[Frage] FB7390: manueller DNS-Eintrag oder DNS-Rebind erlauben

VrahoK

Neuer User
Mitglied seit
27 Dez 2012
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich hab schon viel zu dem Thema gelesen, allerdings keine zufriedenstellende Antwort gefunden. Es geht um das DNS-Rebinding-"Problem", also auch vom lokalen Netz auf die DynDns-Adressen zugreifen können. Da ich unter anderem einen Kalenderserver auf meinem NAS laufen habe, will ich den syncen können, egal ob von extern oder intern. Deshalb seh ich hier 2 Möglichkeiten (kann mich aber auch täuschen):

1. Manueller Eintrag in die DNS-Liste, um Anfragen an z.B. "meineadresse.dyndns.org" direkt abzufangen und ans NAS umzuleiten. Klingt für mich recht simpel (mit allen seinen Einschränkungen!), aber keine Ahnung, ob und wie das geht.

2. Seit der letzten FW gibts den Eintrag DNS-Rebinding Schutz umgehen. Da der Schutz seine Berechtigung hat, würde ich das nur bedingt gerne machen wollen, wäre aber die sauberere Variante. Kann mir jemand an einem Beispiel sagen, was man hier eintragen muss? Ein "meineadresse.dyndns.org" bringt hier nichts.

Freetz möchste ich eigentlich gerne vermeiden. Hab zwar ne ganze Weile damit rumgespielt, aber es hat ne Weile gedauert, bis ich ne lauffähige Konfiguration gefunden hab und die wollte dann auch mit Samthandschuhen angefasst werden. Bin jetzt wieder auf der Standard FW.

Vielleicht fällt ja wem was dazu ein. Danke schonmal für Eure Hilfe!

Markus
 
Ich schließe mich mal an.

1.) Geht wohl nicht mehr, seitdem iptables nicht mehr vorhanden ist bzw. nicht nachinstalliert werden kann ohne auf Freetz zu wechseln. Ich habe AVM daher den Verbesserungsvorschlag unterbreitet speziell für den Dynamic DNS "Loopback" zu erlauben. Ich hoffe sie berücksichtigen den Wunsch.

2.) Testweise habe ich in "C:\Windows\System32\drivers\etc\hosts" den Eintrag hinzugefügt:
192.168.178.1 dyn.example.org

In dem Fall komme ich im Browser über http://dyn.example.org/ direkt auf die Fritz!Box. Ergänze ich allerdings den Port meines NAS um auf die Weboberfläche zu kommen, so geht das nicht. Entferne ich den Eintrag aus der hosts-Datei wieder, komme ich wieder sofort (über die öffentliche IP) drauf.

Kann es sein, dass diese DNS Rebinding gar nicht funktioniert oder habe ich den missverstanden?
 
Der Schutz verhindert die DNS Auflösung auf interne IPs des Heimnetz.

Da die DynDNS Hostnamen die externe IP verwenden, leitet die FB Anfragen auch so weiter über die Portweiterleitung.

Ich habe die Hostnamen aber trotzdem in Ausnahme gesetzt, da ich IPv6 verwende und damit die Hostnamen auf interne IP verweisen.
 
Aber dann funktioniert der Schutz doch gar nicht. Also noch mal. Ich habe keine Ausnahmeregel in der Fritz!Box. Die dyn.example.org verweist auf die öffentliche IP. Nun füge ich in der hosts-Datei den oben genannten Eintrag hinzu. Und ich komme nach wie vor auf die Fritz!Box?!

2013-11-04 10_50_55-C__Windows_system32_cmd.exe.png

Ich habe auch testweise eine andere Domain direkt auf die lokale IP des NAS gerootet. Auch da komme ich problemlos drauf.

Was aber wie gesagt nicht geht, auch nicht mit Ausnahme ist der Aufruf der http://dyn.example.org:5000/ Auch nicht wenn ich eine Ausnahme erstelle. Von außen wir der Aufruf ja danke meiner Freigabe dann zur IP des NAS geroutet.
 
