Zugriff auf Nextbox von Außen extrem langsam

Hallo zusammen,

ich habe heute mit einem Kumpel meine neu eingetroffene Nextbox eingerichtet.

Einrichtung HTTPS:

Hierbei sind wir der Anleitung für HTTPS (“geführter dynamischer DNS per dedyn.io”) Schritt für Schritt gefolgt. Das hat soweit auch alles funktioniert. Die Nextbox hat ein letsencrypt Zertifikat, der Name wird aufgelöst und Port Forwarding (80 und 443) in der Vodafone Gigabox ist auch eingerichtet.

Ein erster Test ergibt folgendes Ergebnis:

Wird die Nextbox über die interne IP aufgerufen, funktioniert die Box problemlos. Sowohl das Einloggen als auch das Wechseln zwischen einzelnen installierten apps funktioniert schnell und flüssig. Eine Synchronisation des Kalenders und der Kontakte mit einem iPhone funktioniert ebenfalls problemlos.

Grundsätzlich scheint die Nextbox also zu laufen.

Nun stellen sich aber folgende Probleme dar:

1. Ruft man die Nextbox allerdings über die externe Adresse auf, dauert der Webseiten-Aufbau mehrere Minuten. Hat man es nun geschafft, sich anzumelden, dauert auch das Switchen auf den einzelnen Unterseiten/Apps ewig lange. Ein produktiver Einsatz der Box ist so leider nicht möglich.

2. Versucht man nun gleichzeitig in einem anderen Tab im gleichen browser oder über einen zweiten browser zusätzlich über die interne IP auf die nextbox zuzugreifen, wird auch hier die Geschwindigkeit extrem ausgebremst. Auch hier dauert der Aufbau der einzelnen Seiten nun mehrere Minuten. Löscht man nun wieder den Tab oder den zweiten browser über den man extern zugreifen wollte, funktioniert die Verbindung über die interne IP wieder wie vorher normal.

Folgende Dinge haben wir zusätzlich noch gemacht:

• Neustart Router
• Neustart Nextbox
• Neustart Rechner, von dem wir drauf zugreifen
• Auslastung kontrolliert über die Administrationseinstellungen → System: Da ist nichts zu erkennen

All diese Punkte haben nicht geholfen.

Leider wissen wir ab hier nicht weiter!

Es wäre nett, wenn ihr mir/uns helfen könntet.

Vielen Dank.
Tors

Hallo @Tors!

Ich habe (weil von mir nicht benötigt) zwar keine Nextbox, aber ich will trotzdem einige Fragen zu einer eventuellen Fehlersuche stellen. Vielleicht kommen wir damit den Ursachen für das Problem näher.

1. Kannst du (mit den Mitteln deines mir unbekannten Betriebssystems) den Namen deiner Nextbox sowohl mit IPv4 als auch mit IPv6 auflösen? (Bietet der DynDNS-Provider beide Protokolle an?)
2. Wird dein Internetzugang mit DS (Dualstack, also der heute üblichen IPv6 und einer routingfähigen IPv4) oder nur mit DS-lite (also der IPv6 und einer von außen NICHT direkt erreichbaren IPv4 aus dem NAT-Bereich des Providers) betrieben?
3. Welchen Router nutzt du überhaupt (nur, damit ich eventuell bestimmte gerätetypische Fragen stellen kann.)
4. Kannst du die Nextbox (ohne große Klimmzüge zu machen) auch mal testweise ohne TLS- Verschlüsselung ansprechen? => Ich will einfach eine mögliche Fehlerquelle ausschließen, und das soll auch nur zum Testen sein!

Ja, mach das mal und dann sehen wir weiter.

vy 73 de Peter

Hallo Peter,

zuerst schon einmal vielen Dank für dein Unterstützungsangebot!

Hier meine Antworten zu deinen Fragen:

zu 1: Bei meinem Betriebssystem handelt es sich um ein macOS Ventura aktuellste Version. Mein Kumpel hat per Linux ein “nslookup” auf die eingerichtete dedyn.io Adresse gemacht. Der Name wird als IPv4 korrekt aufgelöst. Dedyn.io sollte sowohl IPv4 als auch IPv6 unterstützen.

zu 2: da bin ich völlig überfragt. Mit der Frage kann ich leider gar nichts anfangen.

zu 3: es handelt sich um den Standard Router von Vodafone (Vodafone Station). Dieser scheint IPv6 jedoch nicht zu unterstützen. Im Reiter LAN in den Einstellungen ist jedenfalls nichts eingetragen. Auf der Konfigurationsseite der nextbox wird unter der Einstellung HTTPS ebenfalls angezeigt, dass IPv6 aktuell anscheinend nicht unterstützt wird ( Using IPv6 address: (No IPv6 support) )

zu 4: Sobald ich HTTPS/TLS ausschalte kommt überhaupt keine Verbindung zustande.

