Newbie question setting up ports on Raspberry Pi and Fritz!Box 7560

Support
, ,
1

What type of hardware are you using: Raspberry Pi 3, 4+
What YunoHost version are you running: 12.0.11 (stable)
How are you able to access your server: SSH
Are you in a special context or did you perform specific tweaking on your YunoHost instance ?: no

Describe your issue

Hi,
I’ve just set up a new YunoHost on a Raspberry Pi 5.
Everything went well, but I can’t get it online to use it.
I can access it using SSH over the local IP address.

When I use sudo yunohost firewall reload , I get:

Success! Firewall reloaded
opened_ports:
- 22
- 25
- 53
- 80
- 443
- 587
- 993
- 5222
- 5269
- 5353

I can see the open ports in the user interface of the Fritz!Box as well.
The diagnosis, on the other hand, showed that the ports can’t be accessed from outside.
I can’t figure out what I did wrong. Can anyone suggest what I can try?

Thanks in advance!
Peter

Share relevant logs or error messages

=================================
Grundsystem (basesystem)

[INFO] Server Hardware Architektur ist bare-metal arm64

  • Das Servermodell ist Raspberry Pi 5 Model B Rev 1.1

[INFO] Server läuft unter Linux-Kernel 6.6.74+rpt-rpi-2712

[INFO] Server läuft unter Debian 12.9

[INFO] Server läuft YunoHost 12.0.11 (stable)

  • yunohost Version: 12.0.11 (stable)
  • yunohost-admin Version: 12.0.5 (stable)
  • yunohost-portal Version: 12.0.8 (stable)
  • moulinette Version: 12.0.4 (stable)
  • ssowat Version: 12.0.3 (stable)

=================================
Internetkonnektivität (ip)

[SUCCESS] Domänen-Namens-Auflösung funktioniert!

[SUCCESS] Der Server ist mit dem Internet über IPv4 verbunden!

  • Globale IP: xx.xx.xx.xx
  • Lokale IP: 192.168.178.37

[SUCCESS] Der Server ist mit dem Internet über IPv6 verbunden!

  • Globale IP: xx:xx:xx:xx:xx:xx
  • Lokale IP: fe80::42:acab

=================================
DNS-Einträge (dnsrecords)

[SUCCESS] DNS Einträge korrekt konfiguriert für die Domäne maindomain.tld (Kategorie basic)

[SUCCESS] DNS Einträge korrekt konfiguriert für die Domäne maindomain.tld (Kategorie mail)

[SUCCESS] DNS Einträge korrekt konfiguriert für die Domäne maindomain.tld (Kategorie extra)

[SUCCESS] Deine Domänen sind registriert und werden in nächster Zeit nicht ablaufen.

  • maindomain.tld läuft in 188 Tagen ab.

=================================
Geöffnete Ports (ports)

[ERROR] Port 22 ist von Aussen her per IPv4 nicht erreichbar.

  • Diesen Port zu öffnen ist nötig, um die Funktionalität des Typs admin (service ssh) zu gewährleisten
  • Um dieses Problem zu beheben, musst du höchstwahrscheinlich die Port-Weiterleitung auf deinem Internet-Router einrichten wie in https:__yunohost.org/isp_box_config beschrieben

[ERROR] Port 25 ist von Aussen her per IPv4 nicht erreichbar.

  • Diesen Port zu öffnen ist nötig, um die Funktionalität des Typs email (service postfix) zu gewährleisten
  • Um dieses Problem zu beheben, musst du höchstwahrscheinlich die Port-Weiterleitung auf deinem Internet-Router einrichten wie in https:__yunohost.org/isp_box_config beschrieben

[ERROR] Port 80 ist von Aussen her per IPv4 nicht erreichbar.

  • Diesen Port zu öffnen ist nötig, um die Funktionalität des Typs web (service nginx) zu gewährleisten
  • Um dieses Problem zu beheben, musst du höchstwahrscheinlich die Port-Weiterleitung auf deinem Internet-Router einrichten wie in https:__yunohost.org/isp_box_config beschrieben

[ERROR] Port 443 ist von Aussen her per IPv4 nicht erreichbar.

