DNS-Rebind-Schutz und Fritzbox

smiley2203

Benutzer
Mitglied seit
11. Nov 2023
Beiträge
22
Punkte für Reaktionen
2
Punkte
3
Hallo zusammen,

ich benötige mal wieder eure Hilfe, da ich irgendwie auf dem Schlauch stehe. Kurze Problembeschreibung: Seit kurzem (ich vermute nach FritzBox Upgrade) kann ich aus dem Heimnetz nicht mehr über meine Subdomains auf Synology Photos und FileStation zugreifen. Vorher ging das problemlos sowohl aus dem Heimnetz als auch extern. Momentan kann ich über die Subdomains nur von extern zugreifen, intern geht es nur über den internen Alias/IP der diskStation. Nun möchte ich der Familie nicht zumuten immer manuell die interne oder externe Adresse einzugeben und möchte den Zugriff nur über die Subdomains wieder ans Laufen bekommen- sowohl intern als auch extern.

Wenn ich über die Subdomains aus dem Heimnetz auf Synology Photos zureifen möchte, bekomme ich folgende DNS-Rebind-Schutz Fehlermeldung der Fritzbox:
Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.

Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein.

Wenn Sie über einen anderen Hostnamen auf die FRITZ!Box zugreifen wollen, ergänzen Sie diesen bitte als Ausnahme in der Benutzeroberfläche Ihrer FRITZ!Box unter "Heimnetz > Netzwerk > Netzwerkeinstellungen" im Bereich "DNS-Rebind-Schutz".

Also habe ich an entsprechender Stelle in der Fritzbox meine Subdomains als Ausnahme definiert. Als Ergebnis lande ich bei einem Zugriff über die Suddomains aus dem Heimnetz nun aber immer auf der Anmeldeseite der Fritzbox.

Ich nutze eine Fritzbox 7590 mit FritzOs 7.57. Die Diskstation is auf DSM 7.2.2-72806 Update 2. In der FritzBox sind lediglich Port 80 und 443 offen. Im Synology Anmeldeportal wird auf einen benutzerdefinierten Port gewechselt. Automatische Zertifikatserneuerung sowie Blocklist sind eingerichtet und funktionieren augenscheinlich auch weiterhin (auch wenn das hier vermutlich nicht relevant ist).

Was übersehe ich?

Grüße
Stephan
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.275
Punkte für Reaktionen
976
Punkte
148
Dann einfach mal den Haken in der FB rausnehmen und testen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.102
Punkte für Reaktionen
3.918
Punkte
488
Ist IPv6 mit im Spiel? Worauf zeigt deine Subdomain (nslookup ...)? Das muss die externe IPv4 deiner Fritzbox sein und die IPv6 der DS, nicht die der Frtzbox.
Der Rebindschutz verhindert, dass die Fritzbox externe Namen auf interne Adressen auflöst.
 
  • Like
Reaktionen: smiley2203

smiley2203

Benutzer
Mitglied seit
11. Nov 2023
Beiträge
22
Punkte für Reaktionen
2
Punkte
3
Danke für die schnellen Antworten! In der Tat zeigte die Subdomain auf die IPv4 UND IPv6 der FritzBox. Ich habe die IPv6 Unterstützung in der FritzBox deaktiviert (ist das das empfohlene Vorgehen?) und der Domain Zugriff funktioniert wieder aus dem Heimnetz.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.102
Punkte für Reaktionen
3.918
Punkte
488
Wenn du IPv6 nicht brauchst/nutzt, kannst du es natürlich abschalten. Aber IPv6 gehört die Zukunft, deshalb sollte man sich frühzeitig damit beschäftigen.
Bei IPv6 gibt es keine Portweiterleitung mehr, nur noch eine Portfreigabe (Erlaubnis in der Firewall) und man spricht die IPv6-Adresse der Endgeräte direkt an. Die muss man natürlich DNS-auflösbar bekommen. Am einfachsten geht das mit MyFritz in Verbindung mit einer MyFritz-Portfreigabe, dann wird neben der IPv6 der Fritzbox über [myfritzid].myfritz.net auch z.B. ds923.[myfritzid].myfritz.net DNS-auflösbar. Die Namen sind nicht schön, aber man sie prima z.B. als CNAMEs in seiner eigenen Domain verwenden.
 

smiley2203

Benutzer
Mitglied seit
11. Nov 2023
Beiträge
22
Punkte für Reaktionen
2
Punkte
3
Super, danke. Wieder was gelernt.
 

