[Problem] PPPoE-Passthrough unterstützt DNSSEC nicht

lorbet

Neuer User
Mitglied seit
16 Apr 2016
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
Hallo,
Ich habe eine Fritzbox 7490 mit Fw. 7.29 und benutze ich die
mit einem anderen Router der seine eigene PPPoE Verbindung einrichtet.
Auf diesem zweiten Router läuft ein DNS Server (bind) und leider DNSSEC
funktioniert nicht mehr seit den Router von AVM installiert wurde.

Ich vermute dass die Kindersicherung untersucht alle ankommende DNS
Pakete und gibt die weiter, aber diese Funktion kann nicht völlig
ausgeschaltet werden.

Könnte freetz-ng für meinem Anwendungsfall besser sein?

Danke
 
Was meinst Du mit Kindersicherung? Die von AVM? Kann man über einen Kinder-gesicherten Zugang PPPoE-Passthrough machen? Aus reiner Neugierde: Wozu brauchst Du überhaupt PPPoE-Passthrough?
 
Also ich habe keine Probleme mit DNSSec und der FB, egal ob mit oder ohne DoT.
 
Ich vermute dass die Kindersicherung untersucht alle ankommende DNS
Pakete und gibt die weiter, aber diese Funktion kann nicht völlig
ausgeschaltet werden.
Ich verstehe noch nicht so wirklich, warum das auf DNSSEC Einfluss haben sollte. Nutzt der DNS Server auf dem Router DNSSEC? Oder geht es um Client Anfragen ins Internet? Was genau vermutest du da als Problem?

Könnte freetz-ng für meinem Anwendungsfall besser sein?
Was genau soll freetz-ng da für dich tun?
 
Was meinst Du mit Kindersicherung? Die von AVM?

Ja.

Kann man über einen Kinder-gesicherten Zugang PPPoE-Passthrough machen?

Es scheint so zu sein. Obwohl ich nur mit standard oder unbeschränkten Profile
probiert habe.

Aus reiner Neugierde: Wozu brauchst Du überhaupt PPPoE-Passthrough?

Ich möchte eine unabhängige Verbindung haben, sodass ich sie ohne mit der von
den Telefonen zu beeinträchtigen abschalten kann.

Ich verstehe noch nicht so wirklich, warum das auf DNSSEC Einfluss haben sollte.

Ich auch nicht:)

Nutzt der DNS Server auf dem Router DNSSEC?

Ja, es ist die Standardeinstellung und ich möchte lieber aus
Sicherheitsgründen das nicht deaktivieren.

Oder geht es um Client Anfragen ins Internet?

Bind schreibt:
"dnssec: warning: managed-keys-zone: Unable to fetch DNSKEY set '.': timed out"
"lame-servers: info: broken trust chain resolving"
in der Logdatei und deshalb sind alle DNSSEC-geschützten Clientanfragen nicht erfolgreich.

Was genau vermutest du da als Problem?

Ich vermute dass FritzOS manchen DNS-Weiterleitungsdienst, der DNSSEC nicht
unterstützt oder aus anderen Gründe Anfragen ändert, verwendet.

Was genau soll freetz-ng da für dich tun?

Ich hoffe dass freetz-ng mehr detaillierten Einstellungen dafür haben könnte.

Mindestens werde ich ein SSH-Zugang zu Verfügung haben, damit ich was innen passiert
beobachten kann.
 
Nicht jeder Provider DNS unterstützt DNSsec.

Wenn Google DNS oder so nutzt sollte es keine Probleme haben, läuft bei mir ohne Probleme.

Einzige was FB blockt wenn Hostnamen abfragst welche eine IP aus dem Heimnetz der FB zeigt.
 
