DNS Rebind Problem im Heimnetz mit FritzBox

[akwarius]

Moin,

habe schon das Forum durchstöbert, aber keine Lösung für mein Problem gefunden.

Meine DS713+ hängt am Kabeldeutschland Router CVE-30360. Vom KDG Router geht, neben Drucker und lokalem PC, ein Netzwerkkabel ins Erdgeschoß zu einem Linksys switch, an dem die Fritzbox und weitere Geräte hängen.

Mit IP alles problemlos zu erreichen, ebenso über extern ( nicht im Heimnetz ) über DDNS xxx.myds.me von Synology.

Problem ist die Erreichbarkeit im lokalen Wlan-Netz über die DNS Adresse xxx.myds.me. Das ist wohl wie ich herausgelesen habe ein DNS Rebind Problem der FB. Aber auch mit Ausnahme Eintrag im DNS-Rebind der FB ( xxx.myds.me ) bekomme ich über Wlan im lokalen Netz keine Verbindung zur DS.

Auch ein Wechsel des Wlan Routers brachte keinen Erfolg. Über DNS erreiche ich die DS im lokalen Wlan nicht.

Kennt jemand noch eine andere Lösung?

Nachtrag:

Wie ich gerade herausgefunden habe, erreiche ich über xxx.myds.me den KDG Router..... Nur wenn ich über xxx.myds.me beispielsweise owncloud oder den mailserver der DS erreichen will kommt keine Verbindung zu Stande....irgendwo klemmt noch was, aber es scheint wohl doch nicht das Rebind der FB zu sein....

Danke und Gruß,

Kristian

 

[akwarius]

Wenn ich mich von außerhalb über VPN mit der DS verbinde, brauche ich da dann noch den Umweg über DNS um auf meine DS Dienste ( mail server, photo station, owncloud, cloudstation ) zuzugreifen? ( also xxx.myds.me statt 123.456.789.123 )

Das würde das Problem insofern lösen, als das ich alle Links mit der lokalen IP verwenden könnte ( von extern ), und das DNS Problem im lokalen WLan nicht mehr hätte....Geht das über VPN via IP Adresse?

Danke und Gruß,

Kristian

 

[jahlives]

setz doch im LAN einen DNS Server auf und lass diesen dein dnydns mit der LAN-IP auflösen

 

[akwarius]

Danke.

Das hörte sich ja leicht an, aber bei der Ausführung blicke ich nicht durch

master zone, reverse zone, ns, aaaa etc

Ich will einfach das meine xxx.myds.me domain im LAN auf die IP der DS umgeleitet wird, wie geht das ????

Danke,

Kristian

 

[joku]

Meine DS713+ hängt am Kabeldeutschland Router CVE-30360. Vom KDG Router geht, neben Drucker und lokalem PC, ein Netzwerkkabel ins Erdgeschoß zu einem Linksys switch, an dem die Fritzbox und weitere Geräte hängen.

Hallo, wieviele Netze hast Du ?
KDG Router eins und die FritzBox eins ?

Gruß Jo

 

[Benares]

Wenn dein Router kein "Loopback" kann (Definition in etwa: automatische Erkennung, dass der Traffic an die eigene, externe IP geht und automatische Umleitung zurück ins lokale Netz), helfen da eigentlich nur Tricksereien mit der DNS-Namensauflösung. Entweder über einen eigenen DNS-Server (Vorschlag von jahlives) oder eine angepasste Hosts-Datei auf dem PC (die man allerdings jedesmal wieder umstellen müsste, wenn man von extern arbeitet).

 

[jan_gagel]

Naja, Tricksereien mit DNS würde ich das nicht nennen. Ich hab für solche Zwecke den SynoDNSmasq auf der DS laufen, der automatisch DHCP-Adressen vergibt und via Alias eben meine dyndns-Adresse mit der lokalen IP auflöst.

So löst mir der DNSmasq Internet-Adressen auf (wobei man diese Analytics-IPs umleiten kann, z. B. auf die DS selbst, dann kommt halt ein 404er zurück), löst mir lokale Geräte auf und meine beiden dyndns-Adressen werden mit der lokalen IP zurück geliefert. So kann ich z. B. DSPhoto+ aufm iPad und iPhone mit der dyndns-Adresse zuhause wie auch von unterwegs aus korrekt aufrufen, ohne daß ich da jedesmal den Namen / die IP ändern muß.

Ich hab sogar einen zweiten DNSmasq auf einem Router laufen. Leider können die DNSmasq's nicht untereinander kommunizieren und so z. B. ein Failover oder loadbalancing. Aber dafür ists relativ einfach einzurichten:

- Installieren
- konfigurieren (via Kommandozeile nur eine Datei, die man auch gut weg sichern kann)
- IPs und Namen / Aliase in die /etc/hosts oder je nach Konfiguration in eine separate Datei schreiben

Ach ja, Deamon starten und als DNS-Server am Client eintragen. Oder einfach unter Windows mit "ipconfig /renew" eine neue IP vom DHCP holen.

 

[Benares]

Ich benutz auch noch meinen alten Lancom-Router als reinen DNS-/DHCP-Server, da kann man auch wesentlich mehr machen als auf der Fritzbox. Da hab ich all meine lokalen Adressen hinterlegt und eine DNS-Weiterleitung an meine 7390 für externe Adressen.

Ich würde mir wünschen, dass AVM auch endlich mal einen gescheiten DNS-/DHCP-Server in ihre Fritzboxen integriert, dann könnte man auf externe Lösungen verzichten. Die Zeiten, an den ich noch selbst auf der Fritzbox rumgefrickelt habe, sind vorbei. Aber wenigstens LoopBack funktioniert ja inzwischen recht vernünftig, so dass ich die DNS-Umlenkung der DDNS-Adressen auf die lokale IPs inzwischen rausgenommen habe.

 

[jan_gagel]

also ich hab in meinen "DNS-Servern" externe DNS-Server eingetragen. Und zwar bewußt so, denn so kann ich schnelle DNS-Server verwenden. Die Fritzbox leitet ja auch nur die Anfrage weiter, so hab ich mir sogar einen "hop" gespart.

Mir ist das Verhalten der Fritzbox im LAN sowieso suspekt. Sucht ständig irgendwelche PCs um sie im "Heimnetz" darzustellen. Auch Portweiterleitungen gehen nicht auf IP sondern auf "erkannte PCs". Kurios, meine DS210j war mal mit WLAN angebunden, weil die Fritzbox keinen freien LAN-Port mehr hatte. Vor einigen Wochen hab ich dann einen GBit-Switch (Billigware, noname) genommen und hab dort alle Geräte angeschlossen (weil irgendwie die Fritzbox bei einer größeren Datenübertragung langsam wurde und der ein oder andere Absturz war auch da, vermutlich wegen dem Netzwerk-Transfer). Deshalb hat die DS210j jetzt einen LAN-Anschluß bekommen und ich hab die IP somit von WLAN ins LAN übernommen. Jetzt glaubt die Fritzbox immer noch, die DS210j sei via WLAN angeschlossen. Sogar der ein oder andere Reboot und eine Firmware-Aktualisierung hatten daran nix geändert.

Für mich ist die Fritzbox nachwievor ein Zwischending zwischen einfacher Router und Profi-Gerät. Wobei da eher folgende Überlegungen gehören:
- als Einsteiger-Gerät eindeutig zu teuer. Viele Einsteiger brauchen die große Funktionsvielfalt nicht.
- Bedienung soll möglichst einfach sein --> Einsteiger-Gerät
- Viele Funktionen --> Profi-Gerät (VPN, DECT, NAS-Funktion, Fax-Funktion, Telefonanlage...)
- leider alles nur halbherzig umgesetzt, bzw. der Funktionsumfang der einzelnen Funktionen ist stark reduziert
- zu wenig RAM / Flash-Speicher, zu langsamer Prozessor

 

[akwarius]

Nachdem ich mein Netzwerk ein wenig umgebaut habe, funktioniert endlich alles einwandfrei!

Jetzt ist der KDG Router auf "Bridging" eingestellt und daran die Fritzbox als Router. Danach sind alle Geräte im Heimnetz, teilweise über weitere Switches, angeschlossen.

Jetzt geht sowohl der interne Abruf über DNS ( Rebind-Ausnahme auf der Fritzbox funzt nun ) als auch alle externen Zugriffe.

Es war wohl ein Problem mit dem KDG Router ( Hitron ), der mit der Fritzbox und meinem Heimnetz nicht gut zusammengearbeitet hat....oder was auch immer....

Gruß,

Kristian

 

[blinddark]

Es kann auch ein Sicherheitsmerkmal der FB sein.
Ich kann meine Domäne des ldap-Servers auch nicht auflösen. Da hab ich gestern abend ewig geschaut. Heute Morgen ist mir eingefallen, dass es ja neue Sicherheitsfunktionen in der FB gibt. Siehe hier:
http://service.avm.de/support/de/SK...ufloesung-privater-IP-Adressen-nicht-moeglich
Ich werde das heute Abend mal versuchen und schauen, dass ich mit ldapadmin eine Verbindung zum ldap-Server bekomme.

 

[luddi]

"DNS-Rebind-Schutz" funktioniert nicht???

Ich habe soeben festgestellt dass der Rebind Schutz der Fritzbox (zumindest bei mir) nicht mehr funktioniert.

Bisher habe ich diese Funktion der Fritzbox selbst erfolgreich verwendet. Man trägt in der Fritz box unter "DNS-Rebind-Schutz" seine Domain ein die man auch erreichen möchte sobald man sich im LAN befindet. So weit so gut...