Tengo

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
181
Punkte für Reaktionen
3
Punkte
24
Wenn du IPv6 nicht brauchst/nutzt, kannst du es natürlich abschalten. Aber IPv6 gehört die Zukunft, deshalb sollte man sich frühzeitig damit beschäftigen.
...
Den Punkt möchte ich mal aufgreifen. Über den Rebind-Schutz sowie die Tatsache, dass ich keine DNS-Auflösung des Syno-DNS hinbekomme, obwohl er als lokaler IPv4-DNS in der Fritzbox eingetragen ist (FritzOS 8.00), bin ich auf genau dieses Problem mit IPv6 gestoßen. Immer, wenn ich von meinem Win10-Rechner aus meine öffentlichen Domains abfrage, kommt der Rebind-Schutz. Mache ich das mit einer rein internen Domain
  1. klappt es, wenn ich direkt über nslookup den Syno-DNS anfrage.
  2. klappt es nicht, wenn ich mit nslookup von meinem Client anfrage. Dann kommt eine Rückmeldung, dass die Domain unbekannt ist.
Durch Zufall bin ich auf einen Post gestoßen, dass ja standardmäßig IPv6 in der Fritzbox aktiviert ist (stimmt, nie drauf geachtet und bisher auch keine Bedeutung zugemessen) und der Win10-Client eben IPv4 und IPv6 kann und Dual Stack arbeitet (also die Abfrage über beide Protokolle parallel stellt). Und in diesem Fall wohl die Fritzbox IPv6 bevorzugt, weshalb die Weiterleitung zum Syno-DNS mangels fehlender lokaler IPv6-Zuweisung nicht klappt. Kann man auch schön in der Commandozeile sehen. Abfrage über Syno-DNS gibt für den DNS die IPv4-Adresse der Syno zurück. Abfrage über Fritzbox gibt als Server-Adresse die IPv6-ULA der Fritzbox zurück (fd65: ...). o_O

Ok, also beschäftige ich mich eben mit IPv6. :D Nun die Fragen meinerseits:
  1. ULA-Präfix manuell festlegen (Fritzbox) ... nur bspw. "fd00"? Oder kann ich auch 3 der 4 Blöcke vorgeben, bspw. "fd00:affe:edda:"? Dann wäre die von der Fritzbox vergebene IPv6 nur im letzten Block verschieden, ähnlich den IPv4-Adressen.
  2. Muss ich "einfach" nur in allen "Geräten des Routings" IPV6-Adressen aktivieren und zuweisen oder muss ich mehr beachten? Weil ...
  3. Ich experimentiere gerade mit der Konstellation Docker-PiHole (IP mittels macvlan über Portainer) --> Syno-DNS --> Fritzbox-Upstream über DoT (DNS over TLS) rum. In etwa wie hier bei Mike Kuketz beschrieben. Muss ich also sowohl im PiHole wie auch macvlan IPv6-Adressen aktivieren bzw. "mitgeben"? Und das war es dann?
  4. Und wie sieht das auch, wenn ich noch nen nginx-Proxy integrieren möchte (Wildcard-SSLs auf lokale Domains ... ja ja ... Kanonen und Spatzen, aber wenns dem Verständnis für Netzwerke hilft ... :LOL:)
Also, ihr merkt vielleicht, ich bin KEIN Netzwerk-Profi und daher eher die Frage, ob bei den paar Geräten im Heimnetzwerk, bei denen die IPv4-Adressen völlig ausreichend sind und vor allem überall Tutorials auf IPv4-Basis im Netz rumliegen, es nicht doch besser wäre, IPv6 einfach zu deaktivieren? 🤔
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
390
Punkte für Reaktionen
142
Punkte
43
Nicht die FRITZ!Box bevorzugt IPv6. sondern praktisch jeder Client, der Dual Stack hat. Und er stellt die Anfragen nicht parallel, sondern zunächst einmal nur über IPv6 (manche Clients fallen auf IPv4 zurück, wenn sie bei IPv6 keine Antwort bekommen, aber das ist nicht der Standard).