  • Diesen Port zu öffnen ist nötig, um die Funktionalität des Typs web (service nginx) zu gewährleisten
  • Um dieses Problem zu beheben, musst du höchstwahrscheinlich die Port-Weiterleitung auf deinem Internet-Router einrichten wie in https:__yunohost.org/isp_box_config beschrieben

[ERROR] Port 587 ist von Aussen her per IPv4 nicht erreichbar.

  • Diesen Port zu öffnen ist nötig, um die Funktionalität des Typs email (service postfix) zu gewährleisten
  • Um dieses Problem zu beheben, musst du höchstwahrscheinlich die Port-Weiterleitung auf deinem Internet-Router einrichten wie in https:__yunohost.org/isp_box_config beschrieben

[ERROR] Port 993 ist von Aussen her per IPv4 nicht erreichbar.

  • Diesen Port zu öffnen ist nötig, um die Funktionalität des Typs email (service dovecot) zu gewährleisten
  • Um dieses Problem zu beheben, musst du höchstwahrscheinlich die Port-Weiterleitung auf deinem Internet-Router einrichten wie in https:__yunohost.org/isp_box_config beschrieben

=================================
Web (web)

[ERROR] Die Domäne maindomain.tld scheint von aussen via HTTP per IPv4 nicht erreichbar zu sein, obwohl es per IPv6 funktioniert.

  • Wartezeit wurde beim Versuch überschritten, von Aussen eine Verbindung zu Ihrem Server aufzubauen. Er scheint nicht erreichbar zu sein.
    1. Die häufigste Ursache für dieses Problem ist, dass die Ports 80 und 433 nicht richtig zu Ihrem Server weitergeleitet werden.
    2. Sie sollten zudem sicherstellen, dass der Dienst nginx läuft.
    3. In komplexeren Umgebungen: Stellen Sie sicher, dass keine Firewall oder Reverse-Proxy stört .

[ERROR] Die Domäne later.maindomain.tld scheint von aussen via HTTP per IPv4 nicht erreichbar zu sein, obwohl es per IPv6 funktioniert.

  • Wartezeit wurde beim Versuch überschritten, von Aussen eine Verbindung zu Ihrem Server aufzubauen. Er scheint nicht erreichbar zu sein.
    1. Die häufigste Ursache für dieses Problem ist, dass die Ports 80 und 433 nicht richtig zu Ihrem Server weitergeleitet werden.
    2. Sie sollten zudem sicherstellen, dass der Dienst nginx läuft.
    3. In komplexeren Umgebungen: Stellen Sie sicher, dass keine Firewall oder Reverse-Proxy stört .

[ERROR] Die Domäne links.maindomain.tld scheint von aussen via HTTP per IPv4 nicht erreichbar zu sein, obwohl es per IPv6 funktioniert.

  • Wartezeit wurde beim Versuch überschritten, von Aussen eine Verbindung zu Ihrem Server aufzubauen. Er scheint nicht erreichbar zu sein.
    1. Die häufigste Ursache für dieses Problem ist, dass die Ports 80 und 433 nicht richtig zu Ihrem Server weitergeleitet werden.
    2. Sie sollten zudem sicherstellen, dass der Dienst nginx läuft.
    3. In komplexeren Umgebungen: Stellen Sie sicher, dass keine Firewall oder Reverse-Proxy stört .

[ERROR] Die Domäne pixelfed.maindomain.tld scheint von aussen via HTTP per IPv4 nicht erreichbar zu sein, obwohl es per IPv6 funktioniert.

  • Wartezeit wurde beim Versuch überschritten, von Aussen eine Verbindung zu Ihrem Server aufzubauen. Er scheint nicht erreichbar zu sein.
    1. Die häufigste Ursache für dieses Problem ist, dass die Ports 80 und 433 nicht richtig zu Ihrem Server weitergeleitet werden.
    2. Sie sollten zudem sicherstellen, dass der Dienst nginx läuft.
    3. In komplexeren Umgebungen: Stellen Sie sicher, dass keine Firewall oder Reverse-Proxy stört .

=================================
E-Mail (mail)

[SUCCESS] Der SMTP-Server ist in der Lage E-Mails zu versenden (der ausgehende Port 25 ist nicht blockiert).

[ERROR] Der SMTP-Server ist von außen nicht erreichbar per IPv4. Er wird nicht in der Lage sein E-Mails zu empfangen.

