Moin,
gegeben ist ein Rechner an einer Fritz!Box 7350 hinter einem DS-Lite Anschluß. Der Rechner hat eine öffentlich erreichbare IPv6-Adresse, Zugriffe darauf, werden von der FB durchgestellt. Zu dieser IP-Adresse ist ein öffentlicher Hostname + Domain zugeordnet; dieser Name kann von außen aufgelöst werden:
hille42@freeshell:~$ host rasppi1.hilmar-preusse.de rasppi1.hilmar-preusse.de has IPv6 address 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e
Merkwürdigerweise klappt das nicht, wenn ich meine Fritz!Box befrage. Diese sollte DNS-Anfragen (außer die für mein Intranet) einfach an den Provider weiter senden. Wieso leitet die FB die Anfragen nicht einfach zum Provider weiter und erhält dort eine korrekte IP-Adresse? Die IPv6-Adressen des Providers habe ich mir direkt aus der Status-Page der FB heraus kopiert.
hille@haka:~$ nslookup
server 192.168.200.1 <<<< Adresse der Fritz!Box
Default server: 192.168.200.1 Address: 192.168.200.1#53
rasppi1.hilmar-preusse.de
Server: 192.168.200.1 Address: 192.168.200.1#53
Non-authoritative answer: *** Can't find rasppi1.hilmar-preusse.de: No answer
server 2001:a60::53:1 <<<<< 1. DNS Server des Providers
Default server: 2001:a60::53:1 Address: 2001:a60::53:1#53
rasppi1.hilmar-preusse.de
Server: 2001:a60::53:1 Address: 2001:a60::53:1#53
Non-authoritative answer: Name: rasppi1.hilmar-preusse.de Address: 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e
server 2001:a60::53:2 <<<<< 2. DNS Server des Providers
Default server: 2001:a60::53:2 Address: 2001:a60::53:2#53
rasppi1.hilmar-preusse.de
Server: 2001:a60::53:2 Address: 2001:a60::53:2#53
Non-authoritative answer: Name: rasppi1.hilmar-preusse.de Address: 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e
server 192.168.200.1 <<<< Auflösung von IPv6-Adressen geht aber
Default server: 192.168.200.1 Address: 192.168.200.1#53
www.google.de
Server: 192.168.200.1 Address: 192.168.200.1#53
Non-authoritative answer: Name: www.google.de Address: 172.217.23.67 Name: www.google.de Address: 2a00:1450:4016:805::2003
Danke, Hilmar
Hilmar Preuße hille42@web.de (Fr 07 Feb 2020 23:16:42 CET):
hille42@freeshell:~$ host rasppi1.hilmar-preusse.de rasppi1.hilmar-preusse.de has IPv6 address 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e
Merkwürdigerweise klappt das nicht, wenn ich meine Fritz!Box befrage. Diese sollte DNS-Anfragen (außer die für mein Intranet) einfach an den Provider weiter senden. Wieso leitet die FB die Anfragen nicht einfach zum Provider weiter und erhält dort eine korrekte IP-Adresse? Die IPv6-Adressen des Providers habe ich mir direkt aus der Status-Page der FB heraus kopiert.
Woher weißt Du, daß die FB das nicht weiterleitet? Kann es sein, daß sie (die FB) der Meinung ist, dass der angefragte Host zu Deinem Intranet gehört und sich irrational verhält? (Ich meine, NXDOMAIN hätte ich da eigentlich erwartet.)
hille@haka:~$ nslookup
server 192.168.200.1 <<<< Adresse der Fritz!Box
Default server: 192.168.200.1 Address: 192.168.200.1#53
rasppi1.hilmar-preusse.de
Server: 192.168.200.1 Address: 192.168.200.1#53 Non-authoritative answer: *** Can't find rasppi1.hilmar-preusse.de: No answer
Hier würde ich natürlich etwas stutzig werden: No Answer…. wann sagt `nslookup` das? Wenn es keine Antwort bekommen hat, timeout oder so. Hat die FB ein Verbindungsproblem? Scheinbar nicht, wie ja die folgende Query zeigt.
server 192.168.200.1 <<<< Auflösung von IPv6-Adressen geht aber
Default server: 192.168.200.1 Address: 192.168.200.1#53
www.google.de
Server: 192.168.200.1 Address: 192.168.200.1#53
Non-authoritative answer: Name: www.google.de Address: 172.217.23.67 Name: www.google.de Address: 2a00:1450:4016:805::2003
Hier ist jetzt der Unterschied, daß google sowohl A als auch AAAA Records hat. Deine eigene aber nur einen AAAA. Vielleicht ist der Forwarder in der FB einfach zu dumm, damit umzugehen. Ich glaube, früher war das ein dnsmasq, und der ist mir nicht durch Qualität aufgefallen.
