Wireguard Fritzbox und Aufruf von interner Domain

Cavekeeper

Benutzer
Mitglied seit
08. Okt 2008
Beiträge
136
Punkte für Reaktionen
6
Punkte
18
Hallo,

ich habe Wireguard in der Fritzbox eingerichtet, welches grundlegend funktioniert.
Das interne Netzwerk ist über die IP-Adressen erreichbar.
Leider funktioniert das nicht mit den internen Domains.
Ich habe der DS zum Beispiel die interne Domain nas.local gegeben.
Solange ich mich im internen Netzwerk befinde, funktioniert der Aufruf dieser Domain einwandfrei. Auch andere local Adressen sind erreichbar.
Aber warum funktionieren die interne Domains nicht bei einer Wireguard-Verbindung?
Hat jemand eine Lösung für das Problem?

VG
Thomas
 

Anhänge

  • DS Domain Konfig.png
    DS Domain Konfig.png
    83,4 KB · Aufrufe: 9

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.188
Punkte für Reaktionen
766
Punkte
154
.local sollte man eigentlich nicht verwenden, siehe hier (als Hinweis):
https://administrator.de/tutorial/h...-domaene-local-in-dns-und-mdns-909777511.html

Man sollte .internal nehmen:
https://www.heise.de/news/Ueberfael...ar hat sich,Vorschlag der IANA noch abnicken.

Zu deinem eigentlichen Problem: Hast du denn für deine lokale Domäne einen eigenen DNS-Server? Dann musst du eigentlich nur die Datei bearbeiten, die die FBox für deine Verbindung erstellt. Da steht natürlich die FBox als DNS drin und die kennt deine lokale Domäne nicht.

Als Beispiel: Ich fahre ein kleines Samba-AD und hab dementsprechend die DNS-Server der AD-Domäne in der Wireguard-Datei eingetragen und erreiche daher problemlos alle Geräte in meiner Domäne unter ihrem Namen.

Das findest du in dem Interface-Bereich in der conf-Datei:

Code:
[Interface]
PrivateKey = <Der geheime Key>
Address = <Adressbereich der FBox>/24
DNS = <Dein(e) DNS-Server> <- hier muss der DNS-Server geändert werden
DNS = <Deine Domäne> <- hier muss auf deine Domäne geändert werden
 
Zuletzt bearbeitet:

Cavekeeper

Benutzer
Mitglied seit
08. Okt 2008
Beiträge
136
Punkte für Reaktionen
6
Punkte
18
Nein, ich habe keinen DNS-Server. Nur die FRITZ!Box.
Die Domain local funktioniert von Haus aus. Ich habe die meines Erachtens nirgends eingestellt.
Ich dachte nur, wenn diese Domain im internen Netzwerk funktioniert, sollte das doch auch mit Wireguard gehen.
In der Wireguard Konfig, welche die FB zur Verfügung stellt, ist die FB als DNS-Server bereits voreingestellt.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.188
Punkte für Reaktionen
766
Punkte
154
Die interne Domäne der FBox ist ja fritz.box, oder besser .box. Die kennt also .local gar nicht.

Dass das überhaupt mit .local funktioniert, könnte mit der mDNS-Geschichte zusammen hängen, entzieht sich aber tatsächlich meiner Kenntnis.

Dann müsstest du - theoretisch - deine Geräte unter gerätename.box erreichen können, die FBox verzeichnet die ja in ihrem Netzwerk.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
2.180
Punkte für Reaktionen
908
Punkte
154
  • Like
Reaktionen: Adama

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.188
Punkte für Reaktionen
766
Punkte
154
Bist du sicher? fritz.box ist doch die FBox selber...

Aber .box ist natürlich nur die TLD, insofern klingt das schon richtig.

