Frage zu Port Freigaben und DNS-Rebind-Schutz

[Informatix]

Hallo,
ich habe hier ein Problem mit der Weiterleitung von Anfragen.
Situation:
In der FritzBox habe ich unter Port Freigaben meinen Server als Ziel für https (443) Anfragen eingestellt.
Erreichbar ist die FritzBox von aussen per Dyndns.
Die Adresse sieht so aus: subdomain.meinedomain.dyndnsanbieter.de
Bin ich außerhalb meines Netzes funktioniert die Weiterleitung und ich lande auf meinem Server.
Rufe ich aber die gleiche Adresse aus dem internen Netz auf, kommt die Info von der FritzBox das
der DNS-Rebind-Schutz die Weiterleitung verhindert hat.
Das ist soweit logisch, trage ich aber nun die o.g. Adresse als Ausnahme in die Liste ein, werde ich nicht an den Server
weitergeleitet, sondern es erscheint die Anmelde Seite der Fritzbox.
Es schaut so aus als ob die Port Freigaben bei Anfragen mit externen Adressen aus dem internen Netz nicht funktionieren.
Was muss ich einstellen damit externe Adressen die auf intern Systeme zeigen auch aus dem internen Netz funktionieren?

Danke und Grüße

 

[chrsto]

Dafür brauchst du einen eigenen internen DNS Server, der die Auflösung auf die interne IP übernimmt.

 

[Grisu_]

Du hast sicher Recht, aber könntest du es bitte etwas näher erläutern, da ich es genausowenig verstehe.
Wenn die Adresse ausgenommen ist, müßte sie doch ganz normal nach außen in die große weite Welt weitergeleitet werden und somit über diesen Umweg von außen wieder wie eine externe Anfrage behandelt werden.
Somit dann nach meinem Verständnis eben langsamer, funktionieren sollte es aber dennoch für einen diesbezüglichen DAU wie mich.
Sonst wäre ja die Einstellung Ausnahmen eintragen zu können ziemlich witzlos und unnötig, wenn es dann doch nicht so funktioniert.

 

[chrsto]

Die Adresse subdomain.meinedomain.dyndnsanbieter.de löst danke DynDNS nach deiner IP Adresse auf, die du von deinem Provider erhalten hast. Die Fritz!Box erkennt aber, dass die Anfrage aus dem internen LAN kommt und interpretiert das, als wäre sie selbst gemeint.

Die Ausnahme über den Rebindschutz funktioniert nur dann, wenn du bei deiner Domain einen Eintrag auf eine IP in deinem lokalen Netz einrichtest.

server.dynsdns.com -> 192.168.178.10

Wenn du nun diese Adresse aufrufst, landest du dank ausgeschalteten Rebind Schutz auf der lokalen IP.

 

[Informatix]

Das funktioniert (habe die Adresse erst mal in der hosts eingetragen)
Was dabei unschön ist das ich ja zwei DNS Server konfigurieren muss.
Jede Anfrage muss dann erst mal an den internen DNS weitergeleitet werden und erst dann gehts zum externen.
Somit dauert die Namensauflösung etwas länger.
Schöner wäre es wenn die FritzBox das intern händeln könnte, sie 'sieht' ja wer eigentlich angesprochen werden soll.
Ich werde es jetzt mal mit dem DNS probieren.
Danke für die Hilfe

 

[Grisu_]

server.dynsdns.com -> 192.168.178.10

Wenn du nun diese Adresse aufrufst, landest du dank ausgeschalteten Rebind Schutz auf der lokalen IP.

Danke für die Erklärung, verstehe ich soweit auch, kann es aber nicht nachvollziehen.
Welchen Nutzen hätte dann ein solcher Ausnahmeeintrag?
Auf der Domain kann ich ja keine private Adr. eintragen, die kennt dort doch niemand, damit sie geroutet werden könnte.
Irgendwie steh ich da ziemlich auf der Leitung und sehe absolut keinen Nutzen in der Ausnahmetabelle, wo man die dann sinnvoll anwenden könnte.

 

[chrsto]

Das ist dann sinnvoll (und gleichzeitig gefährlich, daher der Rebind Schutz), wenn du im internen Netz keinen DNS Server betreibst, deinen internen Server aber trotzdem über die Subdomain server.dyndns.de erreichbar machen, dafür aber nicht alle hosts Dateien deiner Clients anfassen möchtest.

 

[BenaresNeu]

Ich habe in meiner DDNS-Hauptdomain auch einige Subdomains, die auf die interne IPv6 meiner Geräte zeigen. So kann ich das (Wildcard-)Zertifikat dafür z.B. auch intern nutzen. Mit der Fritzbox als DNS-Server muss man dafür aber den Rebind-Schutz aushebeln, weil sonst die Fritte den Namen nicht auflöst.

 

[Grisu_]

Ok, das ist mir dann etwas zu hoch, bleibt für mich als Fazit, daß es eine für mich nicht nutzbare Funktion bleibt, muß ich mir also keine weiteren Gedanken darüber machen.
Dachte die FB macht ja das DNS für die internen Geräte bzw. leitet es an externe weiter wenn öffentliche Adresse, somit ist ja immer irgendwie ein DNS vohanden, sonst könnte man ja keine URLs eingeben.
Kurzum fehlt mir das Verständnis oder Anwendungsgebiet für Ausnahmeeinträge. Wird es sicher geben, nur eben außerhalb meines wohl sehr eingeschränkten Verwendungszwecks.

 

[frank_m24]

Das Problem ist grundsätzlich ein IPv4/IPv6 Problem. Über IPv4 funktioniert die Weiterleitung der Box. Über IPv6 muss man aber den Server direkt ansprechen, nicht die Box, da der Server eine eigene öffentliche IPv6 hat. Spricht man die Box an, landet man auf der Webseite der Box.

Hier erfolgt der Zugriff von außen offensichtlich über IPv4, aus dem Heimnetz über IPv6.