[Frage] DNS-Rebind nach Update?

bkoray

Neuer User
Mitglied seit
9 Sep 2011
Beiträge
26
Punkte für Reaktionen
1
Punkte
3
Moin Moin,

folgendes Problem:

Meine FritzBox ist normal über einen DynDNS Anbieter erreichbar. Da ich aber noch eine eigene Domain besitze, habe ich mir eine Subdomain eingerichtet und auf die DynDNS umleiten lassen.

Nach dem Update auf FRITZ!OS 6.98-49953 bekomme ich den Fehler "400 Bad Request - ERR_INVALID_REQ" angezeigt. Gehe ich über die DynDNS Adresse funktioniert es.

Wenn ich nun meine Subdomain in die Liste bei "DNS-Rebind" eintrage, funktioniert es wieder über meine Subdomain.

Hat hier für mich jemand eine Erklärung wieso es vorher ging und nun nicht mehr? Ich leite doch nur die Subdomain auf meine DynDNS weiter? Aufgelöst wird meine "öffentliche IPv4".

Ein Update auf die FRITZ!OS 6.98-50199 brachte auch keine Änderung.

Vielen Dank
 
Seit der Geschichte mit dem LE-Zertifikat wertet AVM den SNI-Header eines TLS-Requests aus, weil für den MyFRITZ!-Namen dann auch das LE-Zertifikat verwendet wird ... vielleicht tritt das Problem jetzt auf, wenn es gar kein Zertifikat in der Box gibt, welches den angefragten DNS-Namen enthält und der Besitzer kein eigenes Zertifikat hochgeladen hat (vielleicht aber sogar dann).

Was aber der Rebind-Schutz damit zu tun haben soll (außer daß er halt zuläßt, daß für den "nicht-zertifizierten Namen" auch die Box-Adresse aufgelöst werden kann), erschließt sich mir auch nicht ... wobei das ja auch sein kann, daß AVM bei unbekanntem SNI-Namen irgendeine DNS-Auflösung startet (wofür auch immer die gut sein mag) und die dann Fehler produziert, wenn sie auf die eigene Adresse der Box auflöst (das ist es ja, was der Rebind-Schutz normalerweise verhindern soll).

Ich würde einfach mal ein eigenes Zertifikat erstellen (anders als das von der Box erzeugte "self-signed certificate" kann das Handling in irgendeinem Browser auch nicht sein, ggf. muß man Apps neu anmelden), was neben dem als DynDNS-Adresse konfigurierten Namen auch noch den aus der Weiterleitung enthält ... vermutlich ist dann auch das "Rebind-Problem" mit weg, wenn die Adresse aus dem SNI-Header irgendwo in einem verfügbaren Zertifikat steht.

Ansonsten steht in einem von der Box selbst ausgestellten Zertifikat seit einiger Zeit wohl sogar die externe Adresse mit drin (seit wann genau, weiß ich nicht, weil ich diesen Wechsel gar nicht sofort bemerkt habe, da ich dort mit eigenen Zertifikaten bei den Boxen arbeite, die ich von extern erreichen muß/will) und da sich diese ja sehr dynamisch ändern kann, generiert die Firmware wohl jedes Mal ein neues Zertifikat, verwendet dafür aber denselben privaten (und damit auch denselben öffentlichen) Schlüssel, so daß sich für Apps wenig ändert, weil die nicht das Zertifikat, sondern den öffentlichen Schlüssel "pinnen". Benutzt man hingegen ein eigenes Zertifikat, kann man auch diese Klippe umschiffen, an der sich sonst so mancher Browser aufreibt.
 
Ist die Frage wie hier weitergeleitet wird, wenn per CNAME ist "Fehler" korrekt.
 
Unnötiges Vollzitat entfernt - HabNeFritzbox

Ja, ich habe per CNAME eine Weiterleitung eingerichtet. Aber vor dem Update gab es nie Probleme.
 
Dann hast evt. nicht die FB als DNS verwendet. Jedenfalls ist es korrekt und gewünscht die Reaktion.
 
Ja, okay. Dann hat sich das ja geklärt wenn das so sein sollte.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.