CNAME Eintrag funktioniert nur teilweise

[gaerti]

Moin,

Ich stehe gerade vor einem Rätsel:

Ich habe Syno 1, Syno 2 und 2 Domains (ABC und XYZ). Domain ABC ist bei IONOS, XYZ bei Netcup gehostet.
Mit Domain ABC und dem dazugehörigen CNAME Eintrag komme ich problemlos auf die Anmeldeseite der dazugehörigen Syno und kann mich einloggen.
Der CNAME Eintrag verweist auf den DDNS Eintrag der FritzBox.
Der ist auf beiden Domains richtig eingetragen, ich komme auf die dazugehörige Syno.

Dasselbe Spiel bei Domain XYZ.
Aber: Syno 1 erreiche ich, Syno 2 leider nicht. Hier erhalte ich eine Fehlermeldung: „Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.“

Da beide Synos gleich eingerichtet sind und auch die CNAME Einträge auf beiden Domains gleich sind kann ich mir das Verhalten nicht erklären.

Falls es wichtig ist:
Syno 1 ist an einer 7590, Syno2 an einer Cable FB
Aber dann dürfte es mit Domain ABC auch nicht funktionieren, oder habe ich etwas übersehen?

Gibt es eine Idee zur Lösung?

Gruss
ThoBo

 

[Adama]

Bei "Cable" würde mir spontan folgendes einfallen: Hast du bei dem Anschluss eventuell DSLite?

 

[Benares]

Eigentlich brauchst doch nur eine Domain, z.B. XYZ bei netcup. Die unterstützen doch Wildcard-DNS, damit löst doch auch irgendwas.XYZ auf die gleiche IP auf, ganz ohne zusätzliche explizite CNAMEs. Damit kannst du doch wunderbar z.B. syno1.XYZ bzw. syno2.XYZ über den Reverse Proxy auf einer deiner DSen intern weiterverteilen.

 

[gaerti]

@Adama
nein, es ist kein DSLite Anschluss. (wieistmeineip.de und ipv6-test.com ergab keine IPv6 Adresse)

@Benares
Das mag ja sein, das ich nur eine Domain benötige. (Steht aber nicht zu Debatte: 2 Haushalte, 2 Domains)
Bei Domain ABC funktioniert alles wie gewünscht, bei XYZ eben nicht. Syno 2 soll aber über Domain XYZ laufen.

 

[Benares]

Du solltest vielleicht einmal etwas besser beschreiben, welche Domain du da wo hast, was du wo per DDNS-Updater updatest und wie du das per CNAMEs verpointert hast.
Edit: Vielleicht ist auch nur die TTL einer der beiden Domains viel zu groß, so dass das zu lange dauert.

 

[gaerti]

Hm, noch besser?
Ich Versuche es mal!

syno1.abc.de -> dynDNS FB 1 (nixe1….myfritz.net) -> funktioniert
syno2.abc.de -> dynDNS FB 2 (golf6….myfritz.net-> funktioniert

syno1.xyz.de -> dynDNS FB 1 (nixe1….myfritz.net) -> funktioniert
syno2.xyz.de -> dynDNS FB 2 (golf6….myfritz.net)-> funktioniert *nicht*

 

[EDvonSchleck]

Ich denke, du hast ein Problem mit IPv4 und IPv6.
Du kannst versuchen bei dem Kabelanschluß einen AAAA-Record einzurichten, mit der IP der DiskStation.
Das habe ich gestern schon beschrieben und auch am Laufen gebracht. Das ist eigentlich kein Problem. Auch geht das ganz ohne Myfritz.

https://www.synology-forum.de/threads/externer-zugang-ueber-fritzbox.126518/post-1075570

 

[Benares]

D.h. du updatest myfritz.net und verwendet die beiden als CNAMEs bei beiden Domains?
Welche TTLs sind bei abc.de und xyz.de eingestellt?
Was liefert ein "nslookup" von nixe1….myfritz.net, golf6….myfritz.net, syno1.abc.de, syno2.abc.de, syno1.xyz.de, syno2.xyz.de? Was davon passt nicht?

