FritzBox + externer DNS + private IP-Adressen geht schief

[nachtwächter123]

Hallo

vorab das Setup:

• DSL über m-net ( DNS-Server laut FritzBox 2001:a60::53:1 und 2001:a60::53:2 )
• FritzBox 7530
• Notebook mit Windows 11
• Android12-Handy Xiaomi Redmi Note 10s
• FireTV-Stick 4k
• DNS-Server von 1blu

Da man in der FritzBox keine eigenen DNS-Einträge setzen kann, habe ich jetzt bei meiner eigenen DE-Domain einen Host-Eintrag mit privater IP-Adresse (pi.XXX.de 192.168.178.100) eingetragen. Wenn ich diese von meinen Geräten ansprechen will, gibt es unterschiedliche Ergebnisse. Von meinem Notebook und dem FireTV-Stick wird der Name nicht aufgelöst. Von meinem Handy jedoch schon. Wenn ich von meiner auf dem Notebook laufenden Debian-Virtualbox mit dig schaue, gibt es folgendes Bild:

dig pi.xxx.de -> kein Ergebnis
dig @8.8.8.8 pi.xxx.de -> 192.168.178.100
dig @2001:a60::53:1 pi.xxx.de -> 192.168.178.100
dig @2001:a60::53:2 pi.xxx.de -> 192.168.178.100

Als DNS-Server ist beim Notebook, dem FireTV-Stick und der Virtualbox der von der FritzBox per DHCP vergebene 192.168.178.1 gesetzt. Beim Handy, wo die Abfrage funktioniert, dns.adguard.com. Also scheint es irgendeinen Hickup mit der FritzBox zu geben. Auf dem Notebook habe ich temporär in der hosts-Datei einen festen Eintrag gemacht, würde es aber natürlich gerne bei allen Geräten in meinem Netz nutzen können.

Hat jemand von euch eine Idee, wo das Problem liegen kann?

 

[till69]

Hat jemand von euch eine Idee, wo das Problem liegen kann?

https://avm.de/service/wissensdaten...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/

 

[Raijin]

DNS Rebind Schutz. Der DNS in der Fritzbox erkennt eine public domain, die auf eine private IP zeigt. Das ist ein Hinweis auf eine DNS Rebind Attacke und wird dann geblockt. Sprich den PI im Heimnetzwerk mit seinem Hostnamen an und nicht mit einer öffentlichen Domain oder erstelle eine Ausnahme im DNS Rebind Schutz in der Fritzbox. AVM FAQ weiß wie das geht.

 

[nachtwächter123]

Wow, das ging schnell! Danke an euch beide für den Tipp, das dürfte wohl das Problem sein. Ich probiere es heute Abend mal aus und gebe noch mal Rückmeldung.

 

[Korben2206]

Warum nutzt du nicht den Pi als DNS-Server? Externer DNS für privates Netz klingt für mich einfach falsch...

 

[d2boxSteve]

Eine private IP sollte man nie bei einer Internet-Domain eintragen. Stell dir vor, irgend ein anderer ruft deine Domain auf, der wird ja auch in seinem eigenen Netz umgeleitet obwohl er das gar nicht will.
Nicht nur du hast 192.168.178.0/24 als Netz daheim :=)

 

[nachtwächter123]

Warum nutzt du nicht den Pi als DNS-Server?

Aktuell spiele ich noch viel zu viel mit seinem Setup herum, als das ich die anderen Mitbewohner mit den daraus resultierenden Konsequenzen nerven will. Wenn er dann läuft, wie ich es will, ist das definitiv eine Option.

Eine private IP sollte man nie bei einer Internet-Domain eintragen. Stell dir vor, irgend ein anderer ruft deine Domain auf, der wird ja auch in seinem eigenen Netz umgeleitet obwohl er das gar nicht will.

Was, andere können einfach so meine DNS-Einträge nutzen? Darf ich dafür Geld verlangen?

 

[d2boxSteve]

Das schlimme ist ja, du musst für deine Domain auch noch zahlen .... :=)

 

[Isolak]

Aktuell spiele ich noch viel zu viel mit seinem Setup herum, als das ich die anderen Mitbewohner mit den daraus resultierenden Konsequenzen nerven will. Wenn er dann läuft, wie ich es will, ist das definitiv eine Option.

Naja du kannst da trotzdem einen DNS Server drauf laufen lassen und dann nur für deine Geräte den Pi als DNS Server eintragen und nicht für alle im Netz.

Wenn du im Heimnetz deine Internet Domain verwenden willst teilweise mit den gleichen Records dann sollte ein Split Horizon DNS helfen, habe ich bei mir erfolgreich am laufen

 

[chrigu]

Aktuell spiele ich noch viel zu viel mit seinem Setup herum,

das ist sehr gefährlich. Entweder du weisst was du machst oder du fragst jemand der sich damit auskennt. Nicht das plötzlich dein Netzwerk vom Chinese in Usbekistan als bot missbraucht wird, eben weil dein rumspielen auch sämtliches zulässt!

 

[Raijin]

Man kann den PI auch mit seinem Hostnamen ansprechen. Eine Fritzbox vergibt standardmäßig fritz.box als lokale Domain. Normalerweise reicht es aus, "ping mypi" oder im Browser "http(s)://mypi..." einzugeben, weil das Betriebssystem implizit die lokale Domain anhängt. Hinter den Kulissen wird also tatsächlich mypi.fritz.box von der Fritzbox aufgelöst, sofern die Fritzbox DNS- und DHCP-Server im Netzwerk ist (was wohl der Fall ist).

Sicherlich kann man einen lokalen DNS-Server im Netzwerk einrichten und zB pihole oder adguard zu Hause hosten (aber bitte nur lokal oder maximal via VPN), aber es ist fraglich ob sich der Aufwand lohnt, wenn man nur den PI mittels Name/Domain ansprechen will. Und zur Not kann man den PI ja auch mit dessen IP nutzen, wenn man sich nicht näher mit DNS beschäftigen möchte.

 

[norKoeri]

Da man in der FritzBox keine eigenen DNS-Einträge setzen kann

Warum nutzt Du nicht mDNS, also spricht das gewünschte Gerät über .local an?

 

[nachtwächter123]

Etwas verspätet, aber der Hinweis mit dem "Rebind Schutz" der FritzBox war genau richtig. Danke an die Hinweisgeber!

@Raijin Danke für den Hinweis, da in Zukunft aber mehrere Netze per VPN verbunden werden sollen, wird es wohl spätestens dann nicht mehr ausreichend sein.

@norKoeri Danke auch an dich für den Hinweis! Habe es mir gerade mal kurz angeschaut. Klingt für einen Standort recht interessant. Kannst du sagen, ob das von (ziemlich) allen aktuellen WiFi-tauglichen Geräten und Gadgets unterstützt wird?

P.S: Kann man hier im Forum das Thema irgendwie auf "gelöst" setzen? Habe keine direkte Option gefunden und den Titel kann ich scheinbar auch nicht mehr anpassen.