Ich verstehe deine Konfiguration so, dass Du den DNS-Server für IPv4 umgelenkt hast auf dein NAS, den für IPv6 aber nicht - richtig?
Du müsstest dann eben auch den DNS-Server für IPv6 umlenken und natürlich IPv6 auch auf dem NAS und im DNS-Server aktivieren und voll unterstützen.

Die empfohlene Einstellung der FRITZ!Box ist "Unique Local Addresses (ULAs) zuweisen". Warum willst Du das ändern?
Die Grundidee bei IPv6 ist, dass die Geräte ihre IP-Adressen automatisch ermitteln können: Nach dem Herstellen der Internetverbindung verteilt der Router ein 64-Bit-Präfix an alle Geräte im Netz und diese berechnen sich daraus dann selbständig die vollständige 128-Bit-Adresse, indem sie weitere 64-Bit ergänzen (Interface-ID). Ich kann dir hier den Wikipedia-Artikel zu IPv6 wärmstens empfehlen: https://de.wikipedia.org/wiki/IPv6
 
  • Like
Reaktionen: Benie

Tengo

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
181
Punkte für Reaktionen
3
Punkte
24
Hallo Hagen,

ok, also fragt mein Desktop-PC - weil er von der Fritzbox, die standardmäßig IPv4 und IPv6 im Heimnetz aktiviert hat, zwei Adressen erhalten hat - bei der Fritzbox mittels IPv6 nach der Domain an, die ich eingebe. Da in der Fritzbox aber bisher der lokale DNS-Server (der DNS auf meiner Syno, der hinter dem PiHole hängt) nur für IPv4 "eingetragen" wurde, bekomme ich mangels Auflösung (die Fritzbox kennt diese Domain ja nicht) die "Domain nicht bekannt"-Rückmeldung. Soweit richtig erkannt? 🤔

Falls ja, heißt das also, dass ich als Lösung
  1. IPv6 in der Fritzbox deaktivieren muss und meinen Client neu starten (er sollte dann keine IPv6-Adresse mehr bekommen und demzufolge schön brav über IPv4 anfragen = erfolgreiche Auflösung)? Gibt es dort aktuell Bedenken, dass dann irgendwelche Geräte oder Programme nicht mehr funktionieren, weil sie nur noch über IPv6 schnattern wollen? Oder andere zu bedenkende Aspekte?
  2. IPv6 vermutlich im gesamten Heimnetzwerk als DualStack konfigurieren muss. Würde ja heißen, dass an jeder Stelle, wo ich eine IPv4-Adresse vergeben habe (PiHole, Syno-DNS, nginx-ProxyManager, sämtliche erreichabren Dienste auf der Syno wie Contacts, Calendar usw.) ich zusätzlich eine IPv6 vermerken muss. Richtig? Falls ja, müsste ich also auch bei PiHole und MacVLAN vom Portainer IPv6 "aktivieren". Geht das alles so problemlos (Du sprichst von "voll unterstützen" oder ist das schon ein ganz schönes Gefummel und für Neulinge stark fehlerbehaftet mit einer Garantie zum Scheitern? Aktuell wüsste ich auch nicht, ob das bspw. mit dem MacVLAN und IPv6 so locker geht. Vorgeben beim Container erstellen kann ich ja eine IPv6, aber einfach so ausdenken und gut ist? :oops:
Was die Vergabe der ULA in der Fritzbox angeht ... die empfohlene Einstellung würde ich ja beibehalten. Ich wollte nur zusätzlich den Haken bei "ULA-Präfix manuell festlegen" setzen. Aktuell beginnen meine ULAs mit "fd65" und wenn ich das richtig verstehe, dann könnte ich das bspw. auf "fd00" umändern. Das an sich wäre mir noch egal, macht den kohl nicht fett, ABER da ich dort alle 4 Blöcke scheinbar befüllen könnte, kam mir die Idee, die ersten 3 Blöcke der ULA vorzugeben, so dass die Fritzbox nur noch den letzten Block auffüllt. Sollte doch für die paar Geräte in meinem Heimnetz reichen. Damit bräuchte ich mir nur die letzten 4 Stellen merken, um zu wissen, welches Geräte dahinter hängt, also bspw. "fd00:affe:edda:3fb2" für Drucker, "fd00:affe:edda:20a1" für Synology usw.. Oder geht das so nicht?

