DynDNS

thobie

thobie

Aktives Mitglied
Thread Starter
Dabei seit
23.04.2006
Beiträge
1.097
Reaktionspunkte
187
Moin, Kollegen,

ich benötige eine Hilfestellung bei der Einrichtung von DynDNS für eine Serversoftware auf meinem Mac.

Ich bin anscheinend zu dumm, das DynDNS einzurichten.

Ich habe auf meinem Mac mit der festen IP 192.168.0.2 die Serversoftware Rumpus eingerichtet. Die notwendigen Portfreigaben sind in der FritzBox 7490 eingerichtet.

Um zu prüfen, ob die Serversoftware funktioniert, kann im lokalen Netzwerk von meinem zweiten Mac über diese IP auf das Webinterface der Serversoftware zugreifen. Somit funktioniert der Zugriff über den Router, der ja die feste IP 192.168.0.2 mit den Portfreigaben gespeichert hat.

Ich habe nun zuerst bei meinem Hoster Strato DynNDS eingerichtet und aktiviert. Und die entsprechenden Einstellungen in der FritzBox vorgenommen. Strato gibt an, dass DynNDS aktiv ist und die dynamische IP des Routers wird übertragen. Aber bei Eingabe der entsprechenden Subdomain in den Browser bekomme ich die Fehlermeldung, der Server sei nicht erreichbar.

Nun habe ich als zweites bei einem deutschen, kostenlosen DynDNS-Dienst die Subdomain kreativ-schmiede.goip.de eingerichtet und das DynDNS dort aktiviert und getestet. Auch hier bekomme ich die Meldung, dass die Eintragungen in der FritzBox unter DynDNS alle korrekt sind, die übermittelte dynamische IP vom Router zum DynDNS-Dienst identisch ist und die DynDNS-Einrichtung somit korrekt und aktiv.

Aber auch bei diesem Dienst erfolgt wieder das Gleiche. Gebe ich die Subdomain in den Browser ein, erhalte ich die Fehlermeldung, der Server ist nicht erreichbar.

Mache ich einen Denkfehler?

Es sollte doch bei Eingabe
1.) der Subdomain kreativ-schmie.de.goip.de der Zugriff durch
2.) den DynDNS-Dienst auf die
3.) dynamische IP des Routers, dann über die
4.) Portfreigaben auf die
5.) statische IP des Mac und somit auf die
6.) aktive Serversoftware erfolgen und das
7.) Webinterface im Browser angezeigt werden -
wie beim Zugriff im lokalen Netzwerk.

Wo also liegt der Fehler?

Bleibt gesund!

Grüße aus Hamburg

Thobie
 
Unter kreativ-schmie.de.goip.de wird keine zugehörige IP gefunden. Leicht zu testen mit dnschecker.org

Edit: scheinbar hast du unten deine Domain falsch geschrieben. Unter kreativ-schmiede.goip.de wird eine IP gefunden.

Ich weiß nicht welche Ports du freigegeben hast, aber die Standard Ports sind alle zu mit einer Ausnahme. Der Port 22... und den würde ich an deiner Steller ganz schnell zu machen...
 
thobie schrieb:
Um zu prüfen, ob die Serversoftware funktioniert, kann im lokalen Netzwerk von meinem zweiten Mac über diese IP auf das Webinterface der Serversoftware zugreifen. Somit funktioniert der Zugriff über den Router, der ja die feste IP 192.168.0.2 mit den Portfreigaben gespeichert hat.
Zum Vergrößern anklicken....
Hier hast du einen Denkfehler: wenn du über einen Client im LAN auf den Server zugreifst, sind die Portfreigaben im Router egal, da die Verbindung nicht geroutet wird.
Willst du wirklich testen, ob die Ports frei sind, kannst du dir die öffentliche IPv4- oder IPv6-Adresse des Routers schnappen, auf deinem Handy den WLAN-Zugang kappen und anschließend die soeben notierte IP (plus Port, sofern nicht 80 oder 443 genutzt werden) im Browser eingeben. Erreichst du damit deinen Server, weißt du, dass alle Portfreigaben funktionieren.
Könnte bei dir eventuell zusätzlich noch DS-Lite Probleme machen, sprich hast du eine öffentliche IPv4 oder nur eine IPv6?
 
Moin,

@hutzi20, mein Fehler, das war ein Schreibfehler, die Subdomain lautet kreativ-schmiede.goip.de.

@MacGiver2000, ich wusste nicht, dass im lokalen Netzwerk die Ports nicht verwendet werden.

Ich habe die Ports freigegeben, die die Serversoftware benötigt, siehe Screenshot.

Die IPv4-Adresse des Routers ist diejenige, die im Online-Monitor angegeben ist? Darunter erhalte ich auch die Fehlermeldung, dass der Server nicht erreichbar ist.

Mein Hoster Strato hat mir auch nochmals mitgeteilt, dass bei der Konfiguration das DynDNS aktiv ist und funktioniert und dies mit einem Check geprüft. Es solle somit am Router liegen.

