Apache über Route von außen nicht erreichbar (Raspbian Jessie)

  • Hallo Wissende,

    vor einigen Tage habe ich ein Raspberry mit der Jessie Lite -Version aufgesetzt und als Router habe ich einen Speedport W723 V Typ B mit der Firmware 1.40.1XXX. Die Firmware sollte auf den neuesten Stand sein sein.

    Soviel zur Hardware und zum zum eigentlichen Problem und da weiß ich nicht ob es eins oder mehrere sind!

    Ich wollte einen Webserver (Apache 2.4) übers Internet ansprechen. Damit nicht jeder gleich mit der Tür ins Haus fällt wurde von mir der Port für den Apache beispielsweise auf TCP 1234 verlagert. Am Router wurde das Portforwarding auf den gewünschten Port eingestellt.
    Aus meinem lokalen Netzwerk kann ich dern Apache über den neuen Port anprechen. Auf dem alten 80er Port reagiert er nicht und dies war ja auch gewollt!
    Wenn ich mir die WAN-Adresse meines Routers hole (direkt vom Router oder per ddclient) und per Handy auf den Webserver zugreifen möchte, so erhalte ich keine Antwort vom Server. :s
    Da ich im Internet über den W723 V schlimme Dinge, wie mangelndes Portforwarding hörte, so bin ich mir nicht sicher ob ich das Problem am Router oder am Raspberry habe.
    Mit nmap finde ich nur den SSH-Port 22 und nicht meinen neuen Port für den Apache.

    Kann es sein, dass bei der Jessie-Version eine Firewall installiert und aktviert wird und ist oder ist doch der Router die Bremse? Andererseits wundert mich dann aber, dass ich lokal den Webserver mit Anzeige der index.html ansprechen kann.

    Eine Firewall hatte ich nicht bewusst installiert?

    Da ich Neuling in dem Geschäft bin und gerade erst Staub wische :) , so würde ich mich über eure Tipps zur Fehlereingrenzung freuen und danke auch schon mal im voraus dafür!! :danke_ATDE:

    VG

  • Apache über Route von außen nicht erreichbar (Raspbian Jessie)? Schau mal ob du hier fündig wirst!

  • Welchen Internet-Anbieter hast du?

    Stichwort => DS-Lite
    Was auch sein kann => Loopback


    PS: Den Port des apache2 brauchst du nicht verstellen. Änder einfach nur den Weiterleitungsport also zB Intern auf Port 80 aber Extern auf Port 800

  • Dann wirst du höchst wahrscheinlich einen DS-Lite Anschluss haben und kannst keine Portweiterleitung für IPv4 nutzen.

    Das kann man sich so vorstellen:
    Dein DSL Modem verbindet sich zu einem Router deines Anbieters. Dieser Router wiederum hat eine IPv4 Adresse ins Internet. Du hast auf diesen Router deines Anbieters aber kein Zugriff und kannst daher auch keine Portweiterleitung einrichten.

    Hintergründe Grob beschrieben:

    Da nicht mehr genügend IPv4 Adressen zur Verfügung stehen, haben fast alle Anbieter auf IPv6 umgestellt.
    Da das Internet aber immer noch primär auf IPv4 setzt/funktioniert muss man trotzdem noch eine IPv4 haben um sich im Internet bewegen zu können.
    Nun behilft man sich einem Trick:
    Mehrere Nutzer teilen sich die selbe IPv4 Adresse. Also sowohl Du als auch zB 9 andere Nutzer sind zum selben Anbieter-Router verbunden, haben zwar unterschiedliche IPv6 Adressen aber teilen sich die selbe IPv4.
    Wenn nun jemand aus dem Internet eine Verbindung zu Dir herstellen möchte, weiß der Anbieter-Router zum einen aber gar nicht Wohin er das Datenpaket schicken soll da ja mehrere Clients in Frage kämen, zum anderen brauch man für IPv4 auf IPv6 einen sog. Tunnel, also ein Übersetzer. 6to4 oder 4to6 werden die auch genannt.
    Wenn also Ich ein DS-Lite Anschluss habe und versuche mich zu Dir zu verbinden, müsste ich wenn dann Deine IPv6 ansprechen. Würde ich aber Deine IPv4 ansprechen kann das nicht funktionieren da der Router deines Anbieters keine Weiterleitung eingerichtet hat.
    In gewisser Weise hat das auch was gutes da keiner mehr einfach so versuchen kann dich über IPv4 zu hacken ;) Zumindest ein kleiner Wermutstropfen...
    Anders hingegen wenn Du bereits eine Verbindung aufgebaut hast, dann gehen die Datenpakete durch die bereits aufgebaute Verbindung natürlich in beide Richtungen. Dann ist das kein Problem mehr - allerdings muss eben erst eine Verbindung zu Stande kommen...