Du merkst vielleicht an meinen Fragen, wie so mein Wissensstand ist. :rolleyes: Also ... IPv6 deaktivieren ODER noch etwas einlesen?
 
Zuletzt bearbeitet von einem Moderator:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.102
Punkte für Reaktionen
3.918
Punkte
488
Einlesen! Fang mal mit dem von @Hagen2000 verlinkten Wiki-Artikel an. Du wirst schnell merken, dass das gar nicht so kompliziert ist.

Hauptunterschied:
Bei IPv4 hat jedes Interface eine IPv4, nach draußen wird "genatet" (sagt man so?), d.h. der Router verschickt die ausgehenden Pakete mit seiner externen IPv4 und leitet die Antworten an die internen Geräte weiter.
Bei IPv6 hat jedes Interface evtl. ganz viele IPv6-Adressen, eine für intern, eine über die es von extern erreichbar wäre (wenn die Firewall das zulässt), eine temporäre, mit dem es nach außen geht (Privacy Extension), ... Aber das pflegt sich im Grunde alles von alleine. Den evtl. wechselnden Präfix (den oberen Teil der IPv6) verteilt der Router, den Interface-Identifier (den unteren Teil der IPv6) bilden die Clients selber. NAT gibt es nicht mehr.
 

Tengo

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
181
Punkte für Reaktionen
3
Punkte
24
Kurze Nachfrage nochmal ... bei IPv4 muss ich ja aufpassen, dass jeder Client (inkl. Docker-Container, wenn ich macvlan nutze) im Netzwerk eine eindeutige Adresse besitzt. Laut Wiki-Artikel dient als Grundlage für die IPv6 die MAC-Adresse. Da jede MAC eindeutig ist, muss auch die daraus errechnete IPv6 eindeutig sein. Das bedeutet also, ich verteile keine IPs mehr und muss auch nicht sicherstellen, dass es zu Überschneidungen kommt. Ich lese nur noch die errechneten IPv6-Adressen ab und trage sie an den richtigen Stellen, bspw. dem "Lokalen DNSv6-Server" ein. Richtig? :love:

Für techn. HARDWARE erscheint das nachvollziehbar. Wie aber wird das mit virtuellen Netzwerken, wie einem macvlan, sichergestellt? :eek:
 
Zuletzt bearbeitet von einem Moderator:

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
390
Punkte für Reaktionen
142
Punkte
43
Soweit richtig erkannt?
Ja.
Zu 1. Technologisch ein Rückschritt, aber vermutlich momentan noch kein Problem.
Zu 2. Ja, da wird Arbeit auf Dich zukommen. Nur ein Detail: Der String "fd00:affe:edda:3fb2" entspricht 64 Bit, eine IPv6-Adresse hat aber die doppelte Länge, nämlich 128 Bit!

