Fritz als Teilnehmer im Netzwerk mit ausgeschaltetem DHCP beantwortet DNS Anfragen, soll sie aber nicht

[Ringo_]

Kurz zum Setup:

Die Fritze ist Teilnehmer in einem Netzwerk und dieses Netzwerk stellt natürlich das Gateway und DNS.
DHCP in Fritz ist ausgeschaltet und die hat feste IP.
Für die Rufnummern-Registrierung nutzt aber die Fritz den DSL-Anschluss der an der Fritz ist, ist also selbst auch online.
Im Netzwerk ist Split-DNS konfiguriert weil sich die 3CX-Telefonanlage im internen Netz also local befindet und diese Funktion erforderlich ist.
Interne DNS-Anfragen zur FQDN (DNS) der Anlage müssen mit der internen IP beantwortet werden.

Jetzt ist das Problem dass aber anstatt des Netzwerk-Gateways mit nslookup immer die Fritzbox als beantwortendes Gerät steht und diese anstatt der internen die öffentliche IP liefert.:

"Server: fritz.box"

Dann habe ich in der Fritz bei Internetzugang DNS-Server pimär + sekundär das locale Gateway als DNS-Server eingetragen. Wenn die ungewollt antwortet müsste die sich die IP der DNS-Adresse beim localem Gateway erfragen und ebenfalls die interne IP der Anlage bekommen.

Stattdessen antwortet immer noch die Fritz aber jetzt mit:

"*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für xxxxxxxxxxx.on3cx.de verfügbar."


Optimaler weise sollte die Fritz gar nicht antworten.
Warum tut die das und wie kann man das abstellen?

Wenn das nicht deaktivierbar ist wieso kann sie wenn auf das locale Gateway eingestellt keine Antwort mehr liefern?

Ich hoffe ich habe es verständlich beschrieben und freue mich auf Antwort.

 

[frank_m24]

Ich hoffe ich habe es verständlich beschrieben und freue mich auf Antwort.

Leider nicht. Was ist der normale Internetzugang? Warum nutzt die Fritzbox ihren DSL Anschluss für die Registruerung von VoIP Nummern, wenn der VoIP Server im LAN ist? Warum hat der VoIP Server im LAN einen FQDN, der nicht zur lokalen Domain passt, sondern eine Domain, deren authorative DNS im Internet steht?
Was ist Split-DNS?

Optimaler weise sollte die Fritz gar nicht antworten.
Warum tut die das und wie kann man das abstellen?

Abstellen kannst du nur, dass sie gefragt wird.

 

[Ringo_]

Abstellen kannst du nur, dass sie gefragt wird.

Das ist ja das verwunderliche. Eigentlich fragt kein Gerät bei der Fritz. Die haben alle per DHCP oder statisch das Gateway und DNS vom Netzwerk. Lass ich mir ipconfig anzeigen habe ich beispielhaft 111.111.111.1 als Gateway und DNS. Mit nslookup kommt dann aber die Antwort von "Server: fritz.box" die eine andere Ip hat.

Warum nutzt die Fritzbox ihren DSL Anschluss für die Registruerung von VoIP Nummern

Der DSL-Anschluss ist Bestand von vor der Umstellung auf 3CX-Anlage.
Anders als gewohnt lassen sich die Rufnummern bei diesem Telekom-Anschluss nicht direkt in 3CX im Internet bzw nicht auf einem anderen physischen Anschluss registrieren. Haben wir xmal gemacht aber bei dem geht es nicht. Ist noch in Klärung. Wenn das ginge kann die Fritz dann entfallen.

Was ist Split-DNS?

Die 3CX steht im localen Netzwerk und hat z.b. meinetelefonanlage.on3cx.de als Domain. Mit noch auszuführendem Update sprechen zb. die Telefone die Anlage anstatt per IP mit der Domain an.
Bekommt man dann die öffentliche IP vom DNS geht die Anfrage in´s Internet und kommt zurück zum localen Netz. Das wird dann von der Firewall blockiert.
Split DNS sorgt dafür das wenn eine Telefon intern mit der Domain zur Anlage will die interne IP vom DNS kommt und die Verbindung auch intern bleibt.

 

[chrsto]

Ggf. ist in der Fritz!Box unter Internet -> Zugangsdaten -> IPv6 die Unterstützung für IPv6 aktiv und unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv6-Einstellungen wird die Fritz!Box als DNS Server beworben.

 

[frank_m24]

Mit nslookup kommt dann aber die Antwort von "Server: fritz.box" die eine andere Ip hat.