    Ein weiteres Problem was unabhängig von DS-Lite ist aber Du auch haben könntest betrifft den Telekom Router => Kein Hairpin-NAT (aka. NAT Loopback).
    Die Telekom betrachtet das als Sicherheitsrisiko weshalb keiner ihrer Router dieses Feature unterstützt.
    Siehe dazu:
    http://wiki.mikrotik.com/wiki/Hairpin_NAT
    http://www.elektronik-kompendium.de/sites/net/0812111.htm
    https://www.heise.de/security/artikel/Angepinnt-271004.html


    PS: FAQ => Nützliche Links / Linksammlung => DS-Lite


  • Wenn ich mir die WAN-Adresse meines Routers hole (direkt vom Router oder per ddclient) und per Handy auf den Webserver zugreifen möchte, so erhalte ich keine Antwort vom Server. :s

    Ist dein Handy zu diesem Zeitpunkt nur mit dem Internet verbunden? ... oder evtl. auch im WLAN deines Routers?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (23. November 2016 um 11:59)

  • Hallo rpi444,

    zudem Zeitpunkt war WLAN abgeschaltet und das Smartphone zeigte LTE in der Statuszeile. Somit nehme ich ann, dass es auch keine WLAN-Verbindung mehr hatte.

    meigrafd

    vielen Dank für die Info!

    Wie bekommt man das nur heraus ob wir DL-Lite anliegen haben. Könnte mir vorstellen, dass du den Finger ind die Wunde legst, da unsere Anschlüsse in absehbarar Zeit auf IP-Telefonie umgestellt werden sollen und dies könnte Grund und der Anfang dazu werden/sein. :s

    Gibt es eine Chance dem Thema mit einer Alternativlösung auf den Leib zu rücken?

    VG

  • Wenn du eine IPv6 hast dann liegt die Chance auf DS-Lite sehr hoch ... Eigentlich werden heutzutage alle neuen Anschlüsse als DS-Lite beschaltet - aus bereits erwähntem Grund: Es gibt keine IPv4 Adressbereiche mehr, alle wurden bereits 2013 oder so vergeben. Altbestände gibts natürlich aber die lassen sich die Anbieter meist bezahlen, also zB könntest du ein Business Vertrag abschließen da wäre dann eine echte eigene IPv4 enthalten.... Erfrag das aber erst vorher :)

    Alternativ brauchst du halt ein IPv4-to-IPv6 Tunnel, oder ein Gateway wie zB ein winziger VPS (die es auch schon umsonst gibt) der dann Verbindungen über IPv4 annimmt und über IPv6 an dich weiterleitet - also eigentlich auch ein 4to6 Tunnel


    "in absehbarar Zeit auf IP-Telefonie umgestellt" das wird sich btw nie voll durchsetzen können da es immer noch genug Bereiche gibt wo kein oder nur sehr langsames Internet verfügbar ist - und geplant ist das ja soweit ich gelesen hab auch in ferner Zukunft...

  • Wenn du aus deinem Netz versuchst, auf die WAN-IP deines Routers, und dort auf eine Portweiterleitung, zuzugreifen, sperren sehr viele Router diesen Zugriffsversuch.

    Bei der Fritz!Box kann/konnte man das beim Punkt "Rebind-Schutz", der per Default engeschaltet ist, wieder abschalten.

    Computer ..... grrrrrr

  • Hi,
    ich bin neu in dem Forum und habe das selbe Problem, allerdings habe ich mal einen kleines Chat-Programm(java ServerSocket) auf meinem PC laufen lassen, das hat funktioniert.
    So, vor wenigen Wochen hat der Webserver (Apache2) auf meinem Raspberry Pi 3 noch funktioniert, er ist per LAN an den gleichen Router angeschlossen, wie er auch hat.
    Auf einmal ging dann, nach einem update oder so, ist mir halt nicht sofort aufgefallen nichts mehr.
    Ich nutze DUC, also den update client von noip und auf deren Seite wurde mir immer angezeigt, das Port 80 freigeschaltet ist. Jetzt ist dies nicht mehr der fall. Vielleicht kann mir da ja mal jemand helfen, oder mir ein fertiges Image schicken, Danke!