Zuletzt bearbeitet:
Ist doch korrekt wenn der externe IP anzeigt, solltest aber trotzdem auf den NAS kommen.

Klappt bei mir wunderbar mit externer Domain aufn NAS. Ohne Ausnahme nur per IPv4, mit auch per IPv6.

Haben Geräte auch FB als DNS?
 
Du hast geschrieben, dass durch den Schutz das Auflösen von "dyn.example.org" auf eine lokale IP verhindert wird. Aber das tut es ja nicht. Ich kann die ja auf 192.168.178.1 auflösen.

Auf das NAS komme ich. Aber nur wenn ich keinen Eintrag in der .hosts Datei habe. Also nur dann, wenn die Domain dyn.example.org:5000 auf die öffentliche IP auflöst. Wenn die Domain auf die lokale IP 192.168.178.1 auflöst, dann geht es nicht. Wobei das wohl denke ich daran liegt, dass man über http://192.168.178.1:5000/ nicht auf http://192.168.178.10:5000/ (Lokale IP vom NAS) weitergeleitet wird. Das Portforwarding funktioniert also nur von außen.

Das ändert aber nichts daran, dass ich auf eine lokale IP auflösen kann, egal ob ich eine Ausnahme erstellt habe oder nicht. Ich denke also, dass ich das DNS Rebinding nicht korrekt verstehe.

Wobei ich dieses Problem erst recht nicht verstehe:
http://www.ip-phone-forum.de/showthread.php?t=252618

Warum konnte der denn nicht auflösen? Da ging ja nicht mal die öffentliche IP!?
 
Sofern die FB der DNS ist ja, wenn am Gerät andere DNS Server einträgst nicht. Hast bestimmt IP und so manuell eingestellt, und nicht automatisch per DHCP.

Wenn Hosts Einträge machst, wird der DNS Server gar nicht erst abgefragt. Müsstest wenn schon interne IP vom NAS eintragen, nicht die der FB.

Und interne Portweiterleitung geht auch nicht, muss wenn schon über externe IP/Hostnamen gehen.
 
Zuletzt bearbeitet von einem Moderator:
Mein PC ist per DHCP verbunden und das NAS hat eine feste IP. Beide nutzen die Fritz!Box als DNS.

Wenn Hosts Einträge machst, wird der DNS Server gar nicht erst abgefragt.
D.h. der Schutz greift nur, wenn der DNS der Telekom (den ja die Fritz!Box nutzt) auf eine IP mit einer lokalen antwortet? D.h. wenn ich bei einer dynamischen Domain keine öffentliche sondern eine lokale eintragen würde, dann würde der Schutz greifen. Jetzt frage ich mich: Warum braucht man dafür eine Freigabe im DNS Rebinding, wer macht denn sowas?

Müsstest wenn schon interne IP vom NAS eintragen, nicht die der FB.

Die Domain löst auf meinen Anschluss und damit auf die Fritz!Box auf. Wenn ich jetzt hingehe und die Domain auf die IP vom NAS auflösen lasse, dann komme ich über die Domain nicht mehr auf die Fritz!Box. Damit erziele ich nicht das gewünschte Ergebnis. Mein Ziel ist es, da die Fritz!Box selbst kein Loopback beherrscht bei meinem Notebook die hosts-Datei zu ändern, sobald ich nicht mehr in meinem Heimnetzwerk bin. Aber wenn das Port Forwarding dann auch nicht geht, ist das natürlich sinnfrei.

Demnach brauche ich für das NAS also eine eigene DNS Domain. Dann hätte ich also fritzbox.example.org und nas.example.org und denen kann ich lokal unterschiedliche IPs zuweisen.

Schlussendlich kann ich damit aber nur meinen PC versorgen und jeden muss ich einzeln einrichten. Meine mobilen Geräte, die alle kein Ändern der hosts-Datei erlauben, habe ich dadurch immer noch nicht abgedeckt. Und das nur weil man kein Loopback in der Fritz!Box hat. :(

Naja lasse ich eben alles auf der öffentlichen IP. Ist mir echt zu dumm. Ein Verbesserungsvorschlag an AVM ist wie gesagt raus, damit zumindest der eingerichtete Dynamic DNS loopback beherrscht. Wäre natürlich toll, wenn man es für jeden Client separat einstellen kann, aber das wird dann denke ich mal zu unübersichtlich / entspricht nicht dem Konzept von AVM.
 
Der Schutz greift nur wenn die FB selbst als DNS an den Geräten aktiv ist, was ja der Fall ist per DHCP. Ob die FB nun die DNS vom Anbieter oder dort abweichende Angibst ist egal.

Eigentlich brauchst du nichts machen, DynDNS Hostnamen so lassen mit aktueller Internet IP, und dann sollte auch klappen selbst ohne Ausnahme auf den NAS zukommen mit http://dyn.example.org:5000.

Normal sollten DynDNS Dienste auch keine Privaten IPs akzeptieren. Wenn der Schutz aktiv ist, siehst es auch wenn z.B. nslookup dyn.example.org machst und ein Time out kommt (http://service.avm.de/support/de/SK...ufloesung-privater-IP-Adressen-nicht-moeglich).
 
Zuletzt bearbeitet von einem Moderator:
Eigentlich brauchst du nichts machen, DynDNS Hostnamen so lassen mit aktueller Internet IP, und dann sollte auch klappen selbst ohne Ausnahme auf den NAS zukommen mit http://dyn.example.org:5000.

Klar geht das, aber das ist lahm. Warum sollte ich über das Internet auf mein NAS zugreifen, wenn ich doch zu Hause bin. Klar im Browser gebe ich dann einfach die lokale IP vom NAS ein. Aber bei den ganzen Apps die ich nutze geht das nicht bzw. kostet eine Menge Zeit und das jedesmal machen ist auch Banane.

Wenn der Schutz aktiv ist
Der ist ja grundsätzlich immer aktiv oder nicht.

siehst es auch wenn z.B. nslookup dyn.example.org machst und ein Time out kommt.

Also wie gesagt. Ich bin per DHCP verbunden und habe keine DNS Rebinding Ausnahme in der Fritz!Box hinterlegt. Nun gebe ich in der Kommandozeile das ein:
C:\Users\xxx>nslookup dyn.example.org
Server: fritz.box
Address: 192.168.178.1

Nicht autorisierende Antwort:
Name: dyn.example.org
Address: 79.199.***.***

Da kommt kein Timeout.
 
Die Daten gehen nicht über das Internet wenn zuhause bist, nur die Anfrage des Hostnamen geht an externen DNS Server, der gibt die Internet IP der FB zurück, und damit bleiben die Daten im selbst im Netzwerk.
 
Genau das wäre Loopback. Und nein so geht es eben nicht. Das sehe ich ja daran, dass ich nur mit der Geschwindigkeit meiner Internetleitung darauf zu greifen kann.
 
Dann geht es doch, sonst wäre kein Zugriff möglich. ;)

Wieso Geschwindigkeit langsamer ist kann ich dir nicht sagen. Ist jedenfalls kein DNS Problem.
 
1.) Dass die Geschwindigkeit langsamer ist, ist doch logisch. Eben weil die Anfrage ins Internet geht und dann zurück und das Down- / Uploadlimit meiner Internetleitung greift.

Wenn also dyn.example.org die öffentliche IP 123.456.789.100 hat, dann ist der Weg:
PC -> Router -> Internet -> Router -> NAS

Ich möchte aber das erreichen:
PC -> Router -> NAS

Genau das erreicht man durch Hinterlegung der lokalen IP in der hosts-Datei oder wenn der Router loopback beherrscht.

2.) Habe ich immer noch nicht verstanden wann der DNS Binding Schutz greift.
 
Wenn der DynDNS Hostname statt auf Internet IP auf die Netzwerk IP verweist, und du versuchst dann auf den DynDNS Hostname zuzugreifen.

