IPv6 zwingend benötigt?

So langsam mag ich nicht mehr. Dieses 'No technical administrator skills required ’ hat mich jetzt schon Tage gekostet, an denen ich versuche, die nextbox zum Laufen zu bekommen :frowning:

Nachdem ‘lokal’ gar nichts ging und ‘lokal’ bedeutet, dass sie ans Internet gehängt werden muss und man sich eine Fritzbox anschaffen muss und dann das eigene Netz unsicher machen muss, um eine ‘lokale’ Cloud zum Laufen zu bekommen - bekommt man diese ‘einfache’ Lösung immer noch nicht zum Laufen :frowning:

Your deSEC account setup looks good and is ready to use. Enjoy!

Erste Hürde also genommen.

Port Sharing (Permit Access) für beide benötigten Ports eingerichtet.

Failed to acquire domain.dedyn.io with email@address.domain✖

Also in die Dokumentation geschaut und die Domain unter ’ DNS Rebind Protection’ eingetragen und immer noch:

HTTPS / TLS is not activated

Alle Informationen und Hilfestellungen hier helfen nicht, ich habe wohl durch Starlink kein IPv6 und meine Fritzbox 4020 hat viele dieser Einstellungen auch gar nicht.

Das muss doch auch mit IPv4 gehen?

Sorry - aber diese ‘simple’ Cloud für zu Hause, die angeblich ohne Aufwand einzurichten ist - ist ein absoluter Albtraum!

Was mache ich jetzt schon wieder falsch, was wohl für jeden anderen Laien selbstverständlich sein muss?

1 Like

Nachtrag: Es liegt nicht an der ‘simplen’ Fritzbox. ich bin jetzt losgezogen und habe eine 7530 angeschafft und es funktioniert immer noch nicht :frowning:

Ich habe eine xxxx.dedyn.io, Das App sagt in grün: Successfully resolved: xxx.dedyn.io

Ich habe in der Fritzbox die Port Freigabe aktiviert:

Aber ich kann weder drauf zugreifen, noch HTTPS aktivieren :frowning:

Was fehlt mir?

Hey @moapp,

ja das geht ja schon alles in die richtige Richtung, wie sieht denn das Netzwerk jetzt genau aus ?

Internet <=> Starlink Router <=> Fritz!Box <=> NextBox

oder so:

Internet <=> Fritz!Box <=> NextBox

Bei der ersteren Variante muss das Port-Forwarding auch beim Starlink Router eingestellt werden, nach meinen Recherchen ist, das scheinbar tatsächlich nicht möglich mit diesem Router, oder täusche ich mich da?

Grundsätzlich ist das akquirieren des TLS Zertifikats eigentlich immer ein Indiz dafür, dass die NextBox einfach nicht verfügbar ist von “außen” aus dem Internet. Das kann man zB auch ganz gut mit einem Smartphone im Mobilfunknetz (nicht im WLAN) eingeloggt testen, indem man die öffentliche IPv4 Adresse einfach im Browser eingibt, falls die NextBox erreichbar ist, dann sieht man das sofort, falls nicht, klemmt noch irgendwo eine Konfiguration.

Prinzipiell geht das ganze mit nur IPv4, nur IPv6 aber auch mit beiden. Da gibt es keine technischen Einschränkungen seitens der NextBox, die Herausforderung sind zumeist die ISPs (Internetanbieter), diese neigen in letzter Zeit dazu DS-Lite Anschlüsse (quasi nur eine IPv6 Adresse) zu vergeben, dann benötigt man zwingen IPv6. Andere hingegen vergeben nur sogenannte “private IPv4” Adressen, die auch nicht von außen Verkehr nach Innen weiterleiten. Das optimalste sind sogenannte Dual-Stack Anschlüsse, die mit uneingeschränktem IPv4 sowie IPv6 daher kommen, diese kosten aber meist extra oder sind business Kunden vorbehalten. Was man hat lässt sich meist auf der Übersichtsseite des Internetrouters einsehen, dort steht meist prominent “DS-Lite” falls das der Fall ist, wohingegen “private IPv4” Adressen nach meinem Wissen nicht für den Router sichtbar sind, zur Sicherheit kann man auch mal die Hotline des Internetanbieters damit belasten…

beste Grüße

Auch aus dem LTE Netz nicht zu erreichen. Soweit ich das sehe, bekomme ich von Starlink eh nur IPv4, auch wenn andere sagen, dass mit einer Fitzbox dazwischen auch IPv6 geht (heute dazu erst etwas auf heise gelesen)

Der Starlink Router sagt gar nichts, der ist sehr eingeschränkt und die Fritzbox kann nichts sagen, da sie so eingestellt ist, dass sie das Modem umgeht (vorhandener Zugang über LAN), da dies ja in der Starlink Schüssel, bzw, dessen Anschlussteil mit dabei ist.

Ich habe in der neuen (guten) Fritzbox auch alles so eingestellt, wie hier im Forum beschrieben, bei dem Vodofone Menschen, der das auch nicht aktivieren konnte, allerdings hatte der ja wenigstens Zugriff.

Also stimmt vermutlich etwas nicht mit meinen Einstellungen zum Zugriff?

Auf was muss ich denn noch achten?

Oder kann es schlicht sein, dass es tatsächlich an Starlink liegt? Wobei der verlinkte heise Artikel sagt, dass die keine Probleme hatten:

Den mitgelieferten Router kann man aus dem Spiel lassen: Steckt man einen eigenen an den PoE-Injektor, bekommt er per DHCP IPv4- und IPv6-Adressen zugewiesen und der Dualstack-Internetzugang ist frei.

Wenn ich den Monitor richtig interpretiere ist dem auch so:

Schon mal danke.

Also mit den Fritz!Boxen kann mach eigentlich wirklich nicht so viel falsch machen, das einzige was immer nötig ist, ist halt die port-freigabe, wenn diese aber nicht dazu führt, dass man zB übers Mobilnetz auf die NetzBox kommt, dann wird irgendwas oder irgendwer den Datenverkehr unterbrechen. I.d.R. wie oben schon angedeutet ist der ISP nicht unschuldig.

Wenn man sich die IPv4 anschaut, macht die schon einen starken Carrier-Grade-NAT Eindruck, ein wenig weiter suchen bestätigt das: https://www.reddit.com/r/Starlink/comments/jlriw7/bypassing_the_starlink_router_stupid_easy/ … das ist leider so ziemlich das mieseste was es gibt ;/ soweit ich weiß geht da pauschal kein port-forwarding, weil man sich nach außen hin grundsätzlich mit sehr vielen Leuten eine IPv4 teilt. Grundsätzlich aber bitte nicht auf meine Mutmaßungen hören, sondern mal da anrufen und fragen wie/ob man port-forwarding machen kann… mmmh, das erklärt natürlich auch wieso der router nichts kann, weil er nichts könnte, auch wenn er wöllte :smiley:

das ist leider so ziemlich das mieseste was es gibt ;/

Zwei Wochen, zwei Fritzboxen und viele Tränen später :frowning:

Bliebe für mich also wirklich nur noch irgendwie lokal HTTPS hinzubekommen.

Wenn ich das richtig verstehe, muss ich dazu erst einmal mein eigenes Zertifikat einrichten, dann brauche ich einen SSH Zugang zur Nextbox und dann muss ich in irgendwelchen Dateien komische Dinge eintragen - richtig?

Gesetzt den Fall, ich schaffe das in ein paar mehr Wochen mit ein paar noch mehr Tränen - wie groß ist die Chance, dass das dann irgend wann kaputt geht oder nach einem Update nicht mehr funktioniert - oder ist das nur ein einmaliger Schmerz und ich habe die nächsten Jahre Ruhe?

Und finde ich zu all den Schritten hier die benötigten Anleitungen, die man auch ohne zwanzig Jahre Erfahrung in dem Bereich versteht?

Oder reicht vielleicht so etwas schon aus? Und wenn ja, wie?

Und für die Zukunft wäre das toll (naiv, wie ich bin, glaube ich nämlich nicht, dass ich der einzige auf der ganzen weiten Welt bin) wenn es im App da einfach eine vierte Möglichkeit und einen Haken gibt: NextBox vollumfänglich lokal verwenden - und dann passiert das wie bei den anderen Optionen automatisch :-0

Es gab schon wen hier im Forum, der hat das sogar für ein eigens signiertes Zertifikat gemacht, davon würde ich prinzipiell schon abraten, da dies auch bedeutet, dass alle Geräte die mit der Nextcloud reden wollen das benötigen, oder die kriegen die böse Warnung vor einem non-official Zertifikat.

Was ich damit sagen will: das geht, überlebt Updates und wird sogar mit-gebackupped, wenn sauber gemacht. Finds auch ziemlich stark, dass aufgeben scheinbar keine Option ist! Also fühle ich mich mal angespornt und werde mal genau für dieses Szenario + NextBox eine Dokumentation hinhauen! Sagen wir mal ein paar Tage?

