[Problem] Selfhost. eu in 7490 einrichten

[Master1]

Ich habe eben mal in meinen Acc. Geschaut, aber dort auch keine Tele gefunden. Bleibt leider nur der Weg per Mail oder gar per Post. Bei mir gab es bei den Mails keine Probleme, sind alle angekommen in beide Richtungen. Hast du deine Sicherheitseinstellungen in diesem Fall ungünstig gewählt?

@PeterPawn: Habe eben durch Zufall einen Hinweis im Supportformular gefunden, vielleicht erklärt das dein Problem.

ZUM ZEITPUNKT SIND SUPPORT ANFRAGEN AN GMAIL-ADRESSEN NICHT MÖGLICH. Sollten Sie entsprechende Schwierigkeiten mit dem Kontakt haben, nutzen Sie bitte einen anderen Mailanbieter.

 

[KunterBunter]

Vielleicht funktioniert ja diese Nummer?

 

[PeterPawn]

vielleicht erklärt das dein Problem.

Die Erklärung an sich ist ohnehin ganz einfach: Die haben einen falsch aufgebauten SPF-Record in ihrer DNS-Zone, wie man leicht mit diversen "SPF checkers" auch auf verschiedenen Internet-Seiten überprüfen kann (z.B. hier: https://mxtoolbox.com/spf.aspx). Aber zumindest "bestätigt" dieser Hinweis dann meine Vermutung, daß auch andere MTA (Mail Transfer Agents - also in erster Linie SMTP-Server) sich nicht mit den falschen Daten anfreunden können bzw. wollen.

---

Hast du deine Sicherheitseinstellungen in diesem Fall ungünstig gewählt?

Was heißt "ungünstig"? Solche Probleme treten ohnehin nur alle Jubeljahre mal auf, wenn jemand den zugehörigen Standard im RFC7208 nicht korrekt umsetzt und dann kann ich (i.d.R.) auch auf den Empfang von Mails aus solchen Domains verzichten.

Denn dort sind sowohl die verfügbaren Mechanismen wie include beschrieben (https://datatracker.ietf.org/doc/html/rfc7208#section-5.2), also auch die Verwendung des a-Keywords (https://datatracker.ietf.org/doc/html/rfc7208#section-5.3), die hier wohl korrekt wäre, denn der sendende Server hat den DNS-Namen kirk.selfhost.de und auch die passenden A- bzw. AAAA-Records in der DNS-Zone für seine IPv4- und IPv6-Adresse(n).

Auch die Reaktion auf mögliche Probleme ist im RFC klar festgelegt: https://datatracker.ietf.org/doc/html/rfc7208#section-8 und bei einem permerror (https://datatracker.ietf.org/doc/html/rfc7208#section-8.7) sollen solche Mails eben mit einer 550-Message abgelehnt werden, was mein eigener Mail-Server auch genau so praktiziert ... und der von Google ja dann wohl ebenfalls, wenn Probleme mit GMail-Konten bestehen.

Rätselhaft ist mir hier nur die Ursache für das Fortbestehen des Problems ... entweder man versteht es bei selfhost.de nicht, worin die Ursache des Fehlers liegt (und seit 2014 ist das ein "offizieller" Standard im o.a. RFC7208) oder man ist der Ansicht, der eigene SPF-Eintrag wäre schon korrekt, man verwende ja andere Mechanismen (DKIM, s.u.) und wer den SPF-Record als falsch ansieht, der kriegt eben keine Mails. Jedenfalls ist so ein falscher Eintrag (zumindest bei meiner Konfiguration im Postfix) eigentlich "schlimmer", als wenn gar kein Eintrag existieren würde.

Dann wäre das Ergebnis "nur" none oder neutral und der Absender würde beim ersten Versuch nur mit einem temporären Fehler abgewiesen (sogenanntes "Greylisting") und wenn die Nachricht (von einem korrekt konfigurierten MTA) in einem weiteren Versuch nach mind. 5 Minuten erneut ausgeliefert werden soll, wird sie akzeptiert.

