David nicht erreichbar und Let's Encrypt klappt ebenfalls nicht

  • Moin,

    kurz zur Konstellation zu Hause:

    Deutsche Glasfaser-Anschluss ( nur IPv6 ) -> FritzBox7590 -> Switch -> Server mit Proxmox -> Windows Server 2019 -> David

    Als Subdomain habe ich david.domain.tld eingerichtet, wo der AAAA-Eintrag auf die öffentliche IPv6 zeigt, die die FritzBox vergeben hat. In der FritzBox habe ich Port 80, 443, 267, 993 usw. alles auf die Virtuelle Maschine in Proxmox freigegeben, die die FritzBox auch als aktiven Rechner erkennt.

    Dennoch erreiche ich beim Aufruf der Domain nicht den David-Server. Habe es vom Handy getestet mit Telekom-Mobilfunk, die haben ja IPv6. Ich erreiche den David nicht, egal mit welchen Ports ich es versuche.

    Gebe ich die IPv6 direkt in den Browser ein, auch egal mit welchen Ports, erreiche ich ebenfalls keinen David.

    Wo liegt bei mir der Fehler?

    Lets's Encrypt sagt: 'Fehler bei der Verarbeitung des Auftrags ( Failed to validate DNS-Records ( AAAA ), invalid Domain provided )'.

  • Die Anforderung eines Let's-Encrypt-Zertifikats hat bei mir immer nur dann geklappt, wenn ich den AAAA-Record gelöscht habe und über eine klassische IPv4 reinkam. Allerdings ist bei mir IPv6 auch nicht sauber konfiguriert.

    Mal ganz grundsätzlich gefragt: Kann die Webbox überhaupt IPv6-Verbindungen? Kommst du von einem lokalen System aus via IPv6 auf den David? Port-Weiterleitungen im früheren Sinne gibt es WIMRE bei v6 nicht mehr - und wenn ich es richtig verstanden habe, musst du doch auch auf der Fritz!Box keine Weiterleitung einrichten. Vielmehr sollte es so sein, dass die FB und deine lokale IPv6-Adresse korrespondierend vergeben sind (gleiches Subnetz, Vorgabe durch den Provider) und du dann direkt auf den jeweiligen Host zugreifst... Oder?

    Sorry, falls das Quatsch sein sollte - meine Kenntnise zum Thema IPv6 und VPN/Portfreigaben verharren immer noch auf dem Stand "Kann schon funktionieren, aber es ist kompliziert - benutz lieber erst mal weiter IPv4" ;)

  • Ich habe gestern zum Test mal bei dem Windows Server 2019, wo der DAVID drauf läuft, den IIS-Dienst installiert und da komme ich per IPv6 vom Handy direkt auf Port 80.

    Nur der DAVID macht da Probleme.

    IPv4 kann ich leider nicht benutzen, da die Deutsche Glasfaser keine ( öffentliche ) IPv4 mehr anbietet.

  • Also wenn ich auf unserem Server mal mit NETSTAT schaue, wird die webbox.exe mit keinerlei offenen IPv6-Ports angezeigt - daher würde ich mal ganz naiv behaupten, dass sie kein IPv6 "spricht". Um an der Stelle Gewisseheit zu erhalten wäre aber vermutlich eine Anfrag bei Tobit das Beste. Vielleicht basteln die in der Richtung ja auch gerade was bzw. es ist etwas in Planung.

  • Tatsächlich isses laut Tobit so, dass die Webbox kein IPv6 spricht.

    Nun habe ich ja noch einen ollen vServer bei IONOS, auf dem ich Wireguard installiert habe.

    Dann auf der VM ebenfalls den Clienten installiert, die Schlüssel eingetragen und bla, Verbindung ist auch da, Handshake klappt ebenfalls.

    Zum Test ist die Win-Firewall komplett aus und im IONOS-Kontrollcenter ist der TCP-Port 80, 443 und 267 offen.

    Bei Strato habe ich in der Subdomain den A-Record auf die IP des vServers gesetzt und den AAAA-Record gelöscht.

    Jetzt sagt mit trotzdem das Prüf-Tool im David-Admin, dass sämtliche Ports von außen nicht erreichbar sind, inklusive Port 80 der Webbox.

    Beim Anfordern des Zertifikates bekomme ich jetzt immerhin keine A-Record-Fehlermeldung mehr oder DNS-Failoure, aber dafür kommt jetzt die Meldung 'Fehler bei Verarbeitung des Auftrags (Failed to connect to WebBox, WebBox not reachable)'.

    Ich kann aber nichts mehr freigeben, es ist alles richtig, oder mache ich einen Denkfehler?

    Im Wireguard-Client ist sämtlicher Verkehr von außen geblockt und im David habe ich überall die Sub-Domain eingetragen....

    Wenn ich auf wieistmeineip gehe, wird mir auch die IPv4 des vServers angezeigt.

    Ping geht ebenfalls vom vServer zur VM und umgekehrt.

    Ich bin am Verzweifeln!

    Einmal editiert, zuletzt von ChrisRE84 (16. August 2021 um 18:58)

  • Im Wireguard-Client ist sämtlicher Verkehr von außen geblockt

    ist das nur falsch formuliert, oder die Ursache Deines Problems?

    Das Prüf-Tool im David Administrator prüft nämlich von außen, genauer von einem Tobit Server aus ob Deine Dienste erreichbar sind.

  • Achso, vielleicht etwas ungünstig ausgedrückt.

    Ich meinte diese Option im Clienten im Anhang. Aber auch, wenn ich diese Option deaktivieren, gehts nicht.

    Wenn ich beim Windows Server 2019 den IIS-Server installiere, komme ich per IPv6 direkt auf die Startseite.

    Aber ich kann ja mit David kein IPv6 nutzen, deshalb verstehe ich nicht, warum der Tunnel zwar steht, aber die Webbox nicht erreichtbar ist - auch nicht mit dem David-Tool. Da ist alles rot, was von außen rein soll.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!