Die Daten gehen nicht ins Internet, nur die DNS Anfrage wird im Internet aufgelöst auf deine eigene IP. Sonst müsste auch Down- und Upload voll sein im Online Monitor in der FB. ;)
 
Die Daten gehen nicht ins Internet, nur die DNS Anfrage wird im Internet aufgelöst auf deine eigene IP. Sonst müsste auch Down- und Upload voll sein im Online Monitor in der FB. ;)

Das ist interessant. Danke für den Hinweis. Tatsächlich zeigt die Fritz!Box nichts an. Ich habe mit Filezilla ein großes Video direkt auf die lokale IP und dann mal auf die dyn.example.org geschoben:

192.168.178.5 14 Mbyte/s
dyn.example.org 2 Mbyte/s

Interessant ist dazu, dass die Fritz!Box im zweiten Fall völlig überlastet ist. D.h. die CPU steht bei 100% und ich kann keine Seite mehr im Adminpanel laden. Also auch nicht mehr den Internetmonitor, aber 1x ging er kurz auf und war komplett tot. Da ich mir nicht sicher war ob das stimmen kann, habe ich dann parallel speedtest.net geöffnet und einen Speedtest gemacht während der Kopiervorgang lief. Kein Unterschied. Also wird meine Leitung scheinbar nicht belastet.

Also macht die Fritz!Box doch sowas wie einen Loopback? Ist das denn richtig, dass die hier offensichtlich als Proxy agiert und damit völlig überfordert ist? Ich dachte Loopback ist einfach sowas wie ein Forwarding:
http://en.wikipedia.org/wiki/Network_address_translation#NAT_loopback

Also statt das Paket ins Internet zu schicken, schickt er es eben zu einer lokalen IP. Klingt ja rein vom Text her nicht so als würde das mehr CPU Leitung kosten müssen :confused:
 
Zuletzt bearbeitet:
Ist kein Proxy sondern einfaches NAT. Also Loopback klappt, nur da zickt halt noch irgendwas bei dir, wieso auch immer.
 
Naja was soll ich denn machen, wenn die Fritz!Box bei voller Auslastung nur 2 Mbyte/s schaufeln kann. Ich bin nicht schuld :p

Ist die 7490 schneller? Die hab ich hier auch noch liegen, aber fungiert aktuell nur als Testobjekt :D
 
Ich bin auch nicht Schuld. ;)

Könntest Sicherung machen und mal mit Werkseinstellungen probieren und ggf. wenn es nichts ändert die Sicherung zurückspielen.

Kannst auch IPv6 verwenden, da gibt es kein NAT.
 
@mgutt

füg die FRITZ!Box als Netzwerkgerät mit der ddns-Adresse hinzu, dann wird im lokalen Netzwerk auch auf die lokale IP aufgelöst und die Datenpakete nicht durchs NAT gequält. Dafür musst du die ar7.cfg editieren.

Code:
landevices {
    landevices_version = 2
    landevices {
        ip = 192.168.178.20;
        name = "pc1";
        mac = 12:34:56:78:90:12;
        medium = medium_ethernet;
        auto_etherwake = no;
        ifaceid = ::;
        type = neightype_pc_windows_vista;
        staticlease = yes;
    } {
        ip = 192.168.178.21;
        name = "pc2";
        mac = 12:34:56:78:90:13;
        medium = medium_wlan;
        auto_etherwake = no;
        ifaceid = ::;
        type = neightype_unknown;
        staticlease = yes;
    [COLOR=#ff0000]} {[/COLOR][COLOR=#ff0000]
        ip = 192.168.178.1;
        [/COLOR][COLOR=#ff0000]name = "bla.dyndns.org";
        mac = 00:00:00:00:00:00;
        medium = medium_unknown;
        auto_etherwake = no;
        ifaceid = ::;
        type = neightype_unknown;
        staticlease = no;[/COLOR]
    }
}
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,159
Beiträge
2,247,074
Mitglieder
373,678
Neuestes Mitglied
brainkennedy
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.