AVM Kindersicherung: nur mit standard oder unbeschränkten Profile
1. Was genau hast Du bezüglich der Kindersicherung in der FRITZ!Box eingestellt?
einem anderen Router
2. Was ist das für ein Modell/Hersteller genau?
3. Welchen DNS-Server nutzt Du, den Deines Internet-Anbieters, einen öffentlichen Anbieter?
4. Direkt oder über andere Technologie wie DoT?
„Unable to fetch DNSKEY set '.': timed out“
Mein Tipp: Schneide auf der FRITZ!Box die Schnittstelle „1. Internetverbindung“ mit (Anleitung). Das könnte auch Deine Pass-through-Verbindung beinhalten. Schneide auch
(a) die Schnittstelle „LAN“ mit oder​
(b) zwischen FRITZ!Box und Router oder​
(c) direkt auf dem Router mit.​
Dann sehen wir, was raus geht. Und was Dein Router als Antwort erhält. Ich helfe Dir dann, diese Mitschnitte in Wireshark auszuwerten bzw. zu verstehen.
ich möchte lieber aus Sicherheitsgründen [DNSSEC] nicht deaktivieren
Ich bin ein großer Fan von DNSSEC und nutze es selbst intensiv. Aber DENSEC hat Stand heute nur ein äußerst begrenztes Anwendungsspektrum. Wozu brauchst Du DNSSEC genau?
Könnte freetz-ng für meinem Anwendungsfall besser sein?
Ideal wäre, Du würdest einen DSL-Router nehmen, der sich als DSL-Modem umkonfigurieren lässt. Dahinter bauen dann der Telefonie-Router (z.B. die FRITZ!Box) und Dein (jetziger) Internet-Router ihre PPPoE-Sitzungen auf. Weil Du kein Super-Vectoring hast, reicht schon ein DrayTek Vigor 130 für wenige Euro gebraucht aus eBay-Kleinanzeigen bzw. eBay.
 
Ich vermute, die Probleme sind einfach darauf zurückzuführen, dass der Quell-DNS Server kein DNSSEC unterstützt. Striktes DNSSEC klappt einfach in zu vielen Fällen noch nicht, das hab ich bei mir auch deaktiviert. Als Fallback sollte der reguläre DNS Betrieb ohne DNSSEC nach wie vor möglich sein. Bei DNESEC Fail kann man ja immer noch sehen, was man dann macht.

Die Fritzbox hat meines Erachtens nichts damit zu tun. DNSSEC leitet sie durch, auch wenn sie DNS Proxy ist (bei mir jedenfalls). Bei PPPOE kommt das aber nicht zum tragen, da ja direkt die PPP Pakete auf Schicht 2 durchgetunnelt werden. Da wird auch freetz-ng nicht helfen.
 
Nicht jeder Provider DNS unterstützt DNSsec.

Wenn Google DNS oder so nutzt sollte es keine Probleme haben, läuft bei mir ohne Probleme.

Einzige was FB blockt wenn Hostnamen abfragst welche eine IP aus dem Heimnetz der FB zeigt.

Ich vermute, die Probleme sind einfach darauf zurückzuführen, dass der Quell-DNS Server kein DNSSEC unterstützt. Striktes DNSSEC klappt einfach in zu vielen Fällen noch nicht, das hab ich bei mir auch deaktiviert. Als Fallback sollte der reguläre DNS Betrieb ohne DNSSEC nach wie vor möglich sein. Bei DNESEC Fail kann man ja immer noch sehen, was man dann macht.

Tatsache ist dass ohne FB in der Mitte alles problemlos funktioniert.

1. Was genau hast Du bezüglich der Kindersicherung in der FRITZ!Box eingestellt?

Ich habe nur die Zugriffberechtigung von "Standard" zu "Unbegrenzt" für
den einzigen Client (Router Nr.2) gewechselt.

2. Was ist das für ein Modell/Hersteller genau?

Es handelt sich um ein PCEngines SBC auf dem eine veränderte Version von Debian läuft.

3. Welchen DNS-Server nutzt Du, den Deines Internet-Anbieters, einen öffentlichen Anbieter?
Direkt oder über andere Technologie wie DoT?

Ich benutze Bind als Rekursivresolver. Es verlasst sich direkt auf den Root-Nameservern.