Bei IPv6 sich irgendwelche Adressen merken zu wollen, macht keinen Sinn, dafür gibt es ja die DNS-Server. Bei den von Benares erwähnten Privacy Extension generieren sich die Geräte sogar regelmäßig neue, zufällige IPv6-Adressen um nicht track-bar zu sein.

Edit: Zu deiner letzten Frage lautet das Stichwort Präfix-Delegation.
 

Tengo

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
181
Punkte für Reaktionen
3
Punkte
24
@hagen: Zu Deiner 2. Antwort ... stimmt, hab ich übersehen. 🤫 Die IPv6 besteht ja aus 8 Blöcken und ich kann "nur" maximal 4 Blöcke vorgeben. Also könnte ich bspw. alle IPv6-Adressen in meinem Heimnetzwerk mit "fd00:abba:ebbe:effe:" beginnen lassen. Sollte beim ersten Blick ins Auge fallen, wenn ich danach suche. Oder ist dagegen etwas einzuwenden? :rolleyes:

Was mich beim "Studium" der Wikiseite allerdings verwirrt, ist folgender Satz:
Sofern in einem privaten Netz im Dualstack mit IPv4 nur ULA-Adressen verwendet werden, bevorzugt die Mehrheit der Clients bei einer DNS-Auflösung die IPv4-Adresse, auch wenn ein AAAA-Record existiert, da davon auszugehen ist, dass mit einer ULA-Adresse niemals der öffentliche IPv6-Adressraum erreicht werden kann. Dies führt in der Praxis dazu, dass in privaten Netzen (insbesondere beim Einsatz von NAT6) im Dualstack von ULA-Adressen abgeraten wird.
Aber genau diese ULA soll ich doch interne nutzen, weil sie eben NICHT nach draußen gehen kann. Also doch IPv6 deaktivieren in der Fritzbox? o_O
Oder hab ich hier ein Brett vor dem Kopf? Ich kann doch nicht der Einzige sein, der damit Probleme hat. Da das eine Standardeinstellung der Fritzbox ist, müsste es doch ellenlange Forenbeiträge geben, wie man das am besten "umgeht" oder "einrichtet". Kann mich nicht erinnern, hier mal sowas in epischer Breite gelesen zu haben. 🧐
Und ich habe ja auch kein riesiges Heimnetz. Vielleicht 10 Clients, 2 Server, 10 Dienste (die über DNS im Heimnetz aufgelöst werden sollen) und nochmal 3 (Sub-)Domains, die von draußen reinkommen, um Kontakte, Kalender und Kleinkram zu sychronisieren. Das sind doch "Alltags-Szenarien" für HomeServer-Besitzer. :mad:
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
390
Punkte für Reaktionen
142
Punkte
43
Also dieser Satz ist mir auch schon mal aufgefallen, der scheint mir hier aber fehlplatziert zu sein. Folgt man dem referenzierten Artikel [35], so landet man auf einer Seite von OpenWrt, auf der die richtige Konfiguration der ULAs beschrieben wird, aber nicht von deren Verwendung abgeraten wird.
In meiner FRITZ!Box ist die ULA-Vergabe standardmäpßig aktiviert und alle Netzwerkgeräte, die IPv6 unterstützen, haben folglich sowohl eine ULA als auch eine (oder mehrere) öffentliche IPv6-Adressen.
Soweit ich weiß, stellen die ULAs das Pendant zu den privaten IP-Adressen bei IPv4 dar, also beispielsweise dem Adressbereich 192.168.0.0/16.
Ich würde diesen Satz daher einfach ignorieren.

Du kannst das Präfix nach meiner Einschätzung so wählen, wie Du vorgeschlagen hast. Der vorgegebene, zufällige Wert soll halt verhindern, dass im Fall der Verbindung deines IPv6-Netzwerks mit einem anderen IPv6-Netzwerk (beispielsweise über VPN) die Wahrscheinlichkeit eines Adresskonflikts möglich klein ist.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat