GrapheneOS IPv6 Hostname DNS Auflösung schlägt fehl

[CoMo]

Hallo,

folgendes Setup:

Pixel 9 Pro mit GrapheneOS
Zuhause OPNSense als Router mit Unbound
Linux Thin Client mit Wireguard Server
SearXNG im LXC-Container auf Proxmox

Beim Verlassen meines heimischen WLAN wird automatisch (WG Tunnel) eine VPN-Verbindung nach Hause aufgebaut. Ziele aber nur lokales Netzwerk und meine Server (und NAT64):

Allowed IPs: 192.168.100.0/24, fda6::/64, 88.XX.XX.XX/32, 2a01:XXXX:XXXX:4255::/64, 2a01:XXXX:XXXX:e800::/56, 64:ff9b::96/128

Funktioniert soweit. Ich nutze auch unterwegs meinen heimischen AdGuard Home als DNS und kann meine lokalen Geräte erreichen.

Eines dieser Geräte ist meine SearXNG Instanz. Somit ist meine Default Suchmaschine auch unterwegs meine eigene.

Nun habe ich diesem SearXNG-Container vor einer Weile die IPv4-Adresse weggenommen. Er ist also nur noch via IPv6 erreichbar und es gibt auch nur noch einen AAAA-Record.

Auch das funktioniert grundsätzlich. Nun ist mir allerdings aufgefallen, dass nach einer Weile (ich war 4 Tage nicht zuhause) genau diese Verbindung zum SearXNG plötzlich abbricht. Android kann den Hostnamen einfach nicht mehr auflösen. Nach etwas Fehlersuche auf dem Router habe ich dann einfach mal das Telefon rebooted und siehe da: der AAAA-Record wird wieder aufgelöst, ich kann wieder suchen. Aber etwas einen Tag später wieder dasselbe Problem. Auch wieder gelöst durch einen Android-Reboot.

Ich kann das gerade schlecht testen, da es sich nicht wirklich reproduzieren lässt und erst auftritt, wenn ich lange Zeit außerhalb meines WLANs bin. Aber ich sammle gerne Ideen oder Vorschläge, wo die Ursache liegen könnte. Ideen?

 

[herrhannes]

Nach der Zeit ist die TTL deiner DNS-Einträge abgelaufen, aber der DNS ist nicht erreichbar/liefert keine AAAA-Records zurück.

 

[CoMo]

Doch, tut er. Auf dem Router selbst und auch auf anderen Geräten. Nur nicht mehr auf Android. Und alle A-Records für andere Hostnamen kann auch Android weiterhin auflösen.

Wie sollte denn auch ein Android-Reboot eine Nichterreichbarkeit des DNS-Servers beheben?

 

[herrhannes]

Punkt 2: liefert keine AAAA-Records zurück. Wieso sollte es sonst eine Weile gehen und dann nicht mehr?

 

[CoMo]

Ok, das hilft aber nicht wirklich weiter. Warum liefert der DNS-Server AAAA-Records an alle Geräte, nicht aber an Android. Und warum liefert er wieder an Android nach einen Android-Reboot? Woher weiß der DNS-Server, das Android rebooted wurde und liefert dann wieder? Wie soll da der Zusammenhang sein?

Ich bekomme von allen Geräten in meinem Netzwerk die IPv6-Adresse geliefert, wenn ich searxng.home.arpa auflöse. Android findet keinen Record. Bis zum Reboot. Und dann irgendwann wieder nicht.

 

[herrhannes]

Na entweder Android nutzt dann einen anderen DNS oder deine WireGuard-Verbindung bricht ab, aber das hast du ja eigentlich beides ausgeschlossen, wenn dein Adguard noch A-Records liefert.

 

[Ryzen 14900KS]

Kannst du den DNS-Server anpingen? Könnte vielleicht auch vollgelaufener DNS-Cache sein, wenn das irgendwie falsch falsch konfiguriert ist. Mach beim nächsten mal statt Neustart 30 Sekunden Flugmodus, wenn es danach wieder funktioniert ist es vmtl. der Cache.