Ich hoffe, Dir sagt das alles mehr als mir

Vielen Dank.

VG

Hallo @Tors!

Autsch, das wird für mich ein voller Blindflug!

1. Keinerlei praktische Erfahrung mit einem Apfelrechner (aber dieses OS ist ja mehr oder weniger auch ein unixoides System).
2. Wie schon geschrieben, noch nie eine Nextbox aus der Nähe gesehen (aber dafür viele Linuxsysteme, kleine und große, ins Netz gebracht).
3. Und die “Vodafone Station” kenne ich auch nur vom Namen her.

Wichtig ist eine Antwort auf meine Frage Nr. 2!
Solange alles (also deine Internetverbindung, die Auflösung des DynDNS-Namens und dein internes Netz) alles unter IPv4 läuft, kannst du ja auch alles über dieses (IMHO veraltete) Protokoll aufbauen. Ob du also einen Dualstack-Zugang (mit einer wirklich routingfähigen IPv4) von Vodafone hast, kann dir entweder dein Provider oder ein kundiger Blick in das GUI deines (garantiert vom Provider kastrierten) Routers sagen.
Irgendwo in deinem Router muss diese IP zu sehen sein. Du kannst sie gern (meinetwegen bis auf die letzte Zahl) hier posten, dann kann ich dir sagen, ob das eine “öffentliche”, also routingfähige IPv4 oder eben eine aus dem Provider-NAT (CG-NAT) ist, welche nicht aus dem Netz erreichbar ist.

Dann solltest du mit einem Tool wie (unter Linux und auf der WinDOSe) “ping”, “nslookup” o.ä. deinen DynDNS-Namen auflösen lassen (ping mein_dyndns). Dann sollte die gleiche IPv4 angezeigt werden, wie sie auch im Router zu sehen ist. Im Router sollte ja auch ein geeigneter DynDNS-Client eingerichtet sein, welcher diese erhaltene IPv4 dem DynDNS-Povider meldet. Und irgendwo bei diesem DynDNS-Povider sollte diese IPv4 letztendlich auch in einer Übersicht zu finden sein.

Noch mal zu deinem Internetzugang.
Du hast ja geschrieben, dass dein Internetzugang “nur” mit IPv4 funktioniert - du also von deinem Provider nur eine einzige IP, und dann eben eine IPv4 bekommst. Nun, das wundert mich sehr. Die meisten Provider können wegen der akuten Knappheit an IPv4 heutzutage wirklich nur jedem Kunden eine Reihe von IPv6 und eine nicht routingfähige IPv4 bereitstellen. Also das “berüchtigte” DS-lite.
Bitte genau prüfen!

Wenn du, wie oben beschrieben, wirklich eine routingfähige IPv4 bei dir feststellst, dann kannst du in einem Browser auch mal versuchen, deine Nextbox direkt über diese IPv4 zu erreichen. Also https://xxx.xxx.xxx.xxx (und meinetwegen noch :443 nach der letzten Zahl, aber das sollte auch schon das Nennen des Protokolls (https://) machen.

Es wäre auch gut, wenn du diesen Aufruf nicht aus deinem eigenen Netz, sondern von deinem Freund aus machst (oder ihn gleich damit beauftragst). Der sogenannte " DNS-Rebind-Schutz" kann auch unerwünschte Effekte machen.

Und dann gehe ich mal davon aus, dass du der mac-Adresse (der sogenannte “Hardwareadresse”) deiner Nextbox dauerhaft eine feste IPv4 aus deinem internen Netz zugewiesen und genau auf diese interne Adresse (bspw. 192.168.xxx.xxx) die von dir eingerichtete Portweiterleitung für :80 und :443 zielt.

Ja, so weit.
Ich bin ganz bewusst bis in Sachen vorgedrungen, wo ein Fehler eigentlich überhaupt keine Erreichbarkeit aus dem Netz zeigen würde. Aber bei der Fehlersuche solltest du wirklich “ganz unten” anfangen.

vy 73 de Peter

Hallo Peter,

danke weiterhin für deine Unterstützung!

zur internen festen IPv4:
Diese lautet auf, wie von dir richtig beschrieben auf 192.168.xxxxx und auf diese sind zwei Portweiterleitungen eingerichtet (80 und 443). Über https://192.168.xxxx ist die nextbox intern problemlos zu erreichen und es funktioniert alles wie gewünscht.

zur externen IPv4:
Diese lautet auf 62.143.xxx.xxx . Im Menü der nextbox kommt unter dem Reiter HTTPS/TLS folgende Meldung:

Network Information:
Using IPv4 address: 62.143.xxx.xxx
Using IPv6 address: (No IPv6 support)

HTTPS/TLS Status:
successfully resolved to 62.143.xxx.xxx
reachability test…pending

Von außen über meinen Kumpel ist die externe IP seit gestern gar nicht mehr zu erreichen.
Was sehr komisch ist: wir sind uns beide sehr sicher, dass bei der Einrichtung der “reachability test” erfolgreich beim HTTPS/TLS Status angezeigt wurde. Sie war an dem Tag ja auch von außen zu erreichen, halt nur extrem langsam. Seitenaufbau >5min. Mittlerweile ist sie von außen komplett tot, obwohl ich nichts an der Konfiguration geändert habe.