Wenn die Antwort von der Fritzbox kommt, dann wurde sie auch gefragt. Entweder direkt von den Clients, oder vom anderen Gateway. Hast du auf den Schirm, dass es da unterschiedliche Wege über IPv6 und IPv4 geben könnte, je nachdem, wer da so Router Advertisements durch die Gegend schickt? Letzteres können ja auch mehrere Router tun.

Die 3CX steht im localen Netzwerk und hat z.b. meinetelefonanlage.on3cx.de als Domain.

Warum eine Domain, deren authorative Nameserver im Internet steht? Die Frage hab ich schon mal gestellt. Das ist doch letztlich die Wurzel des Problems: Die Clients bekommen eine IP im Internet zurückgeliefert, die im lokalen Netz verortet sein sollte. Anstatt jetzt über irgendwelche Klimmzüge die Namensauflösung für fremde Domains zu faken, würde ich eher die Anlage vernünftig ins lokale Netz integrieren, zumal der Zugriff von außen ja scheinbar eh blockiert wird.

 

[Ringo_]

Ggf. ist in der Fritz!Box unter Internet -> Zugangsdaten -> IPv6 die Unterstützung für IPv6 aktiv und unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv6-Einstellungen wird die Fritz!Box als DNS Server beworben.

Bin jetzt nicht vor Ort und konnte es nur im WireGuard VPN testen.
Nachdem ich IPv6 Unterstützung in Fritz ausgeschaltet habe und in der WireGuard config dann noch den DNS angepasst habe kam die erwartet interne IP bei nslookup vom dortigen Gateway.
Sehr erfreulich.
Habe es testweise dann mal wieder eingeschaltet. Dann kam immer noch die interne. Hätte jetzt eigentlich wieder die "falsche" Antwort erwartet.
Ich lasse IPv6 Unterstützung jetzt aus und prüfe das nochmal wenn wir vor Ort sind.



@frank_m24
https://www.3cx.de/docs/adminhandbuch/fqdn-split-dns/

Wenn Sie 3CX in Ihrem Netzwerk vor Ort installieren, müssen Sie einen FQDN konfigurieren, der sowohl extern (von außerhalb Ihres LANs) als auch intern (innerhalb Ihres LANs) aufgelöst werden kann. Dies erreichen Sie am besten, indem Sie zwei Zonen für denselben FQDN einrichten, eine für externe und eine für interne Nutzer.

Dies wird auch als "Split DNS"- oder "Hairpin NAT"-Konfiguration bezeichnet. Nutzer können sich hierdurch nahtlos mit den 3CX-Apps oder dem 3CX-Webclient verbinden, unabhängig davon, ob sie sich an einem Arbeitsplatz innerhalb oder außerhalb Ihres Netzwerks befinden – unter Verwendung desselben sicheren FQDN bzw. derselben 3CX-Webclient-URL.

Der Zugriff auf den 3CX-Webclient erfolgt nicht über eine IP-Adresse, die von modernen Webbrowsern in näherer Zukunft nicht mehr unterstützt werden wird.

Voraussetzung ist ein vorhandener DNS-Server oder eine Firewall in Ihrem LAN, der/die entsprechend konfiguriert werden kann.

 

[frank_m24]

Wenn Sie 3CX in Ihrem Netzwerk vor Ort installieren, müssen Sie einen FQDN konfigurieren, der sowohl extern (von außerhalb Ihres LANs) als auch intern (innerhalb Ihres LANs) aufgelöst werden kann.

So weit, so gut. Da steht aber nicht, dass die Domain dieses FQDN nicht unter eurer Kontrolle steht. Du nutzt eine 3cx Domain. Hättet ihr was internes, würde sich die Frage nicht stellen. Eurer internes Netz auf eurem Nameserver passend einzurichten, ist was anderes, als den Aufruf externer Domains über Harakiri-Nameserver Aktionen auf private Adressen umzubiegen. Was machst du, wenn du eine Anwendung im LAN hast, die auf eine externe Ressource im on3cx Netz zugreifen muss? Dann hast du verloren.

Nutzer können sich hierdurch nahtlos mit den 3CX-Apps oder dem 3CX-Webclient verbinden, unabhängig davon, ob sie sich an einem Arbeitsplatz innerhalb oder außerhalb Ihres Netzwerks befinden

Du schreibst weiter oben, der Zugriff von außen wird durch die Firewall unterbunden. Da stellt sich dann die Frage, warum überhaupt das alles.

 

[Theo Tintensich]

"Server: fritz.box"

Wie werden die Daten verteilt?
IP, DNS, Gateway?
Denn wenn ein "nslookup" die F!B als DNS-Server angibt, hat dieses Gerät als ersten DNS-Server diese F!B-IP als DNS-Server drin stehen, was nicht per DHCP kommen muss.

Du kannst bei einem als DHCP abfragenden Computer die DNS-Dienste fest konfigurieren.