@EDvonSchleck: Nein, das liegt ganz sicher nicht schon wieder an IPv6

 

[EDvonSchleck]

Ich denke doch, denn Myfritz wird die IP der Fritz!Box bei dem IPv6 Anschluss auflösen. Damit kommt er auf die Fritz!Box, aber nicht auf die DS.
Wenn eine IPv6 genutzt wird, muss diese auch so eingerichtet oder deaktiviert werden, was bei einem Kabelanschluss ggf. nicht möglich ist.

Was passiert, wenn es nicht richtig eingestellt ist, sieht man hier sehr schön. "Geht nicht!"

 

[Benares]

Deswegen frag ich ja. Klar, wenn MyFritz die IPv6 der Fritzbox liefert, kommt er damit nicht auf die DS.
Aber immer nur IPv6 abschalten zu wollen ist keine Lösung.

Edit: MyFritz ist eigentlich gar nicht soo schlecht, zudem kostenlos. Leider ist da nicht einstellbar, ob die nur die IPv4 und/oder die IPv6 updaten. Ich glaube, ich mach mal ein Ticket auf ...

 

[EDvonSchleck]

Du liest nicht richtig, abschalten oder einrichten. Da nützt deine TTL recht wenig! Oder wie war gestern deine Antwort?
Im Übrigen hatte ich damals @blinky911 vor dem Wechsel des Tarifes schon gewarnt, was bei seinem Kabelanschluss passieren wird, wenn man von Business auf einen privaten Vertrag wechselt. Das sollte gestern in Erfüllung gehen. War aber auch kein Problem das umzustellen, da bereits alles eingerichtet war.

 

[gaerti]

nixe1….myfritz.net -> IPv4 (84….)
golf6….myfritz.net -> IPv4 (77….)
syno1.abc.de -> IPv4 (84….); Cname: nixe1…. TTL 1h
syno2.abc.de -> IPv4 (77….); Cname: golf6…. TTL 1h
syno1.xyz.de -> IPv4 (84….); Cname: nixe1…. TTL 24H
syno2.xyz.de -> IPv4 (77….); Cname: golf6…. TTL 24h

Für alle: keine AAAA; txt; Mx; ns Records
Für mich sieht alles schlüssig aus…

 

[EDvonSchleck]

Ich würde Dynv6 als Registrar nutzen, weil man diesen einfach mit der Fritz!Box updaten kann. Alternativ funktioniert auch Cloudflare. Dort müsste man wie bei Netcup aber die IP über ein Script oder Container periodisch updaten lassen. Für mich ist das updaten durch den Router die bessere Lösung, weil sofort nach dem IP-Wechsel diese übernommen wird. Myfritz kann denn deaktiviert werden.

Auch ist man nicht mehr auf die lange Wartedauer von dem Netcup-DNS-Server angewiesen und die Änderungen treten innerhalb von Sekunden in Kraft.

Ich denke, du hast an den einen Router keine von extern erreichbare IPv4. Da musst du entweder IPv6 (siehe oben) einrichten oder nutzt einen Portmapper wie 6tunnel.

 

[Benares]

@EDvonSchleck
Doch die TTL ist ebenso ein Thema. Was nutzt es wenn das Ziel des CNAMEs wechselt, die TTL der Domain auf einigen Stunden steht und die Auflösung noch im DNS-Cache des Clients steht?
Man muss sich mit IPv6 wirklich beschäftigen. es abzuschalten ist nicht die Lösung! Es mag komplizierter sein als bei IPv4, wo man nur die IPv4 des Routers brauchte, aber es gibt auch Lösungen dafür, z.B. mit MyFritz-Freigaben und die DNS-Auflösung dahinter, was ich nach wie vor für einen gangbaren Weg halte.

Oder andersrum gefragt: Was wäre dein Lösungsansatz bei sagen wir mal 10-20 Clients im Netz, die per IPv6 von außen erreichbar sein sollen?

 

[Benares]

@gaerti, Geh mal bei xyz.de mit der TTL runter, eher in den Minuten-Bereich

 

[gaerti]

Das werde ich machen.
Beide cname Einträge wurden vor ca. 1 Woche angelegt, d.h. Sie existieren weit über 24h .


unabhängig von einem Lösungsansatz:
Warum klappt es von Domain abc und von Domain xyz nicht.
Wenn IPv6 tatsächlich das Problem sein sollte , müsste doch von Abc auch kein Zugriff möglich sein?