Das ist eine "durchaus übliche" Konfiguration und ich denke nicht im Traum daran, die irgendwie zu schwächen. Die allererste Prüfung bei mir erfolgt anhand eines SPF-Records, denn dabei werden nur minimale Ressourcen benötigt - alles andere ist deutlich aufwändiger (Kryptographie) und auch wenn heutzutage selbst die Spam-Schleudern schon mit SPF und DKIM arbeiten, bietet das doch immer noch einen "Grundschutz" gegen Spam-Versand über "gekaperte" Rechner/Server, deren wirkliche Besitzer damit nichts zu tun haben und "mißbrauchte" Absender-Adressen, nur weil man bei irgendwelchen Leuten im Adressbuch stand/steht und "mitgeerntet" wurde, als das Konto dort kompromittiert wurde.

---

Bleibt noch die Frage zu klären, ob man bei selfhost.de noch weitere Mechanismen wie DKIM (RFC6376) und DMARC (RFC7489 - was auf SPF und DKIM aufsetzt) verwendet.

Schaut man sich die Angaben dazu in der DNS-Zone an, so werden die Mails von dort wohl tatsächlich signiert:

vidar:~ $ dig @pri.selfhost.de _domainkey.selfhost.de. txt

; <<>> DiG 9.18.13 <<>> @pri.selfhost.de _domainkey.selfhost.de. txt
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36873
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;_domainkey.selfhost.de.                IN      TXT

;; ANSWER SECTION:
_domainkey.selfhost.de. 3600    IN      TXT     "o=-"

;; AUTHORITY SECTION:
selfhost.de.            345600  IN      NS      pri.selfhost.de.
selfhost.de.            345600  IN      NS      sec.selfhost.de.

;; ADDITIONAL SECTION:
pri.selfhost.de.        60      IN      A       82.98.82.20
sec.selfhost.de.        60      IN      A       185.26.156.9

;; Query time: 20 msec
;; SERVER: 82.98.82.20#53(pri.selfhost.de) (UDP)
;; WHEN: Wed May 24 12:22:35 CEST 2023
;; MSG SIZE  rcvd: 124

vidar:~ $ dig @pri.selfhost.de default._domainkey.selfhost.de. txt

; <<>> DiG 9.18.13 <<>> @pri.selfhost.de default._domainkey.selfhost.de. txt
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42595
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;default._domainkey.selfhost.de.        IN      TXT

;; ANSWER SECTION:
default._domainkey.selfhost.de. 3600 IN TXT     "v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDRdAv8Lq83QWmJdNbtlWC/YQ779HyF8B8xz0iOAsy79VNTLrRvnijSwXQYJ9kjs/K6c7UHd4wOduWt" "3cExYo1oFZqrMA4mGJtC1aYVqdgf2z0xkImsPNLAZeIaAcZCPCkdBR4GNtEdZrGV6oXdPG90OlWe5Er4/Ip4yj+uy8V67wIDAQAB;"

;; AUTHORITY SECTION:
selfhost.de.            345600  IN      NS      pri.selfhost.de.
selfhost.de.            345600  IN      NS      sec.selfhost.de.

;; ADDITIONAL SECTION:
pri.selfhost.de.        60      IN      A       82.98.82.20
sec.selfhost.de.        60      IN      A       185.26.156.9

;; Query time: 19 msec
;; SERVER: 82.98.82.20#53(pri.selfhost.de) (UDP)
;; WHEN: Wed May 24 12:26:43 CEST 2023
;; MSG SIZE  rcvd: 358

vidar:~ $

- nur erfolgt eine Prüfung der Signatur bei mir eben erst dann, wenn die SPF-Hürde überwunden wurde. Und das ist - wegen des fehlerhaften Aufbaus des SPF-Records - eben nie der Fall ... und wenn ich spekuliere und die GMail-Warnung dieselbe Ursache hat, wohl auch bei Google nicht.