Edit sagt, du hast recht: Hab grad mal ein nslookup an meinen DNS-Servern vorbei an die FBox gestellt. Die gibt Gerätename.fritz.box zurück
 
  • Like
Reaktionen: Kachelkaiser

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
2.180
Punkte für Reaktionen
908
Punkte
154
hatte ich, bevor ich das schrieb, genauso gemacht ;) Erst testen, dann reden (schreiben)😁
 

Cavekeeper

Benutzer
Mitglied seit
08. Okt 2008
Beiträge
136
Punkte für Reaktionen
6
Punkte
18
Ja, es funktioniert mit diskstation.fritz.box. Mit dem richtigen Port erreiche ich dann auch die jeweilige Anwendung.
Die DS hat doch als Paket einen kleinen DNS-Server. Kann man diesen nicht nutzen, um z.B. eine Domain "internal" einzutragen?
Und mit "diskstation.internal" komme ich dann direkt auf die Verwaltungsoberfläche?
Dann würde ich die IP der DS in den DNS-Einstellungen von Wireguard eintragen. So die Theorie.....
Allerdings kenne ich mich mit dem DNS-Server überhaupt nicht aus. Keine Ahnung, wo was eingetragen werden muss.
Aber das sollte doch gehen!?
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
412
Punkte
139
Ich würde statt dem Synology DNS Server dir eher Adguard Home oder PiHole empfehlen. Bei beiden kannst du Domains umschreiben und hast zusätzlich hast du einen Werbeblocker im Netzwerk.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
Die Fritte verteilt per DHCP den primären DNS-Suffix "fritz.box" so dass bei jeder DNS-Anfrage (z.B. "nslookup irgendwas") erstmal ".fritz.box" angehängt wird, bevor es direkt probiert wird. Damit löst sie interne Namen auf (leider nur die IPv4), auch wenn man nur den Kurznamen angibt.
"fritz.box" u.a. (ohne "irgendwas") löst sie auf sich selber auf. Hat man keine DNS-Suffix-Suchliste, muss man ".fritz.box" selber anhängen. Dinge wie ".local" oder ".internal" kennt die Fritte nicht. Das ist m.W. Apple-Gedöns.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
Ich!
Code:
C:\>nslookup ds1522.fritz.box.
Server:  fritz.box
Address:  192.168.0.1

Name:    ds1522.fritz.box
Addresses:  192.168.0.71
          192.168.0.70


C:\>nslookup -q=aaaa ds1522.fritz.box.
Server:  fritz.box
Address:  192.168.0.1

Name:    ds1522.fritz.box
obwohl fast alle meine Geräte auch eine IPv6 haben.
Edit: Bei sich selbst löst sie übrigens auch die IPv6 auf, nur bei den anderen Geräten nicht

Edit: Auch recht interessant
Code:
C:\>nslookup -d ds1522
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 1, rcode = NOERROR
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 13,  authority records = 1,  additional = 3

    QUESTIONS:
        1.0.168.192.in-addr.arpa, type = PTR, class = IN
    ANSWERS:
    ->  1.0.168.192.in-addr.arpa
        name = fritz.box
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = www.fritz.box
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = fritzbox.internal
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = fritzbox.home.arpa
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = myfritz.box
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = www.myfritz.box
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = FB7590-1.fritz.box
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = fritz.nas
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = www.fritz.nas
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = fritz-nas.fritz.box
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = fritz-nas.box
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = wpad.box
        ttl = 9 (9 secs)
    ->  1.0.168.192.in-addr.arpa
        name = wpad.fritz.box
        ttl = 9 (9 secs)
    AUTHORITY RECORDS:
    ->  1.0.168.192.in-addr.arpa
        nameserver = fritz.box
        ttl = 9 (9 secs)
    ADDITIONAL RECORDS:
    ->  fritz.box
        internet address = 192.168.0.1
        ttl = 9 (9 secs)
    ->  fritz.box
        AAAA IPv6 address = fd58:218f:caa5:0:464e:6dff:fe3b:f17e
        ttl = 9 (9 secs)
    ->  fritz.box
        AAAA IPv6 address = 2001:16b8:bb2a:7800:464e:6dff:fe3b:f17e
        ttl = 9 (9 secs)

------------
Server:  fritz.box
Address:  192.168.0.1

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NOERROR
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 2,  authority records = 1,  additional = 3