-- Heiko
Am 08.02.2020 um 22:58 teilte Heiko Schlittermann mit:
Hilmar Preuße hille42@web.de (Fr 07 Feb 2020 23:16:42 CET):
Moin,
hille42@freeshell:~$ host rasppi1.hilmar-preusse.de rasppi1.hilmar-preusse.de has IPv6 address 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e
Merkwürdigerweise klappt das nicht, wenn ich meine Fritz!Box befrage. Diese sollte DNS-Anfragen (außer die für mein Intranet) einfach an den Provider weiter senden. Wieso leitet die FB die Anfragen nicht einfach zum Provider weiter und erhält dort eine korrekte IP-Adresse? Die IPv6-Adressen des Providers habe ich mir direkt aus der Status-Page der FB heraus kopiert.
Woher weißt Du, daß die FB das nicht weiterleitet?
In der Tat habe ich diese Behauptung vorher nicht geprüft. Habe eben beim nslookup den Traffic auf dem WAN Interface mitgeschnitten und habe keinen DNS-Request auf diese Domain feststellen können.
Kann es sein, daß sie (die FB) der Meinung ist, dass der angefragte Host zu Deinem Intranet gehört und sich irrational verhält? (Ich meine, NXDOMAIN hätte ich da eigentlich erwartet.)
Ja, kann sein. Wobei ich nicht weiß, wieso die FB auf die Idee kommen sollte, daß diese Domain zu mir gehöre. Ich habe jetzt den DNS-Traffic mitgeschnitten, der auf dem Server zu sehen ist, wenn ich die Anfrage stelle. So richtig verstehe ich den Response der FB nicht. Der Trace hängt an.
server 192.168.200.1 <<<< Auflösung von IPv6-Adressen geht aber
Default server: 192.168.200.1 Address: 192.168.200.1#53
www.google.de
Server: 192.168.200.1 Address: 192.168.200.1#53
Non-authoritative answer: Name: www.google.de Address: 172.217.23.67 Name: www.google.de Address: 2a00:1450:4016:805::2003
Hier ist jetzt der Unterschied, daß google sowohl A als auch AAAA Records hat. Deine eigene aber nur einen AAAA. Vielleicht ist der Forwarder in der FB einfach zu dumm, damit umzugehen. Ich glaube, früher war das ein dnsmasq, und der ist mir nicht durch Qualität aufgefallen.
Dafür spricht auch die Beobachtung, daß der DNS-Request wirklich nicht nach außen weitergeleitet wird.
Sieht also ganz nach einem Ticket bei AVM aus. Na, ich probiers mal wieder.
H.
Am 07.02.2020 um 23:16 teilte Hilmar Preuße mit:
Moin,
gegeben ist ein Rechner an einer Fritz!Box 7350 hinter einem DS-Lite Anschluß. Der Rechner hat eine öffentlich erreichbare IPv6-Adresse, Zugriffe darauf, werden von der FB durchgestellt. Zu dieser IP-Adresse ist ein öffentlicher Hostname + Domain zugeordnet; dieser Name kann von außen aufgelöst werden:
hille42@freeshell:~$ host rasppi1.hilmar-preusse.de rasppi1.hilmar-preusse.de has IPv6 address 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e
Merkwürdigerweise klappt das nicht, wenn ich meine Fritz!Box befrage.
OK, gefunden. Die Antwort heißt DNS Rebind Schutz [1]. Habe jetzt zwei Exceptions eingetragen und schon kann ich die Web-Seite anschauen.
Hilmar
[1] https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/s...
Hilmar Preuße hille42@web.de (Di 11 Feb 2020 11:29:35 CET):
Am 07.02.2020 um 23:16 teilte Hilmar Preuße mit:
Moin,
gegeben ist ein Rechner an einer Fritz!Box 7350 hinter einem DS-Lite Anschluß. Der Rechner hat eine öffentlich erreichbare IPv6-Adresse, Zugriffe darauf, werden von der FB durchgestellt. Zu dieser IP-Adresse ist ein öffentlicher Hostname + Domain zugeordnet; dieser Name kann von außen aufgelöst werden:
hille42@freeshell:~$ host rasppi1.hilmar-preusse.de rasppi1.hilmar-preusse.de has IPv6 address 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e
Merkwürdigerweise klappt das nicht, wenn ich meine Fritz!Box befrage.
OK, gefunden. Die Antwort heißt DNS Rebind Schutz [1]. Habe jetzt zwei Exceptions eingetragen und schon kann ich die Web-Seite anschauen.
Weil die FB der Meinung ist, daß 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e zu Deinem Heimnetz gehört? Oder weil sie doch der Meinung war, daß hilmar-preusse.de zu Deinem Heimnetz gehört? Nach der von Dir referenzierten URL hört es sich an wie letzteres. Aber *woher* dann kannte die FB die Domain Deines Heimnetzes?
-- Heiko
Am 11.02.2020 um 11:43 teilte Heiko Schlittermann mit:
Hilmar Preuße hille42@web.de (Di 11 Feb 2020 11:29:35 CET):
Moin,
OK, gefunden. Die Antwort heißt DNS Rebind Schutz [1]. Habe jetzt zwei Exceptions eingetragen und schon kann ich die Web-Seite anschauen.
Weil die FB der Meinung ist, daß 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e zu Deinem Heimnetz gehört? Oder weil sie doch der Meinung war, daß hilmar-preusse.de zu Deinem Heimnetz gehört? Nach der von Dir referenzierten URL hört es sich an wie letzteres. Aber *woher* dann kannte die FB die Domain Deines Heimnetzes?
Nun, die IP 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e gehört in mein Heimnetz. In der IP-Ansicht der FB steht:
IPv6-Adresse: 2001:a61:5ab:6d00:de39:6fff:feef:4b1d, Gültigkeit: 5828/2228s, IPv6-Präfix: 2001:a61:5ab:6d00::/56, Gültigkeit: 5828/2228s
Damit befindet sich die IPv6-Adresse meines Rasppi im selben Netz wie das WAN-Interface der Fritz!Box. Beantwortet das die Frage?
H.
Hilmar Preuße hille42@web.de (Di 11 Feb 2020 13:08:16 CET):
OK, gefunden. Die Antwort heißt DNS Rebind Schutz [1]. Habe jetzt zwei Exceptions eingetragen und schon kann ich die Web-Seite anschauen.
Nun, die IP 2001:a61:5ab:6d01:ba27:ebff:fe87:6d3e gehört in mein Heimnetz. In der IP-Ansicht der FB steht:
IPv6-Adresse: 2001:a61:5ab:6d00:de39:6fff:feef:4b1d, Gültigkeit: 5828/2228s, IPv6-Präfix: 2001:a61:5ab:6d00::/56, Gültigkeit: 5828/2228s
Damit befindet sich die IPv6-Adresse meines Rasppi im selben Netz wie das WAN-Interface der Fritz!Box. Beantwortet das die Frage?
Na, immer noch nicht ganz. Die haben also vermutlich eine Auflösung versucht, und dabei festgestellt, daß diese letztlich irgendwie Bezug zu Deinem eigenen Netz (IPv6) hat und es dann daher geblockt.
Ich habe mal hilmar-preusse.schlittermann.de als AAAA für Deine IPv6 eingetragen. Dürfte dann jetzt auch nicht gehen, oder?
-- Heiko
Am 12.02.2020 um 12:26 teilte Heiko Schlittermann mit:
Moin,
Na, immer noch nicht ganz. Die haben also vermutlich eine Auflösung versucht, und dabei festgestellt, daß diese letztlich irgendwie Bezug zu Deinem eigenen Netz (IPv6) hat und es dann daher geblockt.
Ich habe mal hilmar-preusse.schlittermann.de als AAAA für Deine IPv6 eingetragen. Dürfte dann jetzt auch nicht gehen, oder?
pi@rasppi1:~ $ host hilmar-preusse.schlittermann.de pi@rasppi1:~ $
Genau. Ich könnte jetzt versuchen den Rebind-Schutz für diesen Namen auf meiner FB aufzuheben und würde es sicher gehen. Komme nur gerade nicht auf meine FB rauf.
Hilmar
It seems the issue lies in how the Fritz!Box handles DNS resolution. While it forwards most DNS queries correctly, it may not properly resolve specific external domains like "rasppi1.hilmar-preusse.de" due to its configuration or caching behavior. You can try manually setting the provider's DNS server (e.g., 2001:a60::53:1) on your device to bypass the Fritz!Box for DNS resolution. For advanced setups or if you need a more reliable solution, consider using a dedicated dns server for better performance and control. HostNoc can provide robust solutions for hosting and DNS needs. Learn everything you need to know about DNS Hierarchy here: https://www.hostnoc.com/dns-hierarchy-everything-you-need-to-know/
lug-dd@mailman.schlittermann.de
-
Heiko Schlittermann -
Hilmar Preuße -
saadbaig.branex@gmail.com