Host is up (0.66s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
5060/tcp open sip
8089/tcp open unknown

Grüße aus Hamburg

Thobie
 

Anhänge

  • 21647689-234C-41D5-8FD8-EBE1A1AE39A4.png
    21647689-234C-41D5-8FD8-EBE1A1AE39A4.png
    300,4 KB · Aufrufe: 65
Moin,

kleine Korrektur, die Serversoftware benötigt die Ports 21, 80 und 3000-3008.

Ich habe dies gerade eben im Router geändert.

Aber ich bekomme dennoch keinen Zugang auf die Serversoftware über den Browser.

Grüße aus Hamburg


Thobie
 
Normalerweise müsste es etwa so aussehen, nur entsprechend für deine Ports angepasst:

Webbrowser (außen) --> https://dyndns/ oder https://externe-IP/ --> Router [ Port 80 --> 192.169.0.2:80 ] --> 192.168.0.2 --> Webserver (Port: 80)
 
Moin,

jetzt habe ich über heise.de einen Portscan-Check durchgeführt.

Und siehe da, er gibt mir an, dass die Post 21 und 80 geschlossen seien.

Die Ports 3000-3008 gibt er nicht an.

Wie gibt es denn das, da ich doch diese Ports in den Einstellungen im Router unter Freigaben für FTP geöffnet habe?

Grüße aus Hamburg


Thobie
 
Ich weiß nicht wie dein Router konfiguriert wird, aber es müsste etwa so sein:

Code: 
ftp:    21 -->  21 (192.168.0.2)
http:   80 -->  80 (192.168.0.2)
https: 443 --> 443 (192.168.0.2)

Wenn es die gleichen Ports sein sollen und es muss auch ein entsprechender Server am Ende laufen.

Kommst du denn intern mit 192.168.0.2 frauf? Webserver/FTP-Client
 
Ich habe schon lange keine Fritzbox mehr bedient, aber du musst grundsätzlich nicht nur einen Port freigeben, sondern auch sagen an welche IP mit welchem Port das weiter geleitet werden soll.

Also z.B. Friegabe Port 80, Weiterleitung auf IP 192.168.0.2 Port 80

Es reicht nicht aus, wenn du nur den Port frei gibst. Du musst schon sagen, wohin diese Freigabe zeigen muss, auch wenn die Portnummern identisch sind.

Es scheint mir so, dass du genau das nicht gemacht hast.
 
Moin, Kollegen,

Problem gelöst.

Jetzt habe ich für Strato nochmals das DynDNS in meinem Router eingerichtet.

Und vermutlich benötigte es doch einige Minuten, bis die freigebenden Ports in der Routereinstellung übernommen wurden.

Jetzt habe ich unter der gewünschten Adresse server.kreativ-schmie.de Zugang aus dem Internet auf das Webinterface der Serversoftware.

Super.

Grüße aus Hamburg


Thobie
 
@thobie

willst du dir tatsächlich einen offenen FTP-Server einrichten?

FTP ist nicht nur uralt, sondern auch nicht sonderlich sicher und prädesitiniert für bruteforce-Attacken. Und glaube, nicht, dass dein Server lange Zeit unentdeckt bleibt. Port 21 gehört ebenso wie 22, 80 und einige andere zum Standardrepertoire von scripten, die IP-Bereiche nach offenen Ports scannen.

Verstehe mich bitte nicht falsch, aber wenn du schon etwas am rumprobieren warst, mit Protfreigaben und und dich da nicht so recht auskennst, dann ist der Betrieb von Servern echt nicht zu empfehlen. Gerade FTP (und HTTP) solltest du nicht einfach so aktivieren. Stell dir zum Einstieg nur mal folgenden Frage: Wo siehst du nach, um erkennen zu können, ob jemand versucht hat, sich Zugriff auf deine Serverports zu erlangen? Wenn du das nicht ad-hoc beantworten kannst, dann betreibe keine eigenen Server.

Just my 2 ct.
 
Zitieren
  • Gefällt mir
Reaktionen: mh2019 und dg2rbf
Moin, Lisanet,

ich habe diesen Server schon problemlos vor Jahren betrieben, vorübergehend war ich auf eine andere Lösung umgestiegen.

Ich hatte in diesen Jahren keine Probleme mit dem Server und auch keine Attacken.

Zur Sicherheit überle ich, der Subdomain ein Zertifikat meines Hosters zuzuweisen, dass ich eine gesicherte Verbindung habe.

Grüße aus Hamburg

Thobie
 
und wie erkennst du, ob jemand versucht hat, sich auf deinem FTP-Server einzuloggen? Woher weißt, du, ob nicht schon mal jemand versucht hat sich einzuloggen? Ich z.B. habe schon deine IP herausgefunden und weiß, dass du die Ports 21,80,443 und 8080 offen hast.

Wie gesagt, ist nur als Tipp gedacht. Wenn du Bescheid weißt, dann ist das kein Thema. Ich persönlich finde nur FTP etwas gewagt. Da gibt's seit Jahren besseres und sichereres.

Edit:
Ich habe hier mal spaßhalber einen ssh-server aufgesetz, mit dem Standardport. Es hat 1 Tag gedauert, dann hatte ich permanente Versuche mit brute-force-Attacken, um in den Server zu kommen. Standardports sind ganz schnell entdeckt. Und ein Port-scan auf eine IP geht auch in null-komma-nix. Die IP rauszufinden ist nun auch nicht sonderlich aufwendig, wenn du einen Web-Server betreibst.
 
Zitieren
  • Gefällt mir
Reaktionen: mh2019 und dg2rbf
Moin, Lisanet,

danke für Deine Hinweise und Dein Bestreben, mich auf die eventuellen Probleme und Gefahren des FTP-Servers aufmerksam zu machen. Ich nehme das Ernst und werde mir Gedanken darüber machen.

Derzeit prüfe ich, ob ich dem FTP-Server ein SSL-Zertifikat zuweisen kann. Leider akzeptiert mein Hoster Strato keine fremden Zertifikate und bindet nur eigene ein. Und der Kauf eines Zertifikats für diese eine Subdomain kostet mich ebensoviel wie das ganze Paket mit fünf Firmen-Domains und fünf inklusiven SSL-Zertifikaten, die ich allesamt verwende.

Zudem ist der FTP-Server nicht 24/7 online. Er ist nur stundenweise online, wenn mir meine Kunden Daten schicken und dies vorher ankündigen. Ebenso stelle ich nur stundenweise Daten für Kunden zur Verfügung, wenn diese heruntergeladen wurden, ist er wieder offline.

Grüße aus Hamburg


Thobie
 
Du betreibst das Ganze doch eh über WordPress. Richte da dann halt einen Downloadbereich ein. Oder noch besser.

Mach SFTP (nicht FTPS, was du versuchen willst). Wenn die Usernamen und Passwörter hinreichend komplex sind, dann ist das schon mal deutlich besser abgesichert als FTP. Und SFTP-Clients gibts auch genügend und die bedienen sich auch nicht anders und sind meist sogar besser ins System integriert.

Wenn du dann die Sicherheit noch höher setzen willst, kannst du auch das PubKey-Verfahren nehmen, wobei das natürlich etwas Wissen bei deinen Kunden voraussetzt, aber auch kein Hexenwerk ist.
 
thobie schrieb:
Ich hatte in diesen Jahren keine Probleme mit dem Server und auch keine Attacken.
Zum Vergrößern anklicken....
Da werden schon genug Attacken ankommen, du musst halt nur wissen wo du dies siehst. Auf meinem Server beispielsweise hatte ich in den letzten 19 Stunden 976 fehlgeschlagene SSH Zugriffe und somit wurden 226 IP Adressen gebannt. (mache ich mit fail2ban)
thobie schrieb:
Leider akzeptiert mein Hoster Strato keine fremden Zertifikate und bindet nur eigene ein.
Zum Vergrößern anklicken....
Mit einem kostenlosen SSL Zertifikat ist das problemlos möglich. Certbot erledigt quasi alles fuer dich von der Erstellung bis zur Aktualisierung und dem einbinden in fertige nginx oder apache Sites.
 
Mein Rat ist: die Portfreigaben wieder abschalten und einen VPN-Server einrichten. Es bieten sich WireGuard oder OpenVPN an. Da reicht ein Raspberry Pi für aus. Nutze dann auch direkt die Zertifikatsbasierte Anmeldung, so kannst du sicher sein, dass nur du auf dein Netzwerk und damit deine Daten zugreifen kannst.
 
Moin, hutzi20,

Strato akzeptiert an Subdomains nur eigene, kostenpflichtige Zertifikate.

Ich kann natürlich in die Rumpus Serversoftware ein Zertifikat einbinden, ginge das?

Wo kann ich solch ein kostenloses Zertifikat zum Einbindung bekommen?

Und funktioniert dies dann mit der Subdomain?

Bleibt gesund!

Grüße aus Hamburg


Thobie
 
thobie schrieb:
Strato akzeptiert an Subdomains nur eigene, kostenpflichtige Zertifikate.
Zum Vergrößern anklicken....
Ich habe meine Domains selber bei Strato. Die Zertifikate lade ich direkt auf dem Server (anderer Hoster). Da ist es egal was Strato will und selbstverständlich funktionieren Subdomains.
 
Moin,

tja, Eure Vorschläge für einen noch sicheren Server sind ja ganz nett.

Aber es müssten folgende Funktionen abgedeckt sein:
  • Ordner auf dem Schreibtisch meines Macs, in den die Dateien fallen.
  • Gestaltung des Web-Interfaces im Browser mit meinem Logo, damit der Kunde gleich weiß. wo er ist.
  • Einbindung eines Zertifikats
  • Und wichtig: Benachrichtigung per Mail bei Down-/Upload.
Bleibt gesund!

Grüße aus Hamburg



Thobie
 
Zurück
Oben Unten