Denn für die DKIM-Prüfung muß die Nachricht auch erst einmal komplett empfangen und "kanonisiert" (in ein definiertes Format gebracht) werden, bevor man den Hash erneut berechnen und mit dem in der Mail (der mit dem öffentlichen Schlüssel aus einem DKIM-Record in der DNS-Zone zunächst mal entschlüsselt werden muß) enthaltenen Wert vergleichen kann, um dann (einigermaßen) sicher sein zu können, daß diese Nachricht über einen Server ausgeliefert wurde, der über den zugehörigen privaten Schlüssel verfügen konnte.

Das ist alles zusätzlicher Aufwand ... und auch wenn in DMARC die SPF-Prüfung erst NACH der DKIM-Prüfung vorgesehen ist (https://datatracker.ietf.org/doc/html/rfc7489#section-6.6.2), verbietet einem niemand, den SPF-Eintrag auch schon VORHER zu prüfen. Und sofern der - wenn er tatsächlich existiert - ein gültiges Format hat, ändert das auch absolut nichts am Ergebnis - wenn man einen DNS-Server mit Cache befragt, braucht es nicht einmal einen weiteren (externen) DNS-Request für den SPF-Record, wenn (später im Zuge der Ziffer 4 im vorherigen Link) der SPF-Record erneut geprüft wird.

Wobei auch die Einträge in der Subdomain _dmarc.selfhost.de (wo eine DMARC-Policy ja ihren Platz hätte) für mich sehr seltsam aussehen und damit (afaik) auch eine gültige DMARC-Konfiguration eher unwahrscheinlich ist:

vidar:~ $ dig @pri.selfhost.de _dmarc.selfhost.de. txt

; <<>> DiG 9.18.13 <<>> @pri.selfhost.de _dmarc.selfhost.de. txt
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25933
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;_dmarc.selfhost.de.            IN      TXT

;; AUTHORITY SECTION:
selfhost.de.            2560    IN      SOA     pri.selfhost.de. hostmaster.selfhost.de. 1684922610 16384 2048 1048576 2560

;; Query time: 19 msec
;; SERVER: 82.98.82.20#53(pri.selfhost.de) (UDP)
;; WHEN: Wed May 24 12:04:09 CEST 2023
;; MSG SIZE  rcvd: 87

vidar:~ $ dig @pri.selfhost.de _dmarc.selfhost.de. any

; <<>> DiG 9.18.13 <<>> @pri.selfhost.de _dmarc.selfhost.de. any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47358
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;_dmarc.selfhost.de.            IN      ANY

;; ANSWER SECTION:
_dmarc.selfhost.de.     86400   IN      MX      20 dummy-smtp.selfhost.de.
_dmarc.selfhost.de.     60      IN      A       185.26.156.199

;; AUTHORITY SECTION:
selfhost.de.            345600  IN      NS      pri.selfhost.de.
selfhost.de.            345600  IN      NS      sec.selfhost.de.

;; ADDITIONAL SECTION:
dummy-smtp.selfhost.de. 86400   IN      A       82.98.82.20
pri.selfhost.de.        60      IN      A       82.98.82.20
sec.selfhost.de.        60      IN      A       185.26.156.9

;; Query time: 15 msec
;; SERVER: 82.98.82.20#53(pri.selfhost.de) (TCP)
;; WHEN: Wed May 24 12:04:21 CEST 2023
;; MSG SIZE  rcvd: 163

vidar:~ $

Es gibt also keinen nutzbaren Eintrag für eine DMARC-Policy, denn das wäre nach RFC7489 auch wieder ein TXT-Record: https://datatracker.ietf.org/doc/html/rfc7489#section-6.1 und was der MX- und der A-Eintrag in der Subdomain _dmarc.selfhost.de bewirken sollen, weiß ich auch nicht.

Wenn ich also nicht schwer auf dem Holzweg bin (und ich wüßte nicht, wo ich dorthin abgebogen wäre - sollte das so sein, gibt mir sicherlich jemand einen Tipp), sieht das mit der gesamten Mail- und DNS-Konfiguration für die Domain selfhost.de etwas seltsam aus - or short: it looks a bit strange to me.

