ownCloud – Zugriff per https über das Internet Teil II

Im vorigen Artikel habe ich die grundsätzlichen Einstellungen aufgezeigt, um ausschließlich per gesicherter Verbindung (https, Port 443) auf die Weboberfläche der ownCloud-Instanz zuzugreifen. Der bisherige Stand ist, dass dieser Zugriff nur im internen Netzwerk funktioniert, aus dem Internet ist ownCloud nicht erreichbar. Um diesen Zugriff aus dem Web zu realisieren gibt es keine Standardlösung, einige der zu berücksichtigenden Umstände habe ich bereits in Teil I genannt.

Schlussfolgernd daraus kann ich nur eine funktionierende Konfiguration aus meinem Umfeld, also mit konkreten Komponenten und Einstellungen, beschreiben. Soweit möglich, werde ich meine Beschreibung allgemein halten …
In meiner Umgebung wird der Internetzugang mit einer Fritz!Box 7390 hergestellt. Um einen ständigen Zugriff auf das Heimnetzwerk realisieren zu können, wird meinem Router per dynamischen DNS über Selfhost.de ein fester Name zugeordnet. So ist es möglich, trotz täglich wechselnder IP-Adresse, mein Netzwerk rund um die Uhr zu erreichen. Ich denke, auf die Beschreibung der Prozedur zur Einrichtung des dynamischen DNS kann ich in diesem Kontext verzichten …
Um aus dem Internet direkt auf den Router zugreifen zu können, habe ich den Fernzugriff auf die Fritz!Box per HTTPS aktiviert. Standardmäßig nutzt dieser Dienst Port 443. Allerdings kann dieser Port geändert werden (siehe Bild 1).
 
 
In meinem Beispiel bleiben wir aber bei der Standardkonfiguration, d.h. alle aus dem Internet  HTTPS-Anfragen (https://Dyn_DNS-Name) öffnen die Webschnittstelle der Fritz!Box. Müssig darauf hinzuweisen, dass man bei einem solchen Szenario den Zugriff auf die Routeroberfläche mit einem Passwort absichern sollte …
Funktioniert der Zugriff auf die Fritz!Box per Internet mit dieser Methode, haben wir den ersten Schritt getan.
Im Heimnetzwerk befindet sich auch eine Synology Diskstation DS 211+ die, neben anderen Diensten, auch ownCloud bereit stellt. Die DS-eigene Firewall nutze ich nicht, ich verlasse mich auf die Sicherheitsfunktionen der Fritz!Box. OwnCloud ist im internen Netz ausschließlich über Port 443 erreichbar und dieser Port ist, soweit mir bekannt, bei ownCloud auch nicht änderbar. Allerdings hat ja unsere Fritz!Box Port 443 bereits belegt und wir wollen das auch nicht ändern …
Um jetzt die ownCloud-Instanz ansprechen zu können, kann eine der Routerfunktionen, bei AVM Portfreigabe genannt, genutzt werden. Die Logik dieser Funktion ist relativ simpel: Eine Anfrage die aus dem Internet an den Router gestellt wird, enthält immer einen „Port“. Es existieren Standard- und „freie“ Ports, Standardports sind z.B. Port 80 für HTTP und eben unser Port 443 für HTTPS. Standardports werden beim Aufruf nicht angegeben, ein Aufruf von http://Dyn_DNS_Name „spricht“ immer über Port 80, https://Dyn_DNS_Name über 443.
In unserem Szenario meldet sich mit dem HTTPS-Aufruf also unsere Fritz!Box und keineswegs, wie von uns beabsichtigt ownCloud. Da unser HTTPS-Port belegt ist, müssen wir zwei Dinge tun:
  1. einen freien Port für ownCloud-Anfragen aus dem Internet wählen   und
  2. dem Router, also der Fritz!Box „sagen“ was er mit der Anfrag an den definierten Port anstellen soll – nämlich an die Diskstation an Port 443 „weiterleiten“.
Im Normalfall blockiert unsere Fritz!Box alle unbekannten Anfragen – ein Teil der Firewallfunktionen des Routers.
Portfreigabe ist aber eines der Features des aktuellen Fritz!OS 05.52, das auf der 7390 werkelt. Ich kann also definieren, dass der Router z.B. eine Anfrage  https://Dyn_DNS_Name:450 nicht blockiert, sondern sie an die Diskstation, Port 443 weiterleitet.
Den gewählten Port 450 habe ich deshalb genommen, da er einer der vorgeschlagenen „abweichenden HTTPS-Ports“ war (siehe erstes Bild).
Einstellungen wie im Bild 2 vornehmen.
 
 
OK und „Übernehmen“, damit ist unsere Portfreigabe konfiguriert.
Bleibt nur noch ownCloud aufzurufen per https://Dyn_DNS-Name:450/owncloud
Auf diese Art und Weise sollte der Zugriff möglich sein.
 
Ich persönlich halte diese Konfiguration nicht gerade für die glücklichste, insbesondere im Zusammenhang mit der Nutzung weiterer Dienste der Diskstation, was eine wahre Orgie an „Portfreigaben“ erfordert … In einem weiteren Artikel werde ich versuchen eine Alternative aufzuzeigen.

24 Antworten auf „ownCloud – Zugriff per https über das Internet Teil II“

  1. Klasse geschriebener Artikel, gute Anleitung, schön bebildert.
    Freue mich auf einen der nächsten Artikel. Vielleicht wird dort ja auch erklärt wie man eine Homepage trotz openVPN auf einer Synology hosten kann, und die Clients (Android) einrichten kann.

