DynDNS-Adresse funktioniert innerhalb Netzwerk nicht

wezoromax

Benutzer
Mitglied seit
27. Jun 2016
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Hiho,

merkwürdiges Phänomen:

ich habe sowohl das DynDNS von Synology auf der Synology als auch ein Selfhost DynDNS auf dem Router (Speedport W724) laufen.
Diese liefen auch schon problemlos. Aber dann (ohne dass ich mich an eine bestimmte Änderung erinnern könnte) - nicht mehr.

Gehe ich per Mobilfunk ins Internet und teste die Adressen, oder so einen Browser Proxy (https://hide.me/de/proxy) dann läuft es. Ebenso wird mir unter isup.me angezeigt dass die Website online wäre.

Versuche ich es aber vom LAN / WLAN hinter dem Router aus, dann kommt schlichtweg ein Timeout (Diese Website ist nicht erreichbar. ... Laden hat zu lange gedauert...) - von verschiedenen Geräten aus. Ebenso funktionieren die Synology Apps dann nur mit interner IP nicht mit Quickconnect.

Bis hierhin dachte ich, dass der Speedport irgendwie seinen DNS Cache nicht oft genug erneuert. Aber!

Versuche ich direkt auf meine IP (aus meinem LAN heraus) zuzugreifen, kommt auch ein Timeout. Warum blockt der Router Anfragen aus dem eigenen Netz an sich selbst?
Und wie kann ich das unterbinden? (Am Anfang lief es ja?)

.
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.951
Punkte für Reaktionen
10
Punkte
104
Der Router beherrscht wahrscheinlich kein Loopback, so daß er Anfragen von intern nicht selbst auflösen kann. Das erklärt aber nicht, warum es schonmal gelaufen ist. Selber Router?
 

dil88

Benutzer
Mitglied seit
03. Sep 2012
Beiträge
28.577
Punkte für Reaktionen
3
Punkte
644
Dachte auch an Loopback, das erklärt aber auch nicht, warum es mit der (LAN?) IP nicht klappt. BTW: LAN-IP oder externe IP?
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.953
Punkte für Reaktionen
1
Punkte
58
Firewall auf der DS verwendet/konfiguriert?
 

wezoromax

Benutzer
Mitglied seit
27. Jun 2016
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Ehm, mit IP meinte ich die Externe (WAN) IP, mit der LAN IP funktioniert es selbstverständlich.

Router ist gleich geblieben. Wozu muss der Router Loopback beherrschen, wenn die Anfrage vom LAN-Client an den Router an den DNS-Server an DynDNS-Anbieter geht? Ok, bei der WAN-IP verstehe ich es.
Also ich meine, ich frage doch "draußen" nach?

Wie ist das eigentlich mit ipv6? Im Router finde ich eine bzw. nen Bereich, per wieistmeineip.de wird keine angezeigt.

Ich muss mich auch gerade korrigieren: Quickconnect.to/ funktioniert! Aber meine .myds.me nicht...

Firewall auf der DS ... moment.... aktiviert, default Profil. Ich teste mal ausgeschaltet. -> keine Änderung :-/
 

dil88

Benutzer
Mitglied seit
03. Sep 2012
Beiträge
28.577
Punkte für Reaktionen
3
Punkte
644
Wenn es bei der WAN-IP nicht geht, wird es bei der DDNS-Adresse auch nicht gehen, denn die wird ja in die WAN-Adresse aufgelöst. Zum NAT-Loopback gibts z.B. hier eine Beschreibung.
 

wezoromax

Benutzer
Mitglied seit
27. Jun 2016
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Ja soweit klar. Aber es ist ja nur aus dem Netzwerk heraus so. Deshalb hatte ich angenommen, dass wenn eine Adress-auflösung stattfindet eben ein Schritt "weiter raus" gegangen wird. Aber der Fehler sitzt halt woanders.

Okay, scheint tatsächlich das fehlende Loopback zu sein (Telekom Bevormundung). Ist nicht der erste Punkt der mich nervt... aber ich will das WLAN2Go behalten, und das funktioniert momentan nur mit diesen Routern.
https://telekomhilft.telekom.de/t5/...rpin-NAT-aka-NAT-Loopback/td-p/1045322/page/4

Dort wird angesprochen, dass sich das mit einem internen DNS Server lösen lässt. Ich schalte meine NAS eigentlich nur zum schlafen ab (dann greife ich auch nicht auf die NAS zu) also wenn ich als Primären DNS Server die NAS und als Sekundären den Speedport wähle müsste das gehen? (Die Konfiguration des DNS Servers wird natürlich komplizierter, schätze ich.)

Aber wie mache ich das mit Mobilen Geräten? (Die ich auch in anderen Strukturen verwenden will, wo die Gateways andere Ips haben)

Und warum hat es anfangs funktioniert?