Ich habe mittlerweile die starke Vermutung, dass es tatsächlich am DNS-Rebind-Schutz liegen könnte. Leider habe ich im Router keinerlei Möglichkeit gefunden, hier Änderungen einzutragen. Ein Zugriff auf diese Option scheint nicht zu existieren.

Gibt es evtl. noch andere Lösungsansätze oder wird es darauf hinauslaufen, dass ich mir tatsächlich einen neuen Router zulegen muss, der im Gegansatz zu der Vodafonekiste etwas kann?

Danke und VG

Hallo @Tors!

Deine Antworten auf meine Fragen waren alle völlig schlüssig. Es handelt sich um eine “offizielle” IPv4 von Vodafone oder UNITYMEDIA.
Eigentlich … sollte darüber auch alles funktionieren.
Ich gehe davon aus, dass diese dir zugeteilte IPv4 auch keine feste IP ist (oder dein Vertrag sichert dir dieses zu). Also kann (wird) es wohl so sein, dass du heute eine andere IP erhalten hast (Prüfen!). Um dieses Problem mit der sich ändernden IP zu umgehen, benutzen wir ja einen DynDNS-Anbieter, welcher immer unsere IP kennt und den Namen korrekt auf diese IP auflöst.
Zu den Einstellmöglichkeiten hinsichtlich Rebind-Schutz bei deinem Router kann ich leider wirklich nichts sagen. (Hast du schon die Suchmaschine deines geringsten Misstrauens dazu befragt?)

Einer fällt mir noch ein:
Die von dir gepostete IPv4 ist ja diejenige, welche deine Vodafone-Box erhält und über welche auch sämtlicher ankommender Verkehr in dein Hausnetz geht. Natürlich dann mit der aktivierten Portweiterleitung auf die interne (“private”) IPv4 deiner Nextbox.
Ich hoffe mal, dass diese Portweiterleitungen (:80 und :443) ausschließlich zu deiner Nextbox führen und keinesfalls das GUI deines Routers über diese Ports erreichbar ist. Oder anders gesagt, dein Router darf keinesfalls per https von außen über diese Ports erreichbar sein. (So manches Gerät lässt eine derartige Fehlkonfiguration zu!)
Du solltest also überprüfen, ob der Zugang aus dem “bösen Netz” auf deinen Router deaktiviert ist! (Sicherheitsbewusste User verbieten einen derartigen direkten Zugang grundsätzlich.)

Ich hätte noch einen Vorschlag oder ein Angebot für dich.
Bedauerlicherweise habe ich bislang in diesem Forum noch keine Möglichkeit zum Senden sogenannter privater Nachrichten (PN) gefunden. Ich könnte dir aber eine sogenannte Wegwerfadresse (welche sich automatisch nach einer festgelegten Anzahl von E-Mails selbst zerlegt) schicken, an die du mir deinen DynDNS-Namen mailen kannst. Dann könnte ich zumindest hinsichtlich Erreichbarkeit und Rebind-Schutz ein wenig testen. Zumindest kann ich dann sehen, wie schnell (gefühlt) deine Anmeldemaske kommt. Weiter rein (Anmelden und zwischen den Seiten blättern) will und werde ich keinesfalls, will auch keinesfalls dein Passwort wissen.
Nur so viel dazu: Ich betreibe ein (völlig privates und nicht kommerzielles) Netz aus aktuell 8 in Deutschland und zwei weiteren EU-Ländern stationierten VPN-Routern (WireGuard). Diese unter OpenWrt laufenden Router sind alle wirklich blitzschnell zu erreichen. Und genau so sollte das auch mit deiner Nextbox laufen!

vy 73 de Peter

Hallo Peter,

ich würde dein Angebot gerne in Anspruch nehmen.

VG

OK,

schreibe deinen dyndns-Namen per Mail an corona.test.pe_le@xoxy.net
Diese Adresse hat noch ein paar Antworten frei und wird ja eh nicht mehr benötigt.
Wenn ich am Nachmittag wieder zurück bin, werde ich mich mal damit befassen.

vy 73 de Peter

Ist denn meine heutige Antwort bei dir angekommen?

Hey, ja die von heute ist angekommen. Hab schon geantwortet. Danke!