Mein Tipp: Schneide auf der FRITZ!Box die Schnittstelle „1. Internetverbindung“ mit (Anleitung). Das könnte auch Deine Pass-through-Verbindung beinhalten. Schneide auch
(a) die Schnittstelle „LAN“ mit oder​
(b) zwischen FRITZ!Box und Router oder​
(c) direkt auf dem Router mit.​
Dann sehen wir, was raus geht. Und was Dein Router als Antwort erhält. Ich helfe Dir dann, diese Mitschnitte in Wireshark auszuwerten bzw. zu verstehen.

Leider kann ich nicht deine Meinung verstehen.

Dies ist meine (simplifizierte) Netzwerktopologie:

mynetwork4.jpg
Wie sollte ich die ändern? (Bild gemäß Boardregeln als Vorschaubild eigebunden by stoney)

Ich bin ein großer Fan von DNSSEC und nutze es selbst intensiv. Aber DENSEC hat Stand heute nur ein äußerst begrenztes Anwendungsspektrum. Wozu brauchst Du DNSSEC genau?

Ich weiß dass es abgeschaltet werden könnte, aber das stört mich
und möchte eine Lösung zu finden versuchen.

Ideal wäre, Du würdest einen DSL-Router nehmen, der sich als DSL-Modem umkonfigurieren lässt. Dahinter bauen dann der Telefonie-Router (z.B. die FRITZ!Box) und Dein (jetziger) Internet-Router ihre PPPoE-Sitzungen auf. Weil Du kein Super-Vectoring hast, reicht schon ein DrayTek Vigor 130 für wenige Euro gebraucht aus eBay-Kleinanzeigen bzw. eBay.

Ich habe diese gebrauchte FB seit zwei Tage gekauft:)
Den DSL-Teil ist mir unnötig.

Die Fritzbox hat meines Erachtens nichts damit zu tun. DNSSEC leitet sie durch, auch wenn sie DNS Proxy ist (bei mir jedenfalls). Bei PPPOE kommt das aber nicht zum tragen, da ja direkt die PPP Pakete auf Schicht 2 durchgetunnelt werden. Da wird auch freetz-ng nicht helfen.

Es sollte so sich verhalten und ich werde natürlich nochmal probieren,
aber das Anzeichen zeigt etwas anderes.
 
Zuletzt bearbeitet von einem Moderator:
Tatsache ist dass ohne FB in der Mitte alles problemlos funktioniert.
Wie hast du das getestet? Und zu welcher Gegenstelle hast du überhaupt eine zweite PPPOE Verbindung aufgebaut?
Und warum eigentlich? Brauchst du das wirklich für VoIP? Kannst du den VoIP Client nicht hinter dem SBC Router betreiben?
 
PPPoE ohne DSL?

Wozu überhaupt 2x 7490 zwischen statt einen Switch oder so wenn eh einen Router betreibst?
 
lorbet möchte Internet gesondert von Telefonie abschalten können. Jedenfalls lese ich so seine Posts. Fraglich, ob man das nicht anders lösen könnte. Mir fällt gerade nichts Schönes ein. Die Kindersicherung vielleicht?
Wie sollte ich [meine Netzwerktopologie] ändern?
Mein Tipp ist, mitzuschneiden, also das Netz so zu lassen wie es ist. Durch den Mitschnitt sehen wir vielleicht was genau wirklich schief geht.

Ganz andere Frage nur zur Sicherheit, weil einige Deiner Sätze etwas ungewöhnlich sind: Wenn Deutsch nicht Deine Muttersprache ist und Du hier mit einem Übersetzungsprogramm arbeitest … lieber nicht. Kannst ruhig in Deiner Muttersprache schreiben. Wir kümmern uns dann um die Übersetzung. Bei so hochtechnischen Themen wie Telefonie und Internet sind nämlich automatisierte Übersetzungen Gift und führen zu wildesten Verirrungen. Aber wir nehmen Dich auch so an. War nur ein Vorschlag. Nicht aufgeben, kriegen wir hin. Stück für Stück. Also erstmal Mitschnitt. Dann sehen wir vielleicht was krumm ist.
 
lorbet möchte Internet gesondert von Telefonie abschalten können. Jedenfalls lese ich so seine Posts. Fraglich, ob man das nicht anders lösen könnte. Mir fällt gerade nichts Schönes ein. Die Kindersicherung vielleicht?