  • Konnte keine Verbindung zu deinem Server auf dem Port 25 herzustellen über IPv4. Er scheint nicht erreichbar zu sein.
    1. Das häufigste Problem ist, dass der Port 25 nicht richtig zu deinem Server weitergeleitet ist.
    2. Du solltest auch sicherstellen, dass der Postfix-Dienst läuft.
    3. In komplexeren Umgebungen: Stelle sicher, daß keine Firewall oder Reverse-Proxy stört.

[ERROR] Reverse-DNS-Eintrag ist nicht korrekt konfiguriert für IPv4. Einige E-Mails könnten eventuell nicht zugestellt oder als Spam markiert werden.

  • Aktueller Reverse-DNS-Eintrag: i538701b0.versanet.de
    Erwarteter Wert: maindomain.tld
  • Sie sollten zuerst versuchen, auf Ihrer Internet-Router-Oberfläche, in Ihrer Internet-Box oder auf Ihrer Hosting-Anbieter-Oberfläche den Reverse-DNS-Eintrag mit maindomain.tldzu konfigurieren. (Gewisse Hosting-Anbieter können möglicherweise verlangen, dass Sie dafür ein Support-Ticket erstellen).
  • Einige Provider werden Ihnen nicht erlauben, den Reverse-DNS zu konfigurieren (oder deren Funktionalität ist defekt…). Falls Sie deswegen auf Probleme stossen sollten, ziehen Sie folgende Lösungen in Betracht:
    • Manche ISPs stellen als Alternative die Benutzung eines Mail-Server-Relays zur Verfügung, was jedoch mit sich zieht, dass das Relay Ihren E-Mail-Verkehr ausspionieren könnte.
    • Eine privatsphärenfreundlichere Alternative ist die Benutzung eines VPN mit einer dedizierten öffentlichen IP um Einschränkungen dieser Art zu umgehen. Schauen Sie hier nach https:__yunohost.org/vpn_advantage
    • Schließlich ist es auch möglich, zu einem anderen Provider zu wechseln

[ERROR] Kein Reverse-DNS-Eintrag ist definiert für IPv6. Einige E-Mails könnten eventuell nicht zugestellt oder als Spam markiert werden.

  • Sie sollten zuerst versuchen, auf Ihrer Internet-Router-Oberfläche, in Ihrer Internet-Box oder auf Ihrer Hosting-Anbieter-Oberfläche den Reverse-DNS-Eintrag mit maindomain.tldzu konfigurieren. (Gewisse Hosting-Anbieter können möglicherweise verlangen, dass Sie dafür ein Support-Ticket erstellen).
  • Einige Provider werden es Ihnen vermutlich nicht erlauben, den Reverse-DNS-Eintrag zu konfigurieren (oder vielleicht ist diese Funktion beschädigt…). Falls Sie Ihren Reverse-DNS-Eintrag für IPv4 korrekt konfiguriert haben, können Sie versuchen, die Verwendung von IPv6 für das Versenden von E-Mails auszuschalten, indem Sie den Befehl ‘yunohost settings set smtp.allow_ipv6 -v off’ ausführen. Bemerkung: Die Folge dieser letzten Lösung ist, dass Sie mit Servern, welche nur über IPv6 verfügen, keine E-Mails mehr versenden oder empfangen können.

[ERROR] Deine IP-Adresse oder Domäne xx.xx.xx.xx ist auf der Blacklist auf Spamhaus ZEN

  • Der Grund für die Blacklist ist: “Listed by PBL, see https:__check.spamhaus.org/query/ip/xx.xx.xx.xx”
  • Nachdem Sie herausgefunden haben, weshalb Sie auf die Blacklist gesetzt wurden und dies behoben haben, zögern Sie nicht, nachzufragen, ob Ihre IP oder Ihre Domäne von https:__www.spamhaus.org/zen/ entfernt werden kann

[ERROR] Deine IP-Adresse oder Domäne xx.xx.xx.xx ist auf der Blacklist auf SpamRATS! all

  • Der Grund für die Blacklist ist: “SPAMRATS IP Addresses See: http:__www.spamrats.com/bl?xx.xx.xx.xx”
  • Nachdem Sie herausgefunden haben, weshalb Sie auf die Blacklist gesetzt wurden und dies behoben haben, zögern Sie nicht, nachzufragen, ob Ihre IP oder Ihre Domäne von http:__www.spamrats.com/ entfernt werden kann

[SUCCESS] 0 anstehende E-Mails in der Warteschlange

=================================
Dienste-Status (services)

[SUCCESS] Dienst dnsmasq läuft!