 

[EDvonSchleck]

Wo ist das jetzt ein Problem mit der TTL? Die IPs sind scheinbar gleich. Was willst du eigentlich? Myfritz ist für mich genauso ein No-Go wie Quickconnect. Ich möchte nicht, dass AVM eine Verbindung zum Amazon-Server aufbaut. Soll aber jeder selbst entscheiden.

Und natürlich kann man ohne Problem IPv4 only nutzen. Was schreibst du da! Eine IPv4 wird immer angeboten, eine IPv6 ist nicht direkt notwendig. Ob diese IPv4 von extern erreichbar ist, steht auf einem anderen Blatt.

@EDvonSchleck
Oder andersrum gefragt: Was wäre dein Lösungsansatz bei sagen wir mal 10-20 Clients im Netz, die per IPv6 von außen erreichbar sein sollen?

Das habe ich oben schon geschrieben, da kann man so viele Clients bedienen wie du magst. Alle Clients mit einem Updater auf die gleiche Domain updaten zu lassen, würde ja wohl schlecht gehen. So vergibt man die IP direkt von Hand beim Hoster. Und nur ein Client muss den Präfixen updaten. Das solltest du aber wissen.

Die TTL beschreibt nur die Gültigkeit.

 

[EDvonSchleck]

Wenn IPv6 tatsächlich das Problem sein sollte , müsste doch von Abc auch kein Zugriff möglich sein?

Du hast ja bei beiden Anschlüssen eine IPv4 und eine IPv6. Im Idealfall sind beide von extern erreichbar. Bei den "Lite" Anschlüssen wird aber die IPv4 mit anderen Usern geteilt und ist nicht von außen erreichbar. Dann bleibt nur noch die IPv6. Eine Verbindung kann nur von IPv4 > IPv4 und IPv6 > IPv6 stattfinden. Die Fritz!Box gibt aber ihre IPv6 Adresse weiter und nicht die von der DS. Ich denke, das ist dein Problem.

Aber versuche gerne die TTL, wir werden sehen was passiert.

 

[Benares]

Für mich sieht alles schlüssig aus…

Für mich auch. Zumindest zu einem statischen Zeitpunkt. Was klappt denn da nicht?
Die Frage ist halt, wie zeitnah die Namensauflösungen mitgehen, wenn die IPs sich ändern. Und da ist die TTL, also die Zeit, die sich die Clients das Ergebnis einer vorhergegangen Namensauflösung in ihrem DNS-Cache maximal merken dürfen, absolut wichtig.

Ich habe in meinem Berufsleben tausende von Servern im laufenden Betrieb zwischen verschiedenen Rechenzentren migriert, wodurch sich deren IP änderte. Da mussten wir jedes Mal die TTL im Vorfeld auf einige Sekunden verringern um die Client-DNS-Caches zu leeren und hinterher wieder hochsetzen um die DNS-Server wieder zu entlasten.

 

[EDvonSchleck]

Er kommt nicht auf die DS, obwohl die IPs stimmen. Ergo stimmt etwas mit den IPs nicht. Dein Problem ist doch einfach, dass du das einfachste nicht nachgehen willst. Du verbohrst dich in die TTL, ohne das einfachste erste einmal zu prüfen. Das einfachste wäre doch erst einmal eine Verbindung mit der IP direkt aufzubauen, dann wird man sehen was passiert oder auch nicht.

Ich habe in meinem Berufsleben tausende von Servern ...

Geht es noch eine Nummer kleiner? Ich hatte einmal einen Kollegen, der hat immer die Diagnose vorher gestellt, ohne logisch vorzugehen "Haben wir immer so gemacht". Die Ausfallquote war dementsprechend hoch.

Grundsätzlich sollte, als ersten bei Verbindungsprobleme sein, die IP zu überprüfen und ob diese extern erreichbar ist. Die IPv6 sollte immer funktionieren. Das ist ja nun auch keine Wissenschaft. Das gilt besonders für Vodafone, O2, 1&1 und alle andern Billiganbieter und Glasfaser. Bei der Telekom ist mir noch nichts Ähnliches bekannt. Nicht umsonst gibt es ja die Tarife mit extra Kosten bei Vodafone und Co. siehe #11.