    QUESTIONS:
        ds1522.fritz.box, type = A, class = IN
    ANSWERS:
    ->  ds1522.fritz.box
        internet address = 192.168.0.71
        ttl = 9 (9 secs)
    ->  ds1522.fritz.box
        internet address = 192.168.0.70
        ttl = 9 (9 secs)
    AUTHORITY RECORDS:
    ->  ds1522.fritz.box
        nameserver = fritz.box
        ttl = 9 (9 secs)
    ADDITIONAL RECORDS:
    ->  fritz.box
        internet address = 192.168.0.1
        ttl = 9 (9 secs)
    ->  fritz.box
        AAAA IPv6 address = fd58:218f:caa5:0:464e:6dff:fe3b:f17e
        ttl = 9 (9 secs)
    ->  fritz.box
        AAAA IPv6 address = 2001:16b8:bb2a:7800:464e:6dff:fe3b:f17e
        ttl = 9 (9 secs)

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NOERROR
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        ds1522.fritz.box, type = AAAA, class = IN
    AUTHORITY RECORDS:
    ->  fritz.box
        ttl = 9 (9 secs)
        primary name server = fritz.box
        responsible mail addr = admin.fritz.box
        serial  = 1722525952
        refresh = 21600 (6 hours)
        retry   = 1800 (30 mins)
        expire  = 43200 (12 hours)
        default TTL = 10 (10 secs)

------------
Name:    ds1522.fritz.box
Addresses:  192.168.0.71
          192.168.0.70
Da sieht man schön, wie die DNS-Suffix-Suchliste greift und dass es wohl noch andere andere Namen für die Fritzbox selbst gibt (z.B. fritzbox.internal)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Adama

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
374
Punkte für Reaktionen
135
Punkte
43
Ich habe auch eine FRITZ!Box im Heimnetz im Einsatz und habe mit die Mühe gemacht, nslookup auf verschiedenen Systemen und mit verschiedenen Zielen auszuführen.

Auf meinem NAS, auf einer Linux VM mit CentOS 7 und unter Windows:
Bash:
nslookup ds214plus.fritz.box
Bzw. unter macOS:
Bash:
dscacheutil -q host -a name ds214plus.fritz.box
Alle Systeme erhalten erwartungsgemäß als Antwort von der FRITZ!Box sowohl eine IPv4 als auch eine IPv6-Adresse (bzw. bei nslookup mit Option -q=AAAA eben nur die IPv6-Adresse).

Auch wird bei mir keine Domäne "internal" verwendet. Die DNS-Suffix-Suchliste wird doch auf dem anfragenden Gerät festgelegt, das müsste also in deinem Fall dein PC sein. Hier solltest Du mal dessen Konfiguration prüfen.

P.S.: Vielleicht sollte man das Thema "IPv6 DNS FRITZ!Box" hier mal rausziehen.
 

Cavekeeper

Benutzer
Mitglied seit
08. Okt 2008
Beiträge
136
Punkte für Reaktionen
6
Punkte
18
Ok, letztendlich habe ich das Problem jetzt folgender Maßen gelöst:
Die interne Domain für meine DS lautet: diskstation.fritz.box
Diese Domain habe ich in der DS unter Systemsteuerung/Anmeldeportal/Domain eingetragen.
In der Wireguard-Konfig ist die Fritz!Box bereits als DNS-Server eingetragen.
Somit funktioniert die o.a. Domain im VPN-Mode wunderbar.
Ich denke, dass ich die HSTS-Einstellung außer acht lassen kann, da die VPN-Verbindung eh' schon verschlüsselt ist.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
374
Punkte für Reaktionen
135
Punkte
43
Das sieht doch gut aus.
Wobei: Wenn Du die eigene Domain leer lässt, sollte auf den Servernamen unter Systemsteuerung/Netzwerk/Allgemein zurückgegriffen werden. Die Domäne “fritz.box“ hängt ja dein DNS-Server (FRITZ!Box) automatisch an. So habe ich es jedenfalls konfiguriert.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat