[gelöst]Webserver hinter Fritzbox

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Isopres
Beiträge: 7
Registriert: 10.01.2018 00:32:29

[gelöst]Webserver hinter Fritzbox

Beitrag von Isopres » 10.01.2018 00:53:43

Hallo ihr alle

bisher habe ich meine Probleme immer recht gut mit etwas nachlesen lösen können aber jetzt Verzweifel ich gerade daran einen Webserver hinter einer Fritzbox zum laufen zu bekommen. :oops:

Problem:
- Frisch aufgesetztes Debian 9 mit Apache Webserver

Code: Alles auswählen

root@testweb:~# apache2 -v
Server version: Apache/2.4.25 (Debian)
Server built:   2017-09-19T18:58:57
- Aus dem lokalem Netz kann ich ohne Problem darauf zugreifen
- In der Fritzbox ist die Portweiterleitung für port 80 auf die richtige interne IP eingestellt, es zeigt auch an das die Freigabe aktiv ist. Trotzdem zeigt mir ein Externer Portscan (hab den von Heise.de genutzt) das der Port 80 gefiltert ist.

https://www.heise.de/security/dienste/p ... ?scanart=1

Code: Alles auswählen


Netzwerkcheck
Ihr Portscan-Ergebnis

Nur rote Zeilen bedeuten ein mögliches Problem.
Port 	Name 	Status 	Erläuterung
80 		gefiltert 	Web-Server

Ihr System antwortet auf ICMP-Pakete. 
- IPTables sind leer:

Code: Alles auswählen

root@testweb:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Code: Alles auswählen

root@testweb:~# netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      0          29057      8067/apache2        
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          12743      417/sshd            
tcp6       0      0 :::22                   :::*                    LISTEN      0          12745      417/sshd

Hat einer eine Idee woran mein Problem liegen könnte oder wie ich es weiter eingrenzen kann?

Grüße
Zuletzt geändert von Isopres am 18.01.2018 12:42:34, insgesamt 1-mal geändert.

pferdefreund
Beiträge: 3791
Registriert: 26.02.2009 14:35:56

Re: Webserver hinter Fritzbox

Beitrag von pferdefreund » 10.01.2018 09:14:20

Der externe Zugriff funktioniert nur, wenn man wirklich extern ist. Ist bei mir genauso. MIt der externen öffentlichen IP komme ich aus dem Lan auch nicht auf meinen Server - von der Maloche aus völlig ohne Probleme. Ist sicherlich ein Router-Problem.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Webserver hinter Fritzbox

Beitrag von mat6937 » 10.01.2018 10:35:58

pferdefreund hat geschrieben: ↑ zum Beitrag ↑
10.01.2018 09:14:20
Der externe Zugriff funktioniert nur, wenn man wirklich extern ist. Ist bei mir genauso.
Dann hast Du keine FritzBox als Router, oder? Denn die FritzBox kann NAT-Loopback.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Webserver hinter Fritzbox

Beitrag von mat6937 » 10.01.2018 10:50:36

Isopres hat geschrieben: ↑ zum Beitrag ↑
10.01.2018 00:53:43
Trotzdem zeigt mir ein Externer Portscan (hab den von Heise.de genutzt) das der Port 80 gefiltert ist.
Starte mal _vor_dem externen Portscan, auf deinem Webserver:

Code: Alles auswählen

tcpdump -vvveni any port 80 and 'tcp[tcpflags] & (tcp-syn) != 0'
Wie ist die Ausgabe von tcpdump, nach dem externen Portscan?

Isopres
Beiträge: 7
Registriert: 10.01.2018 00:32:29

Re: Webserver hinter Fritzbox

Beitrag von Isopres » 10.01.2018 16:33:55

Da ich schon mal einen Web-Server laufen hatte muss es gehen. Auf andere Dienste wie XMPP oder Mail server kann ich von außen ohne probleme zugreifen nur der webserver will scheinbar nicht mehr. :evil:

Code: Alles auswählen

tcpdump -vvveni any port 80 and 'tcp[tcpflags] & (tcp-syn) != 0'
wirft mir das aus:

Code: Alles auswählen

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
16:21:37.574508  In 08:96:d7:1a:aa:13 ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 41, id 38769, offset 0, flags [none], proto TCP (6), length 44)
    192.129.8.3.45882 > 192.168.1.208.80: Flags [S], cksum 0x5044 (correct), seq 1509600104, win 1024, options [mss 1452], length 0
16:21:37.574598 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45882: Flags [S.], cksum 0x8b1b (incorrect -> 0xc5b0), seq 312871364, ack 1509600105, win 29200, options [mss 1460], length 0
16:21:38.075579  In 08:96:d7:1a:aa:13 ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 32, id 56172, offset 0, flags [none], proto TCP (6), length 44)
    192.129.8.3.45883 > 192.168.1.208.80: Flags [S], cksum 0x5041 (correct), seq 1509665641, win 1024, options [mss 1452], length 0
16:21:38.075610 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45883: Flags [S.], cksum 0x8b1b (incorrect -> 0x0d0f), seq 1228573646, ack 1509665642, win 29200, options [mss 1460], length 0
16:21:38.576525 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45882: Flags [S.], cksum 0x8b1b (incorrect -> 0xc5b0), seq 312871364, ack 1509600105, win 29200, options [mss 1460], length 0
16:21:39.088525 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45883: Flags [S.], cksum 0x8b1b (incorrect -> 0x0d0f), seq 1228573646, ack 1509665642, win 29200, options [mss 1460], length 0
16:21:40.592537 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45882: Flags [S.], cksum 0x8b1b (incorrect -> 0xc5b0), seq 312871364, ack 1509600105, win 29200, options [mss 1460], length 0
16:21:41.104530 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45883: Flags [S.], cksum 0x8b1b (incorrect -> 0x0d0f), seq 1228573646, ack 1509665642, win 29200, options [mss 1460], length 0
16:21:44.656543 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45882: Flags [S.], cksum 0x8b1b (incorrect -> 0xc5b0), seq 312871364, ack 1509600105, win 29200, options [mss 1460], length 0
16:21:45.168536 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45883: Flags [S.], cksum 0x8b1b (incorrect -> 0x0d0f), seq 1228573646, ack 1509665642, win 29200, options [mss 1460], length 0
16:21:52.848531 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45882: Flags [S.], cksum 0x8b1b (incorrect -> 0xc5b0), seq 312871364, ack 1509600105, win 29200, options [mss 1460], length 0
16:21:53.360528 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45883: Flags [S.], cksum 0x8b1b (incorrect -> 0x0d0f), seq 1228573646, ack 1509665642, win 29200, options [mss 1460], length 0
16:22:08.976543 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45882: Flags [S.], cksum 0x8b1b (incorrect -> 0xc5b0), seq 312871364, ack 1509600105, win 29200, options [mss 1460], length 0
16:22:09.488530 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45883: Flags [S.], cksum 0x8b1b (incorrect -> 0x0d0f), seq 1228573646, ack 1509665642, win 29200, options [mss 1460], length 0
^C
29 packets captured
30 packets received by filter
0 packets dropped by kernel
Wenn ich einen alten webserver mit debian 8 und apache 2.4.10
nutze dann funktioniert es

Code: Alles auswählen

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
16:31:56.221852 Out 52:54:00:62:aa:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.202.80 > 192.129.8.3.43792: Flags [S.], cksum 0x8b15 (incorrect -> 0xe7c4), seq 3779761383, ack 3221606833, win 29200, options [mss 1460], length 0

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Webserver hinter Fritzbox

Beitrag von mat6937 » 10.01.2018 17:51:52

Isopres hat geschrieben: ↑ zum Beitrag ↑
10.01.2018 16:33:55

Code: Alles auswählen

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes

16:21:37.574508  In 08:96:d7:1a:aa:13 ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 41, id 38769, offset 0, flags [none], proto TCP (6), length 44)
    192.129.8.3.45882 > 192.168.1.208.80: Flags [S], cksum 0x5044 (correct), seq 1509600104, win 1024, options [mss 1452], length 0
    
16:21:37.574598 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45882: Flags [S.], cksum 0x8b1b (incorrect -> 0xc5b0), seq 312871364, ack 1509600105, win 29200, options [mss 1460], length 0
tcpdump zeigt, dass der Port nicht gefiltert ist und dass der Server, mit einem syn+ack (S.) auch antwortet.

pferdefreund
Beiträge: 3791
Registriert: 26.02.2009 14:35:56

Re: Webserver hinter Fritzbox

Beitrag von pferdefreund » 11.01.2018 07:24:39

Nein, ich habe keine FritzBox. Ich habe nen uralten Sinus irgendwas von der Telekom - so ca Baujahr 2005. Aber das Ding macht, was es soll und funktioniert heute noch problemlos - für moderne Elektronik fast schon ein Wunder.

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: Webserver hinter Fritzbox

Beitrag von Tintom » 11.01.2018 09:30:39

Isopres hat geschrieben: ↑ zum Beitrag ↑
10.01.2018 16:33:55
Wenn ich einen alten webserver mit debian 8 und apache 2.4.10
nutze dann funktioniert es
Nutzt du die gleiche Konfiguration? Mal einen anderen Webserver ausprobiert?

Isopres
Beiträge: 7
Registriert: 10.01.2018 00:32:29

Re: Webserver hinter Fritzbox

Beitrag von Isopres » 11.01.2018 20:48:19

Sorry das ich gestern so kurz angebunden war.
Erstmal danke für die schnelle konstruktive Hilfe.

Nein ist leider nicht die selbe konfig das alte debian 8 system hatte noch einige andere dienste am laufen, deswegen hab ich extra ein frisch aufgesetztes debian 9 genommen damit ausschließen kann das ich selbst den Fehler durch ändern einer Konfig verursacht habe.
Ich hab jetzt gerade Versucht ob es mit nginx läuft, hab ich aber das selbe problem. Die Webserver-Logs zeigen komischer weise auch keine Verbindungsversuche an. Also Tcpdump zeigt mir das ich eine Verbindung habe aber der Webserfer reagiert nicht darauf???

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Webserver hinter Fritzbox

Beitrag von mat6937 » 11.01.2018 22:02:35

Isopres hat geschrieben: ↑ zum Beitrag ↑
11.01.2018 20:48:19
... eine Verbindung habe aber der Webserfer reagiert nicht darauf???
Was genau meinst Du mit "der Webserver reagiert nicht darauf???"?

Antwortet der Webserver nicht mit "S." (d. h. mit syn+ack)?

Isopres
Beiträge: 7
Registriert: 10.01.2018 00:32:29

Re: Webserver hinter Fritzbox

Beitrag von Isopres » 11.01.2018 23:30:45

Meine Rechtschreibung ist ja wieder klasse heute.... server mit f.... ich sag nix mehr..


Ich meine das im normalfall wenn ich meine öffentliche ip im Browser aufrufe müsste das ja in den logeinträgen von apache oder nginx auftauchen, tut es aber nicht. Und das wundert mich... es wird eine Verbindung mit dem rechner aufgebaut aber dann passiert nichts mehr und der Browser zeigt logischerweise irgendwann dann ein timeout.

Das passiert aber nur wenn ich über die externe Ip zugreife(auch von einem anderem standort) solange ich aus dem lan die lokale ip anspreche gibt es keine probleme :evil:

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Webserver hinter Fritzbox

Beitrag von mat6937 » 12.01.2018 09:38:04

Isopres hat geschrieben: ↑ zum Beitrag ↑
11.01.2018 23:30:45
Das passiert aber nur wenn ich über die externe Ip zugreife(auch von einem anderem standort) solange ich aus dem lan die lokale ip anspreche gibt es keine probleme :evil:
Das haben wir schon so, aus deinem 1. Beitrag verstanden. Es ist aber wichtig zu wissen, was am Server ankommt und was von Server weg geht (wenn Du von extern darauf zugreifst). Denn wenn die Verbindungen (zum und vom Server) funktionieren, wird es evtl. an der Konfiguration des Servers (für den Zugriff von außen) oder an der Konfiguration des externen Internetanschlusses liegen.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Webserver hinter Fritzbox

Beitrag von MSfree » 12.01.2018 10:04:16

Vielleicht sollten wir hier auch mal ein paar Basisinformationen bekommen.

Wie heißt denn der Internetprovider?

Hintergrund: Kabel- und Mobilfunkprovider verwenden Enterprise NAT, was einen eigenen Server zuhause unmöglich macht. Auch DSLite-Teilnehmer sind hier in den Hintern gekniffen, die kommen per IPv4 ebenfalls nicht auf ihre Server zuhause.

Ein ganz einfacher Test, der auch von zuhause aus durchführbar ist, wäre, mit einem Smartphone, das nicht im lokalen WLAN angemeldet ist, den Webserver mit der IP der Fritte anzusprechen.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Webserver hinter Fritzbox

Beitrag von mat6937 » 12.01.2018 10:38:04

MSfree hat geschrieben: ↑ zum Beitrag ↑
12.01.2018 10:04:16
Ein ganz einfacher Test, ...
Den Test (mit der externen source-IP-Adresse 192.129.8.3) hat er ja schon gemacht:

Code: Alles auswählen

16:21:37.574508  In 08:96:d7:1a:aa:13 ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 41, id 38769, offset 0, flags [none], proto TCP (6), length 44)
    192.129.8.3.45882 > 192.168.1.208.80: Flags [S], cksum 0x5044 (correct), seq 1509600104, win 1024, options [mss 1452], length 0
    
16:21:37.574598 Out 52:54:00:e8:b9:6c ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.208.80 > 192.129.8.3.45882: Flags [S.], cksum 0x8b1b (incorrect -> 0xc5b0), seq 312871364, ack 1509600105, win 29200, options [mss 1460], length 0
(siehe Beiträge oben).

Isopres
Beiträge: 7
Registriert: 10.01.2018 00:32:29

Re: Webserver hinter Fritzbox

Beitrag von Isopres » 12.01.2018 15:02:50

Ok der vollständigkeit halber:
Provider ist 1&1 mit Dualstack (hab bereits mit 1&1 telefoniert von deren seite wird nichts gefiltert)
Den einfachen Test mit dem Handy war tatsächlich das 1. was ich probiert habe.
Es hat ja auch schon mal funktioniert (mit dem altem Debian)

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Webserver hinter Fritzbox

Beitrag von MSfree » 12.01.2018 15:29:13

Was steht in den Apache-Logs, wenn du mit dem Smartphone versuchst, den Server anzusprechen?

siehe:

Code: Alles auswählen

/var/log/apache2/access.log
/var/log/apache2/error.log
und ggfls auch journalctl.

Isopres
Beiträge: 7
Registriert: 10.01.2018 00:32:29

Re: Webserver hinter Fritzbox

Beitrag von Isopres » 12.01.2018 23:16:20

Das ist das problem was ich vor 3 posts meinte

In den Logs tauchten keine zugriffe auf

Isopres
Beiträge: 7
Registriert: 10.01.2018 00:32:29

Re: [gelöst]Webserver hinter Fritzbox

Beitrag von Isopres » 18.01.2018 12:44:45

Ich weis nicht wieso aber nachdem ich den Primärenserver wo die Virtuellenmaschinen laufen neugestarten hab ging auch die Verbindung wieder...

also doof setzen 6 :oops:

Trotzdem vielen Dank für eure Hilfe und Investierte Zeit :THX:

Antworten