 

[CoMo]

Ja klar, ich kann den anpingen und auch abfragen. Der antwortet ja auch. Nur eben nicht mit dem AAAA-Record für den SearXNG, wenn das Android fragt. Und der Record ist ja local-data, der kommt nicht via Rekursion.

Mach beim nächsten mal statt Neustart 30 Sekunden Flugmodus, wenn es danach wieder funktioniert ist es vmtl. der Cache.

Du meinst den Cache auf dem Android? Nein, wenn ich im Terminal nslookup mache, wird ja auch der konfigurierte DNS-Server gefragt. Und da funktioniert es ja auch nicht.

Flugmodus kann ich dann am Wochenende mal probieren, wenn ich wieder nicht zuhause bin.

 

[Mojo1987]

Die Private DNS Funktion im Android mal von Automatisch auf Deaktiviert gesetzt?
Die kann sowas auslösen.

 

[CoMo]

Wird nicht genutzt, das würde ja auch gar keinen Sinn machen.

 

[Mojo1987]

Wenn es auf automatisch steht wird es halt eben unter Umständen doch verwendet, trotz VPN. Das ist nicht unbekannt wir hatten mit Firmen VPNs schon deswegen Probleme mit DNS der auf einmal nicht mehr funktioniert.

 

[Ryzen 14900KS]

@Mojo1987 Das ist ja spannend, nutze ich seit (?) 2022, die Funktion, also an oder aus der AdBlocker. Ist mir nie aufgefallen, dass es da "Automatisch" gibt, wahrscheinlich weil ich mich damals direkt gefragt habe wie das (per Feenstaub) funktionieren sollte.

 

[CoMo]

Es ist natürlich aus. Wie sollte denn irgendein DNS-Anbieter im Internet meine lokalen home.arpa und internal Domains auflösen?

 

[Mojo1987]

Wie sollte denn irgendein DNS-Anbieter im Internet meine lokalen home.arpa und internal Domains auflösen?

Kann er ja für einen Teil ab einem gewissen Punkt nicht mehr. Das kann Private DNS in Kombination mit Cache Problemen durchaus auslösen. Das ist nur ein Schuss ins Blaue und da die Funktion aus ist wirds das wohl nicht sein.

Ich mein du bügelst alles mit kann nicht sein direkt weg, dann musst du schon selbst suchen, im Zweifel tracen.

Denkbar wäre auch ein Bug in der genutzten Android Firmware bzw GraphenOS -> anderes Android-Smartphone testen.

 

[Ryzen 14900KS]

Ich bin totaler IPv6-Noob, aber ich hatte mit meinem Dual-Stack-Anschluss auch etwas Spaß die FRITZ!Box mit dem PiHole zu verheiraten, da musste ich irgendwie statische link-local-Adressen vergeben, bevor das funktioniert hat. Aber OT, das hat du ja schon ausgeschlossen.

 

[BFF]

Wie sollte denn irgendein DNS-Anbieter im Internet meine lokalen home.arpa und internal Domains auflösen?

Wenn er die Zonen bei sich pflegt geht das schon.

Fuer den Rest duerfte das Problem in deinem lokalem Konstrukt liegen. Inklusive des Versuchs im lokalen Netz IPv6 only fuer ein Geraet zu fahren. 🤷‍♂️

 

[Ryzen 14900KS]

Fuer den Rest duerfte das Problem in deinem lokalem Konstrukt liegen. Inklusive des Versuchs im lokalen Netz IPv6 only fuer ein Geraet zu fahren. 🤷‍♂️

IPv4 only hier lokal für die ganze Infrastruktur, 10.0.0.0/8-Netz regelt für immer. Ich habe aber auch keine Dienste rein oder raus.