Setup-Problem mit ddnss und ipv6

[BenaresNeu]

Aber du brauchst trotzdem, wie ich, auch DDNS. Aber das Update geht schnell und zeitnah (Update-URL für ipv64.net mit TTL von 10s) durch die Fritte.
Bei denen gefällt mir, dass man bei den AAAA-Records auch nur den IPv6-Interface-Identifier oder MAC der internen Geräte fest eintragen kann und der Prefix durch ein Prefix-Update hinzukommt und es umsonst ist. So hat man auch gleich Namen für die IPv6 der internen Geräte (z.B. ds1522.<meinedomain>.ipv64.net usw.).

 

[stoney]

Ich brauche keine MyFRITZ!Freigabe-Alternative.

Wo habe ich bestritten, keinen OutOfTheBox DDNS-Dienst und dementsprechend Client zu nutzen?

Was hat das genau mit dem Thema zu tun?

Sorry ich fühle mich aktuell hier wirklich so, als würde ich neben der Spur laufen, wenn es um diesen Thread hier geht.

 

[BenaresNeu]

Ja, man könnte "MyFRITZ!Freigabe-Alternative" dazu sagen, aber es funktioniert halt auch ohne MyFRITZ!Freigabe.

 

[sonyKatze]

Auch als ich den PiHole nicht am Laufen hatte, war kein Rebind-DNS-Eintrag nötig.

OK. Dann hatte #17 falsch verstanden und weiß ich auch nicht weiter. Man könnte nochmal mittels Wireshark testen, ob der Computer wirklich eine Anfrage macht oder ob die irgendwie ge-cache-t wurde. Und man könnte auf der FRITZ!Box einen Paket-Mitschnitt machen, also im WAN, ob die wirklich eine Anfrage macht oder irgendwie ge-cache-t hat; wobei das für den Rebind-Schutz egal sein müsste.

Zwangstrennung

Ist egal. Bedeutend ist, dass Du bei jeder Einwahl ein anderes IPv6-Präfix bekommst, also kein statisches sondern ein dynamisches IPv6-Präfix hast. Einige Dynamic-DNS-Anbieter gibt man dann das Präfix+MAC und die berechnen die aktuelle IPv6-Adresse. Dann kann die FRITZ!Box sogar den Dynamic-DNS-Client spielen, auch für Geräte im Heimnetz. Das entspricht dann, was MyFRITZ! macht. Ich vermute das sind die Alternativen, die @BenaresNeu meinte.

Bei anderen Dynamic-DNS-Anbietern muss man die GUA komplett übergeben – und das geht dann bei einem dynamischen IPv6-Pärfix nur vom Gerät selbst.

 

[stoney]

Also einen letzten Test habe ich jetzt noch gemacht.

Der PiHole wurde per IPv6 und IPv4 via DHCP befragt und liefert die korrekte externe IPv4 und IPv6.

Die FRITZ!Box liefert jedoch keine IPv6 zurück. (in den Netzwerkeinstelllungen habe ich wieder die F!Box als DNS Server angegeben und den NIC de-/aktiviert).

Da es mich nicht tangiert und warum auch immer es ohne Rebind-Schutz funktioniert müsste dann wohl ein Anderer weiter untersuchen.

PS: Ich hab mal die IP-Verbindung getrennt, sodass auch ersichtlich ist, dass die Auflösung auch nach dem Aktualisieren des Präfixes mein DDClient also soweit alles wie "immer" erledigt - die Box und auch der PiHole verwenden die selben Upstream-DNS-Server.

Irgendwo in einem anderen DynDNS-Thread müsste ich auf meinen Weg bereits eingegangen sein - natürlich ist klar, dass es Unterschiede bei den verschiedenen Anbietern gibt.

 

[Hagen2000]

Jetzt hat dich aber der Ehrgeiz gepackt!
Du könntest nun bitte mal versuchsweise in der FRITZ!Box eine Ausnahme beim DNS-Rebind-Schutz eintragen und dann sollte sie auch die IPv6 liefern.
Nachtrag: Aufgefallen ist mir noch, dass die DNS-Anfragen zuerst mit dem Suffix „fritz.box“ erfolgen und erst dann ohne. Das ist doch ineffizient.

 

[stoney]

Also wenn dann, wirkt sich der DNS-Rebind-Schutz wohl nur auf IPv6 aus, sollte die F!Box für die Auflösung zuständig sein.

Hier die Ergebnisse mit eingetragener Domain und der F!Box per DHCP vergeben - NIC selbstverständlich weiterhin nach jeder Änderungen neu gestartet.