PS:
Der DNS Server macht auch in soweit Sinn, dass ich mich noch genauer mit VPN außernandersetzen möchte um per OpenVPN 2 Netzwerke zu verbinden, und per "Name" auf die einzelnen Geräte zugreifen können möchte. Das kann der Speedport intern (ohne VPN) auch nicht richtig.
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.953
Punkte für Reaktionen
1
Punkte
58
Ja, DNS ist eine Lösung, habe ich auch (obwohl mein Loopback funktioniert, weil wegen Loopback bei mir intern zur DS die Up-/Downloadgeschwindigkeit sich halbiert).

DNS-Konfiguration ist nicht einfach und ich könnte es nicht noch mal reprodzieren. Ist leider nicht selbsterklärend, bin froh, dass es bei mir läuft.

Der DNS wird dann einfach am DHCP-Server eingestellt und dieser vergibt an die Clients die IP-Einstellungen u.a. auch den DNS (die interne IP Deiner DS). Das hat zur Folge, wenn die DS nicht läuft, gibt es kein Internet auf keinem Gerät, das von dem DHCP versorgt wurde. Deshalb sollte der DNS dauerhaft laufen (ich schalte gerne bei Gewitter meine DS ab und stecke sie ab, leider Internet ade im restlichen Netzwerk :-( Deshalb muss ich das mal anders lösen.
 

wezoromax

Benutzer
Mitglied seit
27. Jun 2016
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
mhhh der DHCP Server wäre normal der Router. Ich fürchte der Speedport lässt das auch nicht zu (finde zumindest keine Einstellung dazu - würde zur Firmenpolitik passen)

stattdessen kann ich doch auf jeden Fall bei meinem Desktop Rechner die DS als DNS angeben, und als alternativen den Speedport. oder? Dabei würde ein Fallback funktionieren, wenn ich die DS noch nicht anhabe (ist einfach zu laut zum schlafen und ich hab nur ne EZW).

Das ist aber bei Laptop/Android doof... die kämen ja dann außerhalb nicht mehr zurecht.

Die DS hat auch nen DHCP Server, kann man den so einstellen, dass er ... nein... 2 dhcp server das wird nicht funktionieren... :-/

Jemand ne weitere Idee?
Und immer noch offen: Warum lief es am Anfang?
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.953
Punkte für Reaktionen
1
Punkte
58
Das ist aber bei Laptop/Android doof... die kämen ja dann außerhalb nicht mehr zurecht.
Warum, wenn Du aushalb bist bekommst Du doch keine IP-Konfiguration von Deinem Router. Wenn Du in einem anderen WLAN bist bekommst Du doch die DNS-Einstellungen von dort und da wird Dein Netzwerk über die öffentlichen DNS gefunden.

Es ist ja nur wichtig, dass im internen Netz bei Eingabe Deiner DynDNS nicht die WAN-IP aufgelöst wird, sondern die interne lokale IP der DS, nur dazu ist der eigene DNS da. Anderswo ist das unrelevant, weil da willst Du ja von außen über die WAN-IP rein.
 

wezoromax

Benutzer
Mitglied seit
27. Jun 2016
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Wenn ich außerhalb bin, aber in den Adaptereinstellungen den DNS-Server fest angegeben habe, bekomme ich diesen natürlich nicht vom Router....
Und mein Router (innerhalb) kann keinen anderen DNS-Server mitgeben -> müsste über Adaptereinstellungen gehen oder anderen DHCP Server
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.953
Punkte für Reaktionen
1
Punkte
58
achso, ja. Mit fest eintragen Werten schießt Du Dir aber immer irgendwie ins Knie. Aber da gibt es sicher Lösungen über Raspberry PI (DHCP und DNS), etc, Kostenaufwand gering und lautlos.
 

wezoromax

Benutzer
Mitglied seit
27. Jun 2016
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Zusätzliche Geräte. Ungern. Aber um die DS von außerhalb aufwecken zu können werde ich sowas wohl auch brauchen. Schonmal 2 Gründe.

Was ich noch nicht verstanden habe: NAT Loopback ist doch im Prinzip nur eine Abkürzung? Wenn der Router das nicht kann, dann sollte er die Anfrage doch einfach an seinen DNS Server schicken, dieser findet raus wohin damit, und dann kommt das Paket irgendwann an "Hallo da will jemand aufrufen:"
Besonders: Das Loopback gilt doch für IP-Adressen, nicht für Domain / DDNS?

Ein weiterer Gedanke: "Thus, two-way communication is possible between hosts inside the LAN network via the public IP address."
Bedeutet das, dass Videos vom Plex Server (auf der DS) erst übers WAN laufen?
 