Man setzt hier offenbar ausschließlich auf DKIM (was durchaus legitim wäre, wobei man dann bei mir dennoch ins Greylisting läuft), stellt aber parallel dazu auch noch einen ungültigen(!) SPF-Record bereit und der entpuppt sich hier dann als Pferdefuß.

---

@KunterBunter:
Kannst Du mir auch noch die Quelle dieser Nummer bzw. des Screenshots nennen? Ich bedanke mich zwar für dessen Bereitstellung, würde aber nur ungern einer kreativen Nutzung irgendeines Zeichenprogramms aufsitzen.

 

[KunterBunter]

» SelfHost

www.bds-doebeln.de

 

[totalverrückteruser]

Bei selfhost mahlen die Mühlen seeehr langsam.
Als in Firefox und Thunderbird vor Jahren TLS 1.1 deaktiviert wurden, lief deren Webmailer immer noch mit TLS1.1 und war dann nur mit manueller Ausnahme zu erreichen. Ich weiss garnicht, ob das mittlerweile behoben ist. Meine Mail an den Support blieb damals unbeantwortet.

 

[Master1]

Habe gestern (taggleich) eine Antwort bezüglich der Ipv4 & v6 erhalten muss mich da erstmal durchlesen (gerade keine Zeit) nur soviel das die Weiterleitung bei IPv6 wohl nur bedingt funktioniert und ich in der FB einen Wert von A auf AAAA umstellen muss. Werde in den nächsten Tagen etwas mehr Zeit haben und mich wieder mit beschäftigen.
Danke schon mal für euere rege Teilnahme und Hilfe zu diesem Thema!

 

[PeterPawn]

Solange das keine Anleitung nur für Dich ist, würden die andere bestimmt auch gerne mal lesen - es wäre also nett, wenn Du die hier irgendwie einstellst, solange da keine "persönlichen" Daten drin erscheinen.

Ich kann mich nämlich gerade beim besten Willen an keine Stelle im GUI einer FRITZ!Box erinnern, an der man irgendeine (direkte) (Aus-)Wahl zwischen A und AAAA bei einer Einstellung hätte und bin schon einigermaßen gespannt, wo das wohl sein mag.

 

[Master1]

So bin zwar noch nicht weiter dazu gekommen mich in die Mail einzulesen aber hier kurz der Inhalt der Mail.
@PeterPawn :Bin übrigens zum gleichen Schluss gekommen mit dem A und AAAA. Lasse mich da aber gern eines Besseren belehren!

Die IPv6 Zeile habe ich mit dem Leerzeichen gestern noch eingefügt aber keine Veränderung im Anmeldestatus feststellen können.

Hallo

Hier eine Beispielkonfiguration mit eine Fritzbox:

Bei IPV6 gibt es keine 'Portweiterleitungen' mehr.

Vorraussetzung ist das Ihr Internetanschluss unter
IPV6 erreichbar ist.

Für IPV6 müssen Sie in der Domainverwaltung den
Record der betreffenden Domain / Subdomain auf
AAAA umstellen bzw einen solchen erstellen. An
den Einstellungen für den DynDns Account ändert
sich nichts.

Wenn IPV4 definitiv nicht mehr genutzt wird müssen
Sie den oder die vorhandenen A Records der
betreffenden Domain / Subdomain löschen.

In der Fritzbox müssen Sie dann einen manuellen
Eintrag unter:

Internet -> Freigaben -> Dynamic Dns

vornehmen:

Wählen Sie bei 'Dynamic Dns Anbieter' -> Benutzerdefiniert aus

Tragen Sie bei 'Update URL' !! unverändert !! folgende Textzeile ein:

carol.selfhost.de/update?username=<username>&password=<pass>&hostname=<domain>&myip=<ip6addr>

soll gleichzeitig die IPV4 Adresse geupdatet werden so kopieren Sie die Zeile mit einem Leerzeichen getrennt
hinter die erste Zeile und ändern hier den letzten Parameter nach: myip=<ipaddr> um

Für 'Domainname' 'Benutzername' 'Kennwort'
benutzen Sie die Daten aus dem entsprechenden
DynDns Account Ihres Kundenkontos bei Selfhost.