    Einmal editiert, zuletzt von LiquidBlue (23. November 2016 um 15:13)

  • Es ist nicht unbedingt gut in einem Thread der zwar vom Thema her ähnlich ist aber von jemand anderem erstellt wurde, sein individuelles Problem ebenfalls behandeln zu wollen... Zum einen ist das unhöflich dem Ersteller gegenüber, zum anderen erschwert es allen die Übersicht zu behalten. Es wäre daher besser wenn du, LiquidBlue, einen eigenen Thread erstellst um dort dein Problem zu behandeln. Vielen Dank für Dein Verständnis.

  • Hallo Kollegen,

    Rasp-Berlin:
    Die WAN-Adresse habe ich mir vom Speedport W723V geben lassen und ebenso über eine externe Webseite bestätigen lassen. Beide waren identisch. Mein Smartphone warüber LTE im Internet. Sollte sich also nicht mit dem eigenen Netzwerk und derm Router bekriegen.

    meigrafd:
    Gibt es eine Möglichkeit mit der man in Erfahrung bringen kann, ob man über DS-Lite mit dem WWW verbunden ist?

    Habe man ganz unbedarft auf einer externen Webseite nach einer IPv6 Adresse suchen lassen. Kann natürlich sein, dass diese durch die DS-Lite-Anbindung auch nicht dargestellt werden kann oder? Auf der anderen Seite muss doch irgendwann meine IPv6 Adresse sichtbar werden.

    VG


  • ... nach einer IPv6 Adresse suchen lassen. Kann natürlich sein, dass diese durch die DS-Lite-Anbindung auch nicht dargestellt werden kann oder? Auf der anderen Seite muss doch irgendwann meine IPv6 Adresse sichtbar werden.

    Nein, das kann nicht sein und ja, die externe IPv6-Adresse (wenn vorhanden) ist sichtbar. Z. B. auf deinem PI, mit:

    Code
    curl -B6 http://checkip6.spdyn.de


    und mit:

    Code
    ip a


    BTW: Ob man DS-lite hat, sollte man aus seinem Vertrag (bzw. Tarif) den man mit seinem Internet-Provider abgeschlossen hat, wissen.

    Wer ist dein Internet-Provider bzw. welchen Tarif hast Du? Im Web-IF des Routers/Gateyways/etc. sollte man auch Informationen finden, die auf DS-lite (wenn man es hat) hindeuten.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (28. November 2016 um 12:04)

  • Hallo Kollegen,

    sorry, :blush: musste einige Zeit mit meinem Thema Fernzugriff aus dem Internet pausieren. Mit fehlte die notwendige Zeit!

    rpi444:
    Ich habe es mal mit deinen Tipp

    Code
    curl -B6 http://checkip6.spdyn.de

    versucht. Leider findet sich der Server nicht mehr an. :fies: Ich habe es verschiedenen anderen Anbietern (z.B. mit http://ip6tools.com/check_client.php) versucht. :s Wenn dies ein ähnlicher Anbieter ist, so erhalte ich von dem folgende Aussage: :denker:

    Code
    No IPv6 Address, testing IPv4!
    Your IPv4 Address is: 87.xxx.xxx.xx4
    IPv6 Reverse DNS: is not necessary, just in case your are checking from a client with mail server enabled.
    IPv4 Reverse DNS: XXXXXXXX.dipX.t-ipconnect.de

    Ich würde jetzt aus euren Erläuterungen deuten, dass mein Anschluss noch alter Schule ist und mein Problem vor dem Bildschirm oder zwischen Telefondose und meinem Netzwerk sitzt. =(

    Stopp!!
    .
    .
    .
    .
    [pause]
    .
    .
    .
    .

    Ich stelle gerade fest, das Problem befand sich vermutlich doch vor dem Bildschirm. :blush::blush:

    Ich hatte damals die Ports (zur Steigerung der Sicherheit vor fremden Zugriffen) für den Apache verbogen. Ist bestimmt etwas hektisch gewesen und ich habe dabei bestimmt Fehler gemacht. Sch... ! :wallbash: Der Heutige Test war mit den Standardports erfolgreich. :thumbs1:

    Mal sehen wie sich der Router benimmt, wenn ich die Portnummern nochmals etwas meinen Vorstellungen anpasse. :denker: Gibt es, was man bei der Portanpassung beachten sollte?

    VG

  • rpi444:
    Ich habe es mal mit deinen Tipp

    Code
    curl -B6 http://checkip6.spdyn.de

    versucht. Leider findet sich der Server nicht mehr an.

    Wie war die Ausgabe? Denn von hier aus:

    Code
    :~ $ host -t AAAA checkip6.spdyn.de
    checkip6.spdyn.de has IPv6 address 2001:868:100:901:53::2
    Code
    :~ $ nc -zv -6 checkip6.spdyn.de 80
    Connection to checkip6.spdyn.de 80 port [tcp/http] succeeded!

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!