Ein Heimserver war von außen erreichbar, im eigenen WLAN jedoch nicht. Ursache war der DNS-Rebind-Schutz der FRITZ!Box, der öffentliche Domains auf private IP-Adressen blockiert. Die betroffenen Hostnamen wurden als Ausnahme eingetragen, damit der Zugriff intern wieder funktioniert.
Zusätzlich kann bei Nextcloud eine Anpassung der vertrauenswürdigen Domains nötig sein. Der Beitrag ordnet den Rebind-Schutz als sinnvolle Sicherheitsfunktion ein und zeigt, warum er bei Selfhosting-Setups häufig zu Verwirrung führt.
Neulich hatte ich schon einmal über Webseiten im lokalen Netzwerk verfügbar machen geschrieben. Genau da passt auch dieses kleine Heimserver-Problem hinein: Von außen lief alles, zu Hause im WLAN plötzlich nicht mehr. Klingt erst mal nach kaputtem DNS, war am Ende aber einfach der DNS-Rebind-Schutz der FRITZ!Box.
Das eigentliche Problem sauber erklärt
Manchmal sucht man viel zu kompliziert. So ging es mir mit meinem Heimserver. Ich hatte den Server frisch aufgesetzt, ein paar Baustellen behoben und dann gemerkt: Sobald ich im heimischen Netzwerk war, ließen sich meine Domains nicht mehr aufrufen. Von außen funktionierte alles, intern aber nicht. Nach etwas Sucherei war klar, dass nicht Docker, nicht dnsmasq und auch nicht irgendein Reverse Proxy schuld waren, sondern die FRITZ!Box selbst.
Der Auslöser war der DNS-Rebind-Schutz. FRITZ!Boxen unterdrücken DNS-Antworten, wenn ein öffentlicher Hostname plötzlich auf eine private IP aus dem Heimnetz zeigt. Genau das passiert aber oft bei Selfhosting-Setups mit Nextcloud, Immich oder anderen Diensten, die du per Domain auch intern aufrufen willst. In der Praxis führt das dazu, dass dieselbe Domain mobil funktioniert, im eigenen WLAN aber scheitert. Das Thema taucht bei AVM-Updates und Heimserver-Setups immer wieder auf, etwa auch bei stadt-bremerhaven.de und in meinem Beitrag zu lokalen Webseiten im Heimnetz.
Was ein DNS-Rebind-Schutz überhaupt ist
Der Name klingt sperrig, die Idee dahinter ist aber sinnvoll. Ein DNS-Rebinding-Angriff versucht vereinfacht gesagt, einen Browser über einen scheinbar harmlosen Domainnamen auf interne Geräte im Heimnetz umzulenken. So könnte eine Webseite im schlimmsten Fall versuchen, auf Router, NAS oder Admin-Oberflächen zuzugreifen, obwohl diese eigentlich nur intern erreichbar sein sollten.
Genau deshalb prüft die FRITZ!Box, ob eine Domain auf eine private IP wie 192.168.x.x, 10.x.x.x oder ähnliche Heimnetz-Adressen zeigt. Passiert das, blockiert sie die Antwort oder lehnt den Zugriff ab. Für normale Haushalte ist das ein sinnvoller Schutz. Für Leute mit Heimserver ist es aber oft der Klassiker, wenn die eigene Domain intern plötzlich nicht mehr geht.
Die Lösung in der FRITZ!Box
In meinem Fall war die Lösung angenehm unspektakulär. Ich musste nicht mit Pi-hole, dnsmasq oder Split-DNS anfangen. Es reichte, die betroffenen Domains in der FRITZ!Box als Ausnahme einzutragen. In vielen Setups findest du das unter Heimnetz > Netzwerk > Netzwerkeinstellungen >> erweiterte Netzwerkeinstellungen im Bereich DNS-Rebind-Schutz. Dort trägst du die vollständigen Hostnamen ein, die intern erreichbar sein sollen. Wichtig ist wirklich der komplette Hostname inklusive Subdomain, also zum Beispiel cloud.deinedomain.de statt nur deinedomain.de. Genau darauf weist auch die Praxis rund um FRITZ!Box-Setups hin.
Seitdem laufen die Domains bei mir wieder sauber, auch im heimischen Netzwerk. Das ist besonders angenehm, wenn du Dienste auf einem kleinen Homelab betreibst. Falls du gerade selbst am Aufbau sitzt, passen dazu auch mein Beitrag zum Heimserver mit Mini-PC und die Einsteiger-Anleitung zu Docker und Docker Compose.
Woran du bei Nextcloud zusätzlich denken solltest
Bei Nextcloud gibt es noch einen zweiten Stolperstein. Selbst wenn die Domain wieder intern auflösbar ist, kann Nextcloud meckern, wenn der Zugriff über einen Hostnamen oder eine interne Adresse erfolgt, die nicht sauber in der Konfiguration hinterlegt ist. Dann lohnt sich ein Blick in die config.php
'trusted_domains' => array (
0 => 'cloud.deinedomain.de',
1 => '192.168.178.20',
),
Gerade bei gemischten Zugriffen aus LAN, WLAN und von außen spart dir das unnötige Fehlersuche. Rund um Nextcloud habe ich hier im Blog schon öfter geschrieben, etwa bei Nextcloud im Docker-Container oder bei meinem älteren Artikel zu Docker Compose mit Nextcloud.
Mein Fazit
Der DNS-Rebind-Schutz ist kein Fehler, sondern eine Sicherheitsfunktion. Für Selfhoster wirkt sie nur im ersten Moment wie ein kaputtes Netzwerk. Wenn deine Domain extern läuft, intern aber nicht, lohnt sich der Blick auf die FRITZ!Box fast immer zuerst. Genau das war bei mir die ganze Lösung: Domain als Ausnahme eintragen, Nextcloud-Konfiguration prüfen, fertig.
Wie ist deine Meinung?
Schreib gern einen Kommentar unter dem Artikel oder diskutiere mit anderen im Matrix-Kanal:
#dasnetzundich:matrix.org