Speichern Sie das Ganze durch Klick auf 'Übernehmen'

Mit diesen Einstellungen können Sie jetzt per IPV6
auf Ihre Fritzbox zugreifen sofern dort ensprechende
Funktionen aktiviert sind.

//--------------------------------------------------------------

Für den Zugriff auf Geräte in Ihrem Netzwerk
funktioniert das allerdings nicht. Die Geräte selbst
müssen mit IPV6 umgehen können ebenso, zB bei einem
Rechner, die verwendete Software.

Dazu müssen Sie im Router unter:

Internet -> Freigaben -> IPV6

zu dem zu erreichenden Gerät eine IPV6 Portfreigabe
einrichten. Das IPV6 DynDns Update muss dann von dem Gerät
aus erfolgen. Sie müssen dazu auch für jedes zu
erreichende Gerät eine eigene Subdomain / DynDns
Account anlegen weil jedes Gerät durch die Portfreigabe
seine eigene öffndliche vom Router unabhängige IPV6
Adresse bekommt.

Wenn Sie also zB nur einen NAS Server in Ihrem Netzwerk
erreichen wollen brauchen Sie DynDns nur für IPV4 in der Fritzbox
konfigurieren und für IPV6 eine -> IPV6 Portfreigabe
zu dem NAS einrichten. Das IPV6 DynDns Update muss dann von
dem NAS aus erfolgen.

//-------------------------------------------------------------

Beachten Sie das das Ganze per IPV6 nur von
IPV6 fähigen Internetanschlüssen aus erreichbar ist !

 

[frank_m24]

Also soll es doch mit zwei verketteten Aufrufen gehen, wie ich oben schon geschrieben habe. Wäre auch komisch gewesen, wenn nicht.

Für die IPv6 Problematik gibt es ja das Prefix Update. Ich weiß allerdings nicht, ob selfhost es erlaubt, in einem dyndns Account mehrere Sub-domains mit Host-IDs anzulegen und dann das Prefix dafür summarisch zu aktualisieren. Das liest sich erst mal nicht so. Aber das wäre dafür natürlich der Königsweg, wie es z.B. dynv6 oder myfritz machen, dann braucht man kein dyndns auf jedem Endgerät, sondern nur einmal in der Fritzbox.

 

[Master1]

So Sonntagabend da komme ich endlich mal zu was.
Das mit dem Record umstellen ist mir gänzlich unbekannt und wüsste ich demnach auch nicht, wo ich dies ändern sollte.

Die URL habe ich wie folgt eingetragen, mit dem Ergebnis, dass ich die v6 nur als angemeldet durchbekomme.

http://carol.selfhost.de/nic/update?myip=<ipaddr>&host=<domain> carol.selfhost.de/update?username=<username>&pass

word=<pass>&hostname=<domain>&myip=<ip6addr>

Ich vermute mal das es mit dem NAT der v6 zusammenhängt.
Werde das Thema bis zum GF Anschluss auf Eis legen, aktuelle komme ich ja noch über die v4 auf meine Technik.
Dass das mal so kompliziert werden könnte, hätte ich nicht gedacht.

Bei MyFritz habe ich mir auch eine Adresse angelegt.

Ich Danke euch allen für eure Hilfe!

Update: Mir sind gerade die Einstellungen bei IPv6 eingefallen kann dort der Fehler liegen? Schaut aktuell so aus.


Bild(er) als Vorschaubild(er) (siehe https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ ) eingebunden by stoney

 

[frank_m24]

Du musst Update-URLs eintragen. Der Hostname allein reicht nicht. Oben in der zitierten Mail hat ein cleverer Algorithmus das http wegoptimiert und einen Link aus dem Text gemacht.

 

[Master1]

Auch mit dem HTTP gibt es nur eine Anmeldung

http://carol.selfhost.de/nic/update?myip=<ipaddr>&host=<domain> http://carol.selfhost.de/nic/update?myip=<ip6addr>&host=<domain>

 

[armin56]

Ich nehme an, dass im Kundencenter von selfhost, erst die Hostnamen angelegt werden müssen. Einer als A-Record für die Ipv4 Adresse und einer als AAAA-Record für die Ipv6 Adresse.
Eventuell muss sogar der Update String in der Reihenfolge umgetauscht werden, also erst Ipv6 und dann hinten dran die Url für den Ipv4 Update. So könnte man die Beschreibung bei selfhost interpretieren.

Edit: Antwort aus #28.

 

[frank_m24]

@Master1: Du willst uns verkohlen, oder? Wenn das in #32 das Ergebnis aus der Support Mail ist, dann kann ich dir nur dringend raten: Lass es, und versuche niemals wieder mit Hilfe eines Supports oder eines Forums ein solches Problem anzugehen. Das hat nun wirklich gar nichts mit dem zu tun, was der Support dir geschrieben hat, oder was wir dir hier seit langem erklären.

 

[PeterPawn]

Ich nehme an, dass im Kundencenter von selfhost, erst die Hostnamen angelegt werden müssen.

So liest sich das tatsächlich ... nur wurde ja auch schon von erfolgreichen Updates berichtet, sowohl für die IPv4- als auch die IPv6-Adresse - nur eben nicht für beide gleichzeitig. Das würde - in meinen Augen - ja dafür sprechen, daß beide Einträge bei selfhost.de in deren Web-Interface korrekt angelegt sind.

---

Wobei dieses Stochern im Nebel ja ebenfalls nicht erforderlich ist ... es gibt in den Support-Daten (gerade eben anhand einer 07.51-Labor-Version noch einmal von mir geprüft) ja auch einen Abschnitt dyndns, in dem das Protokoll der Aktionen des ddnsd von AVM zu finden ist und darin wird auch haarklein aufgelistet, welche Prüfungen erfolgen und welche Updates versucht werden und das auch mit dem jeweiligen HTTP-Inhalt (Request + Response).

Da würde man also auch die jeweiligen Antworten des HTTP-Servers (carol.selfhost.de) sehen können ... falls der die Updates (es sollte beim verwendeten Format ja zwei davon geben) positiv quittiert, dürften die notwendigen Einstellungen bei selfhost.de auch stimmen.

Ich halte es nämlich nicht für unmöglich, daß tatsächlich auch mit den URLs in #32 ein Update funktionieren kann ... bei mir schickt jedenfalls der ddnsd auch bei JEDEM Update-Versuch einen HTTP-Header für die "basic auth" mit (den man im Protokoll dann "maskieren" sollte, wenn man es anderen zeigt, ebenso wie den eigenen Host-Namen und ggf. auch die (konkreten) IP-Adressen, aber mit Augenmaß) und diesem Header kann (bzw. wird) der Prozessor für den CGI-Request ebenfalls den Benutzernamen entnehmen (das Kennwort wurde - wenn REMOTE_USER gesetzt ist - bereits zuvor vom HTTP-Server geprüft und für richtig befunden) und solange dann in der QueryString keine Werte für username und password gesetzt werden, braucht es auch keine (eigene) Prüfung der Berechtigung(en) - spannend wäre hier ggf. noch, was bei widersprüchlichen Angaben im HTTP-Header und in der QueryString passiert bei selfhost.de.

Ist dann obendrein im Benutzerkonto für den verwendeten Account (identifiziert anhand des Benutzernamens) nur ein einziger Host-Name (bzw. eine Subdomain, das ist ja "DNS") konfiguriert, könnte sogar dieser eine als Fallback verwendet werden, wenn in der QueryString die korrekte Angabe (nach der Auskunft des Supports ja hostname und nicht host) dieses Wertes fehlt. Für mich ist es also keineswegs sicher, daß man mit dem Aufbau der URLs aus #32 KEIN gültiges Update bewirken kann ... sollte das so sein, würde ich aber auch vom DynDNS-Update-Service eine passende Antwort erwarten und auf solche Antworten (alles außer good oder nochg sollte ein Problem darstellen: https://help.dyn.com/remote-access-api/return-codes/) reagiert der ddnsd von AVM m.W. auch entsprechend - wobei auch hier wieder nicht festgelegt ist, wie auf eine Antwort "200 OK" im HTTP-Protokoll und meinetwegen ein (gleichzeitiges) badauth im HTTP-Content zu reagieren wäre; deshalb gibt es häufig auch Einstellungen für die "erwarteten" Antworten (was bei AVM aber auch nicht der Fall ist, auch nicht bei "benutzerdefiniert").

Denn es gibt eben auch keinen RFC für DynDNS-Updates per HTTP-Request - zumindest kenne ich keinen. Als Referenz kann man ggf. auf den DynDNS-Daemon von OpenWRT zurückgreifen, wobei dort für selfhost.de auch nur ein Mechanismus für IPv4-Updates hinterlegt ist: https://github.com/openwrt/packages...files/usr/share/ddns/default/selfhost.de.json (bei IPv4 + IPv6 sähe das z.B. so aus: https://github.com/openwrt/packages...files/usr/share/ddns/default/duckdns.org.json).

Aber da kocht auch jeder Programmierer so eines CGI-Prozessors mehr oder weniger sein eigenes Süppchen und daher kann man dort auch die jeweiligen Antworten (für den Erfolgsfall) hinterlegen: https://github.com/openwrt/packages...ts/files/usr/share/ddns/default/ddnss.de.json - dabei gibt es aber auch keine standardisierte Angabe für IP-Adressen und deren Formate.

Im "ursprünglichen" API (damals noch dyndns.org, heute dyn.org) war das "Aufzählen" von IP-Adressen mit Kommata zwischen den Adressen vorgesehen (https://help.dyn.com/remote-access-api/perform-update/), womit sich der Wert auch wieder leicht (durch einen einzigen zusätzlichen Aufruf, der beim Fehlen eines Kommas im Wert auch keine (negativen) Auswirkungen hat) in ein Array überführen ließ.

Aber daraus ergibt sich auch sofort wieder die nächste Frage ... bei einem Router in einer Kaskade, der seinerseits nur eine "nicht-routbare" IPv4-Adresse auf seiner WAN-Seite hat, wird ja auch gerne darauf zurückgegriffen, daß der DynDNS-Provider gar nicht die IP-Adresse aus der QueryString eines Requests verwendet, sondern die Adresse, von der das Update bei ihm erfolgt und auch hier ist m.W. NICHTS geregelt, was bei widersprüchlichen Angaben am Ende in der DNS-Zone einzutragen wäre.

Schon ein Update mit einer IPv4-Adresse in der QueryString, das als HTTP-Request per IPv6 beim Server ankommt, dürfte bei vielen dieser Anbieter äußerst unterschiedliche Reaktionen hervorrufen und zu unterschiedlichen Ergebnissen führen, solange man das nicht über Parameter in der QueryString noch genauer festlegen kann. Ähnliches gilt für ein Update, wo in der QueryString eine andere IPv4-Adresse (die bereits erwähnte, nicht zu routende) angegeben ist und der Provider am Ende dennoch die IP(v4)-Adresse, von der der Update-Request kam, verwendet.

---

Nur müßte man für eine Fehlersuche ohne Glaskugel eben auch mal das Protokoll (hier) zeigen ... mit den bereits erwähnten "Maskierungen", was Host-Namen, IP-Adressen und - sofern vorhanden - auch im Authorization: Basic ...-Header und (falls auch MyFRITZ! verwendet wird für DynDNS) auch den Benutzernamen in einem Authorization: Digest ...-Header anbelangt. Der Rest sollte "unkritisch" sein im Hinblick auf "persönliche Daten" (auch der Rest in einem Digest-Header, der halt "kryptisch" aussieht) ... also kein Grund, damit hinter dem Berg zu halten.

