DDNS unter DS 723+ klappt nicht mit IPV6
- Ersteller Joschie
- Erstellt am
Ich verstehe es selber nicht.
Eine meiner letzten Aktionen war der DNS-Rebind-Schutz z.b.:
Oder würdet Ihr die lokalen Adressen rausnehmen?
Eine meiner letzten Aktionen war der DNS-Rebind-Schutz z.b.:
Code:
*FQDN.myds.me
*.fritz.box
*.localOder würdet Ihr die lokalen Adressen rausnehmen?
Irgendwie werde ich das Gefühl nicht los, das dies mit "myds.me" zusammenhängt. Ich würde ja gerne Dynv6 nutzen, aber leider lässt sich dies glaube ich nicht einrichten mit dem Synology DDNS und die DDNSUpdater1+2 lassen sich unter DSM Version 7.X nicht installieren.
Hat da Jemand einen Tipp?
Hat da Jemand einen Tipp?
Je nachdem über wen ich die Namensauflösung mache bekomme ich eine Antwort oder auch nicht oder wie kann ich diese beiden unterschiedlichen Ergebnisse deuten?
Code:
markus@feld-touch:~$ nslookup -debug FQDN.myds.me
Server: 192.168.178.1
Address: 192.168.178.1#53
------------
QUESTIONS:
FQDN.myds.me, type = A, class = IN
ANSWERS:
AUTHORITY RECORDS:
-> myds.me
origin = ddns-ns1.quickconnect.to
mail addr = domain.synology.com
serial = 313187284
refresh = 3600
retry = 300
expire = 6040000
minimum = 3600
ttl = 530
ADDITIONAL RECORDS:
------------
Non-authoritative answer:
------------
QUESTIONS:
FQDN.myds.me, type = AAAA, class = IN
ANSWERS:
AUTHORITY RECORDS:
ADDITIONAL RECORDS:
------------
*** Can't find FQDN.myds.me: No answer
Code:
markus@feld-touch:~$ nslookup -debug FQDN.myds.me 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
------------
QUESTIONS:
FQDN.myds.me, type = A, class = IN
ANSWERS:
AUTHORITY RECORDS:
-> myds.me
origin = ddns-ns1.quickconnect.to
mail addr = domain.synology.com
serial = 313187423
refresh = 3600
retry = 300
expire = 6040000
minimum = 3600
ttl = 1800
ADDITIONAL RECORDS:
------------
Non-authoritative answer:
------------
QUESTIONS:
FQDN.myds.me, type = AAAA, class = IN
ANSWERS:
-> FQDN.myds.me
has AAAA address 2a00:1f:xxxx:b901:xxxx:xxxx:xxxx:91ab
ttl = 240
AUTHORITY RECORDS:
ADDITIONAL RECORDS:
------------
Name: FQDN.myds.me
Address: 2a00:1f:xxxx:b901:xxxx:xxxx:xxxx:91abMit "myds.me" scheint es nicht so gut zu laufen. Ich versuche mal ob es mit Dynv6.net besser klappt. Kann mir Jemand hier sagen, ob ich da Probleme bekomme mit dem Einarbeiten des Zertifikats?
Das genau ist der Rebind-Schutz. Im 1. Fall löst die Fritte FQDN.myds.me nicht auf, der Google-DNS aber schon, weil die IP auf eine interne Adresse zeigt. Extern (bei mir z.B.) würde es daher auch ohne diese Aufnahme gehen.
Nimm FQDN.myds.me bei den Ausnahmen mit auf (* oder *.) davor. Evtl musst du dort auch jeden einzelnen Namen aufführen, also auch irgendwas.FQDN.myds.me, da bin ich mir nicht sicher.
Nimm FQDN.myds.me bei den Ausnahmen mit auf (* oder *.) davor. Evtl musst du dort auch jeden einzelnen Namen aufführen, also auch irgendwas.FQDN.myds.me, da bin ich mir nicht sicher.
D.h. ich erkaufe mir mit diesem zusätzlichen Schutz(DNS-Rebind-Schutz), dass bei falscher Konfiguration meine Fritzbox die Namesauflösung selber nicht hinbekommt?
Was könnte ich denn besser machen, damit meine Fritzbox, mit diesem zusätzlichen Schutz, trotzdem noch DNS Anfragen selber beantworten kann?
Macht es Sinn an dieser Stelle, einen DNS-Server auf der NAS einzurichten.
EDIT:
Der DNS-Rebind-Schutz ist genau umgehrt zu verstehen. Also er gilt grundsätzlich für alle PC's im Netzwerk mit Ausnahme der dort aufgeführten.
Was könnte ich denn besser machen, damit meine Fritzbox, mit diesem zusätzlichen Schutz, trotzdem noch DNS Anfragen selber beantworten kann?