Zuletzt bearbeitet:

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.864
Punkte für Reaktionen
538
Punkte
384
Der Router erkennt ja, dass der Name auf seine eigene öffentliche IP aufgelöst wird. Daraufhin verwirft er die Pakete normal.
DNS-Rebind-Schutz nennt sich das auch, weil es eben gegen DNS-Rebind Attacken schützen soll.
NAT-Loopback oder eine Ausnahme-Regel beim DNS-Rebind-Schutz hebt diesen Schutz eben auf für gewisse oder alle Domain-Namen.
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.951
Punkte für Reaktionen
10
Punkte
104
Die App "DS Finder" ist in der Lage die Geräte per WOL zu wecken. Funktionierenden DynDNS vorausgesetzt.
 

wezoromax

Benutzer
Mitglied seit
27. Jun 2016
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Ach er erkennts und blockierts direkt, anstatt es einfach ganz normal zu behandeln als hätt ers nicht bemerkt? Das ist ja... behindert.
Im Prinzip: "nein, die Abkürzung dürft ihr nicht fahren, das ist gefährlich, aber weil es da hin eine Abkürzung gibt, ja dann Sperren wir auch gleich die lange Strecke dahin..."

Wobei ich hab das anders verstanden: DNS-Rebind-Schutz ist das verhindern von Loopback weil es für "falsche Absender" genutzt werden könnte. Nicht andersrum - also dass Rebind Schutz nur dann nicht gegeben ist wenn man die Ausnahme Loopback macht. Weil normal Pakete von außerhalb dürfen ja auch durch (Portforwarding z.B.) - und Pakete von ursprünglich innerhalb, die draußen waren, wieder zurückkommen, bekommen ja auch keine Extrarechte ?

@rednag: Ja, WOL funktioniert intern, aber - wieder - der Router lässt keine Broadcasts/Magic Pakets durch. Deshalb brauch ich im LAN einen Konverter, der ein spezielles Paket bekommt und dann intern den Broadcast durchführt.
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.951
Punkte für Reaktionen
10
Punkte
104
m. W. nach ist bei der App der Router nur dahingehend involiert über einen Port den Zugang zur DS weiterzuschleifen. Es müssen nicht extra Ports für WOL definiert werden.
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.864
Punkte für Reaktionen
538
Punkte
384
Ja, ist ne reine Benamungsfrage. Manche Router machen (ungefragt) NAT-Loopback andere nicht. Und normal ist das eine alles oder nichts Einstellung, wenn es sie denn gibt.
Bei den Fritzboxen nennt sich das eben DNS-Rebind-Schutz (also Loopback im Normalfall blockiert). Eingetragen werden dann dort die Domain Ausnahmen, für die der Loopback dann zugelassen ist.

https://www.heise.de/security/artikel/Angepinnt-271004.html
http://www.ceilers-news.de/serendip...tbekannter-Angriff-kompromittiert-Router.html

Gibt ja verschiedene Angriffs-Szenarien im Bereich same-origin / dns-rebinding...
 

wezoromax

Benutzer
Mitglied seit
27. Jun 2016
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
m. W. nach ist bei der App der Router nur dahingehend involiert über einen Port den Zugang zur DS weiterzuschleifen. Es müssen nicht extra Ports für WOL definiert werden.

Ja, aber wenn die DS aus ist, hat sie ja keine IP. Sprich normales Portforwarding geht dann nicht (es sei denn der Router behält eben eine Tabelle und nutzt diese auch für schlafende - macht der Speedport nicht). Deshalb wird ein Magic Paket geschickt, in dem ist die MAC Adresse verbaut und dieses Paket wird gebroadcastet, also an alle Adressen des Subnets geschickt. Das ist dann als Adresse die IP 192.168.178.0 oder .255 (weiß grad nicht sicher). Und genau sowas lässt der Speedport wieder nicht durch.

@ Fusion, ich wollte darauf hinaus, dass wenn man die Abkürzung (loopback) nicht implementiert, es dann doch auch keinen Angriffspunkt gäbe, weil es praktisch ein ganz normales Paket von außen ist (oder?)

Aber warum es am Anfang funktionierte verstehe ich immer noch nicht. Kann ja nicht sein, dass der Router ne Woche braucht, bis er merkt dass diese DNS/Domain immer zurückkommt?

Ich werd schlussendlich vorerst weiter mit der (internen) IP arbeiten, und Ausschau nach nem Schnäppchen Raspberry halten, oder nem DD-WRT Gerät, wobei der Rspb mehr zum Basteln einläd...
 
Zuletzt bearbeitet:

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.864
Punkte für Reaktionen
538
Punkte
384
Das Loopback ist keine Abkürzung.
Der Traffic wird von der LAN an die WAN Schnittstelle gegeben und von dort wieder zurück (deshalb greifen auch Portumleitungen in dem Fall). Das Paket ist also wie ein "normales paket von außen".
Ja, der Weg ist kürzer als von einem externen Server, aber "abgekürzt" im Sinne, dass irgendetwas an der Paketbehandlung ausgelassen wird ist es nicht.

Ja, man braucht Loopback nicht. Allerdings braucht dann jeder der über Domainnamen die auf den eigenen Anschluss zurück zeigen zwingend einen DNS server im eigenen Netz. Und den haben wohl die wenigstens "Consumer" (der Router ist ja nur ein DNS-Cache und/oder Relay).
Ob jetzt NAT-Loopback/Reflection direkt mit Einführung von NAT kam und ob mit/ohne der historische "default" ist, keine Ahnung.
 
NAS-Central - Ihr Partner für NAS Lösungen