Was man halt nur "von Hand" hinbekommen kann, ist die SYSTEMATISCHE Prüfung, was ein (einzelnes) Update wirklich bewirkt - dazu müßte man eben mit wget und dig (bzw. nslookup) erst ein Update (und zwar MIT Anzeige der HTTP-Ausgabe inkl. aller Header) ausführen (lassen) und danach das Ergebnis in den DNS-Daten prüfen ... und zwar sowohl für irgendwelche IPv4- als auch IPv6-Adressen und nicht nur für die Einträge, für die man dabei Änderungen "erwartet" (also auch dann IPv4 überprüfen, wenn man ein IPv6-Update ausgeführt hat). Denn das macht der ddnsd von AVM am Ende auch (soweit ich das bisher gesehen habe) - er überprüft immer (zeitverzögert nach dem Update) BEIDE Formate von IP-Adressen, wenn er Updates ausgeführt hat.

---

Der "implizite" Wert des MyFRITZ!-DynDNS für touchtime (die Angabe, wann ein erneutes Update erfolgen soll, auch wenn sich die Adresse(n) seit dem letzten erfolgreichen Update nicht geändert hat/haben) ist - nebenbei bemerkt - auch nur 86400 Sekunden (also ein Tag), wobei nicht der Zeitpunkt der Verifikation als Start gilt, sondern tatsächlich der Zeitpunkt des Updates. Beim "benutzerdefinierten" Service könnte es sogar darauf hinauslaufen, daß es solche Updates (für nicht geänderte Adressen) gar nicht mehr gibt (ab 07.5x), denn der (über das GUI nicht änderbare) Wert für touchtime bei diesem Eintrag stand bisher immer auf touchtime = 0w; - was diese (automatische) Erneuerung der Registrierung deaktiviert(e).

Es gibt aber immer noch auch (DynDNS-)Provider, die für korrekte Funktion ein Update innerhalb eines vorgegebenen Zeitraums erwarten ... dann muß man - sofern der eigene (Internet-)Provider keine Zwangstrennung vornimmt - sich irgendwie selbst darum kümmern, daß solche Updates irgendwann auch mal erfolgen; notfalls durch Editieren der touchtime in der ar7.cfg. Die Notwendigkeit regelmäßiger Updates entfällt (in aller Regel) nur dann, wenn man sich einen kostenpflichtigen Account bei einem Provider zulegt - dann interessiert sich niemand dafür, ob die Subdomain auch tatsächlich genutzt wird, solange die Zahlungen regelmäßig eingehen. Aber bei kostenlosen Accounts ist es auch heute noch Usus (exemplarisch: https://www.noip.com/de-DE/remote-access), daß regelmäßig das Interesse an dieser Subdomain "erneuert" werden muß (entweder durch Update oder irgendwie anders per GUI o.ä.).

Ich bin aber nicht wirklich sicher, wie sich das beim ddnsd geändert hat, als AVM die ganzen vordefinierten Provider abgeschafft und parallel dazu "versäumt" hat, ein paar weitere Werte (livedelay - die Zeitspanne, die zwischen "online" und einem Update gewartet wird, damit mehrfache Neustarts nacheinander nicht das Update-Limit per Zeitintervall reißen, was bei vielen (DynDNS-)Providern auch noch gilt - und touchtime) wenigstens als "zusätzliche Einstellungen" zugänglich zu machen (EDIT: über das Variablen-Interface (Lua oder auch ctlmgr_ctl) lassen die sich schon heute setzen, nur fehlt eben die Umsetzung im GUI).

Meinen "Test-Boxen" kann man dabei nicht trauen, denn die haben i.d.R. eben KEINE öffentlichen (IPv4-)Adressen und das prüft AVM zumindest mal ab und zeigt es dann auch an, wenn man dennoch einen DynDNS-Service einrichten will in der Box. Für einen "richtigen" Test ist es aber (für mich) auch noch zu früh - für solche Änderungen (in den Neuigkeiten steht dazu auch nur: - Änderung Vordefinierte Auswahl von DynDNS-Anbietern durch eine allgemeine Einstellmöglichkeit ersetzt) lohnen sich Test meines Erachtens erst dann, wenn es tatsächlich eine Release-Version gibt und das ist (für die bei mir vorhandenen FRITZ!Box-Modelle) bisher nur bei der 7590 überhaupt der Fall.