertifizierungsstelle herausgegeben wird. Also meinetwegen Let’s Encrypt. Die TLS-Verschlüsselung sichert nur den eigentlichen Transportweg der Daten und keinesfalls den Zugang zum Server.
Willst du nur bekannte berechtigte Personen für den Zugang zulassen, dann kannst du selbstverständlich auch Zertifikate selbst erzeugen. Kryptologisch gibt es da keinerlei Unterschiede in der Sicherheit (wenn du alles richtig machst), nur die berechtigten Nutzer müssen entweder im Browser eine sogenannte “Ausnahmegenehmigung” eintragen oder eben mit der Meldung wegen eines selbst signierten Zertifikates leben.
(Ich habe seit ca. 20 Jahren viele Tausend Zertifikate für Familie, Freunde usw. hergestellt und kann dich gern unterstützen.)
Was die Erreichbarkeit übers Netz angeht, gibt es natürlich auch mehrere Möglichkeiten.
Das wären zum ersten via obsoleter IPv4 und Portweiterleitung im Router. Aber die IPv4 werden langsam alle …
Die zweite Möglichkeit wäre die Nutzung des modernen und einzig zukunftsfähigen IPv6. Jede (zugeteilte) IPv6 ist grundsätzlich in der Lage auch von außen erreichbar zu sein. Nur, dass dazu im Router eine entsprechende Firewallregel für dieses Gerät und den gewünschten Port eingestellt werden muss. Bei der Fritz!Box ist das die identische Methode wie für die Portweiterleitung bei IPv4 - selbsterklärend. Dann kannst du schon einen selbst gehosteten Dienst mit IPv6:Port erreichen.
Als Privatkunde hast du doch garantiert eine dauerhafte IP. Die einzige Lösung “einfacher Art” ist hier ein sogenannter DynDNS-Anbieter, welcher dir einen zumeist frei wählbaren Namen anbietet (mein Favorit: dynv6.com), und der dann intern diesen Namen auf die jeweilige zugeteilte IP (hier: IPv6) auflöst. Du erreichst im Heimnetz gehostete Dienste also dann mit “meindyndnsname.dynv6.net”.
Ich möchte auch den Königsweg (wenn nur berechtigte Nutzer deine Kiste erreichen sollen) erwähnen: das ist der Einsatz eines selbst gehosteten VPN. Also du selbst als VPN-Anbieter und keinerlei Freigaben (natürlich außer dem VPN-Endpunkt) im Hausnetz.
Natürlich, gute Lösungen benötigen auch etwas Aufwand und Können. Ich betreibe selbst ein völlig privates VPN mit 8 Endpunkten in drei Ländern - und ich kann selbst von meinem Smartphone aus alle Geräte in diesem schon recht großen Netz erreichen.
Aber, wie gesagt, der Königsweg.
Wenn du mir Antworten auf meine Hinweise geben möchtest, können wir gern einen für dich geeigneten Weg suchen und garantiert auch finden.
Ergo bisher ist mir die Erstellung des Zertifikats noch nicht so ganz klar.
Ziel der ganzen Geschichte ist neben einer eigenen Cloud Lösung auch ein bisschen Wissenszuwachs, parallel versuche ich gerade gute Artikel, Buchkapitel zu lesen um mich in diese Netzwerkthematik ein bisschen reinzufuchsen, da finde ich ein Aufsetzen der Nextbox als Learning-by-Doing Objekt ziemlich reizvoll.
Ich hoffe für einen ersten Überblick reichen meine Antworten, ansonsten bitte penetrant nachhaken.
Vielen Dank nochmal und habt alle einen guten Tag!
Danke für dein Lob und deine ausführliche Antwort. Am besten gefällt mir der letzte Punkt (… Wissenszuwachs). Ja, ich finde derartige Experimente auch toll. Und ich freue mich sehr, wenn sich jemand mit IPv6 befassen will!
So, nun wissen wir, dass es kein “weltweiter” Zugang werden soll, was die Sache sehr erleichtert.
Nun kenne ich die Nextbox nicht, aber ich vermute, dass dieses Teilchen bereits intern ein selbstsigniertes Zertifikat erzeugt. Das kannst du dir als ein Zertifikat vorstellen, was zwar völlig zum Aufbau einer TLS-gesicherten Verbindung ausreicht, aber keinesfalls eine saubere Aussage macht, hinsichtlich der Zertifizierungsstelle und auch meistens nicht zur “Domain” des Serverchens passt. Es kommt also völlig zu Recht eine entsprechende Warnung des Browsers oder dieser verweigert sogar den Aufbau der TLS-Verbindung. All das ist völlig richtig und auch so gewollt! (Im Firmenumfeld und bei “offiziellen” Webseiten ist das natürlich ein No-Go und gilt als unprofessionell, aber für deinen gewünschten Zweck ist das völlig in Ordnung!) du und deine paar Nutzer können damit leben, indem sie im Browser eine “Ausnahmeregel” einrichten bzw. generell bestimmte Sicherheitsregeln im Browser für diese Seite etwas zurückschrauben.
Für erste Experimente kannst du gut damit leben - du kannst das aber später auch sehr sauber lösen, wenn du willst.
Zu dem von dir gewählten DynDNS-Anbieter kann ich nichts sagen. Ich bevorzuge eben einen anderen, bei dem ich dir jegliche Unterstützung geben kann.
Wie in meinem ersten Post schon geschrieben, kannst du bei deinem DS-lite ja “nur” IPv6 für die Erreichbarkeit nutzen. Also ermittle in deinem, Router (Typ?) die für deine NextBox angezeigte IPv6 und stelle in der Firewall eine Portöffnung für jene IPv6 und die für die Erreichbarkeit benötigten Ports (vermutlich 443) ein. Weitere Dienste benötigen natürlich auch noch weitere Ports. (Ich weiß nicht, ob die NextBox noch interne Firewallregeln hat und/oder ob diese mit Aktivierung des Dienstes erst eingerichtet werden müssen oder dann auch schon aktiv sind!) Letztendlich ist diese Portöffnung nicht komplizierter, als bei IPv4.
Wenn das mit dieser Portfreigabe (Analogie zu IPv4, dort ist es eine Portweiterleitung, da bei IPv4 das NAT per se ja alles Ankommende blockiert.) eingerichtet ist, solltest du das Gerät eigentlich schon aus dem Internet erreichen können - musst eben erst einmal (sehr unkomfortabel) die lange (und periodisch wechselnde!) IPv6 (und wenn ein ungewöhnlicher Port, dann auch diesen) eingeben. Aber es ist dann ein gutes Zeichen, wenn der Browser (nach der Meckermeldung wegen des selbstsignierten Zertifikates) die Anmeldemaske deiner NextBox anzeigt und du dich anmelden kannst.
Viel Erfolg!