Jedoch kann ich in allen Fällen meine NC von intern sowie extern erreichen.

##

Nachtrag:...

Wenn dann wird dies wohl dem Rebind-Schutz geschuldet zu sein, da die F!Box ja zunächst im eigenen Subnet nach den Adressen sucht und wenn diese dort nicht gefunden wird, gehts ins Internet - zumindest für mein Verständnis.

BTW:

Ob Rebind-Schutz oder nicht, ohne IPv6 gibt NC ein Sicherheitsproblem aus.

 

[Hagen2000]

Also wenn dann, wirkt sich der DNS-Rebind-Schutz wohl nur auf IPv6 aus, sollte die F!Box für die Auflösung zuständig sein.

In deinem Fall ist das so, weil bei IPv4 ja die externe Adresse deiner FRITZ!Box aufgelöst wird (was ja auch der Normalfall ist).
Wenn Du den ganzen Thread nochmal aufmerksam durchgehst, wirst Du sehen, dass BenaresNeu und ich bei IPv4 immer zwischen externer und einer internen IPv4-Adresse unterschieden haben.

Jedoch kann ich in allen Fällen meine NC von intern sowie extern erreichen.

Weil Du einen Dual-Stack hast, merkst Du ggf. gar nicht, wann Du per IPv4 oder IPv6 zugreifst.

Zur Meldung von NC kann ich Dir leider nicht weiter helfen.

 

[stoney]

Ok - hier nochmals soweit mir möglich - man möge mir gerne anderweitige Möglichkeiten aufzeigen, wie ich es noch deutlicher nachvollziehbar machen kann.

Daher ist mir der "DNS-Rebind-Schutz" schon immer ein Rätsel, da ich diesen bisher noch nie (selbst oder anderweitig) benötigte

Aber die NC Meldung ist weg - wird wohl wie so oft damit zusammengehangen zu haben, das ich diese geupdated habe auf v32... - aber es sei mir verziehen, das kann den Besten passieren

 

[BenaresNeu]

Nutzt du überhaupt IPv6 auf deinem PC? Sieht nicht so aus.
Dann wirst du auch vom Rebind-Schutz nichts merken, da du ja nie die interne IPv6 deines NC nutzt, selbst wenn sie aufgelöst werden würde.

 

[stoney]

Ich habe extra IPv6 deaktiviert, da nach IPv4 gefragt wurde - zuvor wurde die Verbindung, wie ja meist, bevorzugt dann per IPv6 aufgebaut und in der NC wurde diese dementsprechend angezeigt, statt der IPv4 der FRITZ!Box bzw. der NC über Port 443.

Nachdem es sich also nicht nachstellen lässt, belasse ich meine Test vorerst soweit, nachdem es bei mir also scheinbar eigenartigerweise auch ohne den Rebind-Schutz in allen Situationen funktioniert.

Und der Vollständigkeit halber, ja, ich habe in den IPv4 und IPv6 Einstellungen der FRITZ!Box, wieder deren IPs eingetragen für die Vergabe per DHCP und habe den NIC de- und wieder aktiviert nach einer Änderung.

 

[Hagen2000]

da nach IPv4 gefragt wurde

Wer / welcher Beitrag? Es ging immer um IPv6.

Nachdem es sich also nicht nachstellen lässt

Du hattest es doch in #45 schon durch Mitschnitte nachgewiesen!

Die FRITZ!Box liefert jedoch keine IPv6 zurück

Und sogar in eigenen Worten bestätigt.

Ich verstehe daher den Sinn deiner Beiträge ab #49 leider nicht.

 

[stoney]

Wenn Du den ganzen Thread nochmal aufmerksam durchgehst, wirst Du sehen, dass BenaresNeu und ich bei IPv4 immer zwischen externer und einer internen IPv4-Adresse unterschieden haben.

Also ich kann jetzt als letztes was mir einfällt, euch noch Screenshots bei only IPv6 erstellen - wie geschrieben, wird bei DualStack auf dem NIC bevorzugt IPv6 verwendet.

Aber wie geschrieben, bei mir funktioniert es kurioserweise ohne, bei anderen nicht - da ich keine Probleme habe, verfolge ich dies daher nicht weiter, außer jemand erfragt ein detailliertes Szenario/Setup, welcher selbst betroffen ist.

 

[Hagen2000]

Das Zitat hast Du aber aus dem Zusammenhang gerissen, da fehlt der Satz davor, es ist ja die Begründung dafür, warum es bei IPv4 bei Dir kein Problem gibt und somit IPv4 aus der Betrachtung rausfällt.
Ich stimme Dir zu, dass wir hier jetzt Schluss machen.