[SUCCESS] Dienst dovecot läuft!

[SUCCESS] Dienst fail2ban läuft!

[SUCCESS] Dienst linkwarden läuft!

[SUCCESS] Dienst mysql läuft!

[SUCCESS] Dienst nginx läuft!

[SUCCESS] Dienst opendkim läuft!

[SUCCESS] Dienst php8.2-fpm läuft!

[SUCCESS] Dienst php8.3-fpm läuft!

[SUCCESS] Dienst pixelfed läuft!

[SUCCESS] Dienst postfix läuft!

[SUCCESS] Dienst postgresql läuft!

[SUCCESS] Dienst redis-server läuft!

[SUCCESS] Dienst slapd läuft!

[SUCCESS] Dienst ssh läuft!

[SUCCESS] Dienst yunohost-api läuft!

[SUCCESS] Dienst yunohost-firewall läuft!

[SUCCESS] Dienst yunohost-portal-api läuft!

[SUCCESS] Dienst yunomdns läuft!

=================================
Systemressourcen (systemresources)

[SUCCESS] Das System hat noch 6.3 GiB (80%) RAM von 7.9 GiB zur Verfügung.

[INFO] Das System hat nur 200 MiB Swap. Du solltest dir überlegen mindestens 512 MiB an Swap einzurichten, um Situationen zu verhindern, in welchen der RAM des Systems knapp wird.

  • Bitte wahren Sie Vorsicht und Aufmerksamkeit, dass das Betreiben der Swap-Partition auf einer SD-Karte oder einer SSD die Lebenszeit dieses Geräts drastisch reduzieren kann.

[SUCCESS] Der Speicher / (auf Gerät /dev/mmcblk0p2) hat immer noch 46 GiB (84%) freien Speicherplatz übrig(von insgesamt 55 GiB)!

[SUCCESS] Der Speicher /boot/firmware (auf Gerät /dev/mmcblk0p1) hat immer noch 425 MiB (83%) freien Speicherplatz übrig(von insgesamt 510 MiB)!

=================================
Systemkonfiguration (regenconf)

[SUCCESS] Alle Konfigurationsdateien sind in Übereinstimmung mit der empfohlenen Konfiguration!

=================================
Applikationen (apps)

[SUCCESS] Alle installierten Apps berücksichtigen die grundlegenden Paketierungspraktiken

2

just added some screenshots for clarification
screenshots, as I’m not allowed to upload media

3

Did you try to reach any of the open ports from the internet (e.g. using a mobile data connection or a computer at a place outside your local network)?

4

Hi, the ports seem to be open, but sort of ‘filtered’:

~$ nmap 8$$.$$$.$$$.$$7 -Pn -p 22
Starting Nmap 7.95 ( https://nmap.org ) at 2025-03-07 18:09 CET
Nmap scan report for somerandom-net.de (8$$.$$$.$$$.$$7)
Host is up.

PORT   STATE    SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds
~$ nmap 8$$.$$$.$$$.$$7 -Pn -p 80
Starting Nmap 7.95 ( https://nmap.org ) at 2025-03-07 18:10 CET
Nmap scan report for somerandom-net.de (8$$.$$$.$$$.$$7)
Host is up.

PORT   STATE    SERVICE
80/tcp filtered http

Nmap done: 1 IP address (1 host up) scanned in 2.02 seconds
5

Nope, the port seems to be filtered. The IP packages are not dropped, but are replied to with some icmp error message.

You should see the incoming icmp error message in tcpdump.

If you do not find any incoming package on your yunohost using tcpdump (the packages are captured before any firewall rules are applied) the external connection probably is denied by your FritzBox.

To my knowledge FritzBox doesn’t offer means to debug this so the error could as well be generated by your provider, because they do not allow those incoming connections.

I’d think it is something in the FritzBox configuration. To differentiate between provider firewall and FritzBox configuration you could enable the admin page of the FritzBox to listen to the internet temporary and try to reach it. If you reach ist you can be pretty sure that your provider allows incoming connections to tcp:443 and that at least these connections should reach your yunohost if the FritzBox is configured correctly to forward them.