  2. Hallo,

    ich habe owncloud 6 nun gut innerhalb meines Lan’s laufen. Ich möchte Owncloud nutzen um Leuten per Internet Zugriff auf bestimmte Dateien zu ermöglichen.
    Nun habe ich das ganze so wie hier beschrieben durchgeführt.

    Ich greife dann über eine

    https://mydns:450/

    auf den nginx Server zu.

    Leider bekomme ich jedoch ein 403 Forbidden. Was läuft da schief? Was sollte ich konfigurieren?

    Linke Hand zum Gruße

    cabby

      1. Hi,

        komme mit deinem Link (vom Handy ausserhalb des W(Lan’s) auf die fritzbox. Dyn DNS Dienst läuft. Und Portweiterleitung habe ich ja auch gemacht. Bin verwirrt…

        Grüße aus Rheinhessen an den Triplefahrer von einem V2 und Einzylinderfahrer! 🙂

  3. „Die angegebene URL wurde nicht gefunden. Sie werden auf die Startseite der FRITZ!Box weitergeleitet.

    Falls Sie nicht automatisch auf die Startseite der FRITZ!Box weitergeleitet werden, klicken Sie hier.“

  4. Habe in dem DropDown Menü den Raspberry Pi ausgewählt und dadurch steht dann auch die IP Adresse automatisch. Was mich allerdings stutzig macht – du hast auf deinem ersten Bild einen Haken bei „Abweichenden Https Port“ gemacht. Mache ich dies und möchte ich 450 eintragen so ändert die Fritzbox automatisch zu 40443.

  5. Hallo Karsten,
    ich habe eine Fritzbox 6360 mit der Firmware FRITZ!OS 05.56. Ich beschreibe dir mal was bei mir unter dem Menüpunkt Internet –> Freigaben steht:
    Portfreigabe habe ich eine eingerichtet. Sieht aus wie auf deinem zweiten Bild allerdings mit meiner Rpi IP Adresse. Fritzboxdienste –> Internetzugriff auf die FRITZ!Box über HTTPS aktiviert –> Haken; Vom Standard HTTPS-Port 443 abweichenden HTTPS-Port verwenden –> Haken gesetzt und 450 getestet–> ändert automatisch zu 40443. Diesen Port kann ich aber nicht nehmen da: „(im Bereich von 450 bis 499)“
    Internetzugriff auf Ihre Speichermedien über FTP/FTPS aktiviert –> Haken
    Dynamic DNS–> Haken und meine no-ip einstellungen drin.
    Großes ?

    1. Fehler liegt dann doch bei der Portweiterleitung … Aber ok, auf dem Standardport läuft es ja. Gern geschehen und viel Spaß mit owncloud auf der Himbeere!
      Linke Hand zum Gruß

  6. hm noch ne Möglichkeit wäre im nginx-server die zeile listen to 443 ssl auf listen to 450 zu ändern und dann eine port-freigabe 450 an 450 zu machen

  7. Den Port von Owncloud kann man sehr wohl ändern. Nur halt nicht da sondern in der Apache Konfiguration. Ich hatte das gleiche Problem, wollte aber auch nicht, daß die OC URL von innerhalb und außerhalb des LANs verschieden ist. (sonst würde CalDav z.B. nicht mehr funktionieren, wenn das Handy im WLAN eingebucht ist)

    Ich habe das bislang so gelöst, daß OC auf Port 8080 mit https lauscht. Den kann ich ohne weiteres weiterleiten. Leider kommen dann manche Leute aus Betriebsnetzen (mit Proxies) nicht auf die OC. Für die betreibe ich einen Reverse Proxy, der die 443 auf die 8080 umsetzt.

    Allerdings ist dann die Adresse wieder verschieden. So ein Mist.

    1. Hallo Beccon,

      ja natürlich kann man im Apache den Port auch für OC ändern, aber das ist eher unzweckmäßig.
      Ich für meinen Teil halte den Zugriff per HTTPS ohnehin für potentiell unsicher und bevorzuge VPN über IPsec. Damit entfällt auch das leidige Problem mit den verschiedenen Adressen.

      Gruß Karsten

  8. Hallo, ich habe auch ein möglicherweise ähnliches Problem. Ich habe eine neue Fritbox 6490 Cable und möchte den TCP-Port für HTTPS auf 80 ändern (um über DynDNS den Zugriff auf eine Webcam zu erlauben). Der Port lässt sich nicht ändern. Er springt sofort wieder auf 40443 zurück. Ich habe bereits eine öffentliche IPv4-Adresse. VPN funktioniert auch. Könnt ihr mir helfen?
    Besten Dank und Grüße
    Ralf

  9. Moin Ralf,

    Port 80 ist der Standardport für HTTP, ist recht sinnfrei den ändern zu wollen …
    Wenn du per VPN auf dein Netzwerk zugreifst sollte es doch aber kein Problem sein auf die Webcam zugreifen zu können.
    http://IP_der_Webcam ergibt was?

    Karsten

  10. Hallo, bei mir lag es daran, dass mit „https://dns:450/owncloud“ ein anderer Webdienst im Netzt aufgerufen wurde, erst mit „https://dns:450/owncloud/“ klappte die Weiterleitung zur ownCloud.
    Dumm das im Client der Aufruf von „ownCloud im Webbrowser“ ohne diesen „/“ nach ownCloud lautet.

Kommentar verfassen