Grundsätzlich ist der meiner Ansicht nach “schmerzloseste” Weg ungefähr so:

  • bei deSEC eine Domain einrichten
  • ssh-zugang einrichten
  • derren skript für den certbot, dann unterstützt der gut DNS-basierte Authentifizierung mit denen
  • mit ssh einloggen, den magischen richtigen Befehl eingeben
  • wenn es “wirklich” der richtige ist, dann kann man danach auch in der NextBox App auf das “enable TLS” Knöpfchen drücken und es sollte rennen, im besten fall ohne ein config-file zu öffnen zu müssen (weil die NextBox, wenn das Zertifikat an der richtigen stelle liegt denken wird, es sei von ihr und sich um den rest kümmert)

Das einzige was ein wenig unschön ist, ist die Tatsache, dass es wahrscheinlich keinen frei konfigurierbaren DNS gibt in deinem Heim, die Fritz!Boxen sind da recht eingeschränkt, aber es brauch eine Möglichkeit um allen Geräten im LAN mitzuteilen, dass Sie für einen bestimmten “Servernamen” nur lokal suchen sollen.

Ich befürchte fast, dass das “basteliger” wird, aber auch nur Einmal-Aufwand, Windows und Linux sind super easy, Android gibt’s auch diverse Lösungen ohne root-not, die Äpfel werden sich ziemlich schwer tun… Hier muss man Abwegen, ein dnsmasq auf der NextBox ist in 5mins eingerichtet, vielleicht ist das die klügere Methode…

Prinzipiell ist das schon richtig und gut was da steht, aber die NextBox versucht ja diese ganzen Aufgaben zu automatisieren, d.h. einige Dinge, die dort vorgeschlagen werden, werden es höchstwahrscheinlich nicht lange überstehen.

Ja, da gibts sogar ein ToDo schon für: Implement other TLS certificate deployments · Issue #51 · Nitrokey/nextbox · GitHub … gerne mal einen +1 Daumen da lassen, dann wissen wir auch was mehr gewollt/gebraucht wird als anderes…

hossa

Weinend zur Seite legen und später (kann auch Jahre sein) noch einmal angehen ja, Aufgeben eher nein :slight_smile:

Schon mal danke für die Mühe!

Zu dem speziellen Punkt:

Ich mache das auf einem zusätzlichen RaspPi per Pi-Hole (nicht, weil es nötig wäre). In den Einstellungen des Pi-Hole kann man bequem (im Browser) lokale DNS-“Umleitungen” konfigurieren. Das legt zwar noch einmal eine Schippe Komplexität drauf, aber dafür kommt man dann auch in den Genuss eines feinen Werbe- und Malware-Blockings.
Allerdings könnte es sein, dass die DHCP-Einrichtung dann wieder blöd wird und man doch jedes Gerät anfassen muss; habe ich von diesen Starlink-Dingern (zum Glück, wie’s scheint) keine Ahnung…

Was für Anforderungen muss der denn erfüllen, um nicht alles auszubremsen?

Das mit dem Werbe- und Malware-Blocking klingt gut und der Starlink Router wurde ja jetzt durch eine Fritzbox ersetzt.

Ein Pi-Hole braucht nicht viel Hardware. Meiner läuft auf einem RPi 3B (1 GB RAM) und das reicht völlig für mehr als 8 Mio Domains auf der Blockliste. :sunglasses:
Seine eigentliche Aufgabe als DNS-Server verlangt nicht viel, Ressorcen-mäßig würde die Nextbox das locker auch noch stemmen können (netzwerkmäßig ist das aber vmtl. keine gute Idee!). Habe von Leuten gelesen, die einen RPi Zero nehmen… Es muss auch gar kein RPi sein, irgendein Linux-fähiger Rechner halt; s. Prerequisites - Pi-hole documentation
Die Netzwerkanbindung sollte stabil sein, also nicht unbedingt per WLAN.

Extra-Aufwand ist das nicht, wenn man ohnehin eine eigene CA hat, um mehrere Geräte im eigenen Netz verschlüsselt kommunizieren zu lassen. :slightly_smiling_face:
Die CA ist eben auf all meinen Geräten importiert …

Ich weiß, dass nicht jeder solche Anforderungen hat, aber es scheint doch öfter solche Fälle zu geben.