Macht es Sinn an dieser Stelle, einen DNS-Server auf der NAS einzurichten.
EDIT:
Der DNS-Rebind-Schutz ist genau umgehrt zu verstehen. Also er gilt grundsätzlich für alle PC's im Netzwerk mit Ausnahme der dort aufgeführten.
Zuletzt bearbeitet:
Wenn bei falscher Konfig die Fritz!Box die DNS-Auflösung nicht mehr hinbekommt, dann liegt das nicht am DNS-Rebind-Schutz.
Nein, dieser DNS-Rebind-Schutz soll nur dich selbst etwas schützen, wenn du selber irgendwelche externe Webseiten aufrufst, die wiederum URLs verwenden, die deine lokalen Geräte direkt ansprechen ohne über die Firewall zu gehen.
Stell dir mal vor, ich stelle irgendeine Webseite ins Netz, die ein "Lösche alle Dateien" auf FQDN.myds.me bereitstellt. Von extern ist das kein Problem, da blockt die Firewall, aber von intern könnte sowas zum Problem werden, da die aufgelöste IP ja eine interne ist.
Daher sorgt der Rebind-Schutz lediglich dafür, dass zumindest die Fritzbox einfach keine Namen mehr auflöst, die auf eine interne IP verweisen.
Ich hoffe, ich habe das verständlich genug erklärt.
Stell dir mal vor, ich stelle irgendeine Webseite ins Netz, die ein "Lösche alle Dateien" auf FQDN.myds.me bereitstellt. Von extern ist das kein Problem, da blockt die Firewall, aber von intern könnte sowas zum Problem werden, da die aufgelöste IP ja eine interne ist.
Daher sorgt der Rebind-Schutz lediglich dafür, dass zumindest die Fritzbox einfach keine Namen mehr auflöst, die auf eine interne IP verweisen.
Ich hoffe, ich habe das verständlich genug erklärt.
Zuletzt bearbeitet:
Ich fand die Erklärung bei AVM ganz gut:
https://avm.de/service/wissensdaten...Auflosung-privater-IP-Adressen-nicht-moglich/
https://avm.de/service/wissensdaten...Auflosung-privater-IP-Adressen-nicht-moglich/
Ok, es könnte jetzt klappen. Habe alle "FQDN,myds.me" Domänen und Subdomänen im DNS-Rebind-Schutz eingetragen. Im NAS habe ich diese FQDN's ebenfalls eingetragen im "Anmeldeportal --> DSM/Anwendungen". Kann Jemand mal meine Link testen?
https://test.die4elemente.myds.me/
Server fährt abends runter.
https://test.die4elemente.myds.me/
Server fährt abends runter.
Zuletzt bearbeitet:
Link geht 
Allerdings ist die Frage noch offen, ob ein Eintrag von FQDN,myds.me allein reicht, oder ob auch jede Sub-Domain irgendwas.FQDN,myds.me eingetragen werden muss. Der KB-Artikel deutet auf letzteres hin.
Allerdings ist die Frage noch offen, ob ein Eintrag von FQDN,myds.me allein reicht, oder ob auch jede Sub-Domain irgendwas.FQDN,myds.me eingetragen werden muss. Der KB-Artikel deutet auf letzteres hin.
Server fährt gleich runter. Ich hatte Internet für 3 Minuten getrennt. Die Namensauflösung scheint nur bei aktivem Internet zu funktionieren. Sprich ich brauche noch eine vernünftige Namensauflösung ohne Internet. Wahrscheinlich dann "DNS Server" auf dem NAS.
Der Server läuft halt nur Tags über, da ich ihn sonst nicht brauche. Er soll ja nicht öffentlich zugänglich sein.
Bis heute abend läuft er jedenfalls, dann werde ich weitere Maßnahmen verschärfen.
Heute morgen habe ich die Firewall auf meiner Fritzbox wieder leicht verschärft, also die Option "Exposed Host" für IPv6 rausgenommen. Ich weiß nicht ob ich alle Ports brauche.
Heute abend wollte ich den DNS-Rebind-Schutz und die folgenden Optionen reinnehmen:
Bzw. für jeden Webdienst HSTS einstellen.
Und vielleicht die Tage dann noch den DNS-Server.
Bis heute abend läuft er jedenfalls, dann werde ich weitere Maßnahmen verschärfen.
Heute morgen habe ich die Firewall auf meiner Fritzbox wieder leicht verschärft, also die Option "Exposed Host" für IPv6 rausgenommen. Ich weiß nicht ob ich alle Ports brauche.
Heute abend wollte ich den DNS-Rebind-Schutz und die folgenden Optionen reinnehmen:
Bzw. für jeden Webdienst HSTS einstellen.
Und vielleicht die Tage dann noch den DNS-Server.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