Examining the backup, I noticed the filters for active directory/theredo being still on for the pppoefw interface, even though they were unchecked as default. I tried toggling them and re-checksumming the backup, with inconsistent results so far.
I also switched to freetz-ng to have a look under the hood via ssh.

Mein Tipp ist, mitzuschneiden, also das Netz so zu lassen wie es ist. Durch den Mitschnitt sehen wir vielleicht was genau wirklich schief geht.

In the next few days I'm going to conduct an experiment by tapping dns traffic with tcpdump before and after the FB. Will report back my findings.

Ganz andere Frage nur zur Sicherheit, weil einige Deiner Sätze etwas ungewöhnlich sind: Wenn Deutsch nicht Deine Muttersprache ist und Du hier mit einem Übersetzungsprogramm arbeitest … lieber nicht. Kannst ruhig in Deiner Muttersprache schreiben. Wir kümmern uns dann um die Übersetzung. Bei so hochtechnischen Themen wie Telefonie und Internet sind nämlich automatisierte Übersetzungen Gift und führen zu wildesten Verirrungen. Aber wir nehmen Dich auch so an. War nur ein Vorschlag. Nicht aufgeben, kriegen wir hin. Stück für Stück. Also erstmal Mitschnitt. Dann sehen wir vielleicht was krumm ist.

No, I don't use any translation software. I studied German a long time ago, but that was mostly literature and technical terms aren't always available from dictionaries. In the interest of clarity, I will write in English from now on.
 
Wie hast du das getestet? Und zu welcher Gegenstelle hast du überhaupt eine zweite PPPOE Verbindung aufgebaut?

My ISP offers up to five concurrent ppp sessions if that's what you're asking.


Precisely. It's probably inefficient because of those wasted 8 bytes compared to e.g. IPoE. I read somewhere that my ISP needs it for user accounting and dynamic lease dropping.

Wozu überhaupt 2x 7490 zwischen statt einen Switch oder so wenn eh einen Router betreibst?

If I understand correctly, you're asking why not two routers connected in parallel via a switch?
It's an option, but I would lose the traffic-shaping feature for VoIP and hence have to always limit the bandwidth on the second router to account for that.
 
I tested everything again.
As final update I can say the culprit appears to be the "active directory dns" filter, that has to be disabled both in the ui mask and manually from the exported backup by setting:
Code:
dnsfilter_for_active_directory = no;
for the pppoe_fw interface. I'm not sure if this is a bug, do you think should I report it somewhere?

Anyway thanks everyone for your suggestions.

Regards
 
Reporting it does no harm (except your invested time, of course). As Frank wrote, from an architectural point of view, a separate PPPoE connection should bypass every service in the FRITZ!Box, especially its Firewall and other ‘security’ features. Having said that, the issue might not be repairable for AVM because it looks like a greater architectural bug. Anyway, it should be reported.

In your FRITZ!Box, on Sitemap, at the bottom the button ‘FRITZ!Box Support’, there are checkboxes for NAT hardware acceleration. I wonder if those are related as well. Anyway, with a software bug like this, I really recommend another implementation = another DSL modem. Who knows what other services are still changing this separate PPPoE connection.
nur Deutsch und Englisch hier
Gibt ja noch andere Foren-Mitglieder. Wichtig war mir, dass wir keine automatisierte Übersetzung erhalten. Problem mit solchen Übersetzungen ist, dass besonders im technischen Bereich schnell das falsche Wort reinrutscht. Bestenfalls ist es verwirrend. Schlimmstenfalls führt es zu einem Missverständnis. Selbst wenn man der Sprache nicht mächtig ist, die modernen Online-Übersetzer bieten die Möglichkeit auch Alternativen für einzelne Sätze und Satzteile anzuzeigen bzw. auszuwählen. Aber dafür brauchen wir den original Text.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.