Heute wollte ich mich mit dem Thema DNS Server beschäftigen und als Ziel war es diese Aushebelung des DNS Rebind Schutz der Fritzbox in Zukunft zu umgehen. Der Gedanke dabei war es mehr Sicherheit zu bekommen.

Bevor ich anfing den DNS Server zu konfigurieren habe ich zunächst den DNS Rebind Schutz in der Fritzbox wieder deaktiviert (domain name Eintrag entfernt) um anschließend die richtige Konfiguration des DNS Servers bestätigen zu können.
Selbst nach einem Neustart der Fritzbox, der Diskstation und des Client´s konnte ich dennoch wie bisher über den domain name vom internen Netzwerk aus zugreifen. Das ist etwas merkwürdig, denn es gibt kein Verweis auf die interne IP der Diskstation (hosts Datei etc...).


Bei mir in Verwendung ist eine Fritzbox 7360 mit OS 6.20
Mich würde brennend interessieren, ob dieses Verhalten bei euch auch so ist. Wenn jemand mal die Zeit und Lust findet in der Fritzbox die eigene Domain aus dem "DNS-Rebind-Schutz" zu entfernen und versuchen die eigene Diskstation im LAN mit dem Browser über die eigene Domain zum DSM verbinden.

Für eure Hilfe wäre ich dankbar!

Gruß
luddi

 

[jan_gagel]

dns-cache hast du auch geleert?
Windows: ipconfig /flushdns
Mac: dscacheutil -flushcache

 

[luddi]

Danke dir für den Hinweis. Aber leider hat auch das nicht geholfen.

Gruß
luddi

 

[jahlives]

bist du 100% sicher, dass der DNS auf die LAN IP aufgelöst hat und nicht etwa auf die externe IP des Routers? Wenn der Loopback beherrscht, kannst du auch via öffentliche IP Adresse zugreifen

 

[joku]

Wenn jemand mal die Zeit und Lust findet in der Fritzbox die eigene Domain aus dem "DNS-Rebind-Schutz" zu entfernen und versuchen die eigene Diskstation im LAN mit dem Browser über die eigene Domain zum DSM verbinden.

Hallo, ich benutze eine 7390 mit OS 6.20,
ohne diesen "DNS-Rebind-Schutz" Eintrag und erreiche aus meinem Heimnetz
alle meine Domain auf der DS.
Genau, wie jahlives schreibt, mit der IP erreiche ich die DS und mit den Domain, die vHosts.

Gruß Jo

 

[luddi]

bist du 100% sicher, dass der DNS auf die LAN IP aufgelöst hat und nicht etwa auf die externe IP des Routers?

Der DNS löst nicht auf die LAN IP, sondern auf die externe WAN IP auf. Genau so wie ich es auch erwarte.

Wenn der Loopback beherrscht, kannst du auch via öffentliche IP Adresse zugreifen

Das Loopback sollte der Router (hier Fritzbox) per Default nicht unterstützen, sondern nur in dem Fall dass dies bewusst unter den Einstellungen für die jeweilige Domain eingetragen ist. So zumindest mein Verständnis.

FritzBox Einstellungen

DNS-Rebind-Schutz
FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie eine Liste von Domainnamen angeben, für die der DNS-Rebind-Schutz nicht gelten soll.
Domainnamen-Ausnahmen:

Gruß
luddi

 

[luddi]

...ohne diesen "DNS-Rebind-Schutz" Eintrag und erreiche aus meinem Heimnetz alle meine Domain auf der DS.

Aber sollte das gerade nicht der Fall sein? Ich erinnere mich dass die FritzBox´n (nun weiß ich nicht mehr welche Firmware Version) das Loopback zu der damaligen Zeit nicht unterstützt haben. Dann folgte ein Update des Fritz OS und die Option "DNS-Rebind-Schutz" war verfügbar. Somit hatte ich meine Domain eingetragen und schon lief alles wieder wie gewünscht mit dem Loopback.

Und jetzt scheint es so, dass der Router das Loopback auch ohne Eintrag in diese Liste unterstützt.

Gruß
luddi

 

[jahlives]

ich glaub du verstehst nicht ganz was der Rebinding Schutz macht. Der verhindert nur dass du auf eine RFC1918 private IP zugreifst falls du einen DNS Namen auflöst. Da dein Name jedoch auf die externe IP auflöst, greift hier keine Rebind Protection.
Wäre mit zudem neu dass man Loopback pro Domain angeben könnte Denn woher soll der Router wissen zu welcher Domain eine IP gehört ;-) Das geht technisch gar nicht. Der Router kann es oder kann es nicht

 

[luddi]

@jahivles: Vielen Dank für die Aufklärung. Vermutlich habe ich da wieder etwas durcheinander gebracht Und das ist auch plausibel dass der Loopback nicht pro Domain angegeben werden kann.

Gruß
luddi