[Gelöst] Standortübergreifende DNS-Auflösung der lokalen Hosts mit FritzBox-VPN?

[orkan95]

Nunja, ich hab ja nie behauptet, dass die Win Clients die Ursache sind, sondern dass der Fehler in der FB liegt. Aber bisher ne Vermutung.
IPv6 hatte ich aus- und wieder eingeschaltet. Deshalb die Anzeige vorher.

Nun liefert die interaktive Variante von nslookup folgendes. Zwei Abfragen, einmal ohne abschließenden Punkt (mein Fehler), einmal mit:

--------------------------------------------------------------------------------------------------------------------
nslookup
Standardserver: fritz.box
Address: 192.168.0.1

> set debug
> lotte-fbox04
Server: fritz.box
Address: 192.168.0.1

------------
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NXDOMAIN
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0

QUESTIONS:
lotte-fbox04.fritz.box, type = A, class = IN
AUTHORITY RECORDS:
-> fritz.box
ttl = 9 (9 secs)
primary name server = fritz.box
responsible mail addr = admin.fritz.box
serial = 1416341275
refresh = 21600 (6 hours)
retry = 1800 (30 mins)
expire = 43200 (12 hours)
default TTL = 10 (10 secs)

------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NXDOMAIN
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0

QUESTIONS:
lotte-fbox04.fritz.box, type = AAAA, class = IN
AUTHORITY RECORDS:
-> fritz.box
ttl = 9 (9 secs)
primary name server = fritz.box
responsible mail addr = admin.fritz.box
serial = 1416341275
refresh = 21600 (6 hours)
retry = 1800 (30 mins)
expire = 43200 (12 hours)
default TTL = 10 (10 secs)

------------
*** lotte-fbox04 wurde von fritz.box nicht gefunden: Non-existent domain.
> lotte-fbox04.
Server: fritz.box
Address: 192.168.0.1

------------
Got answer:
HEADER:
opcode = QUERY, id = 4, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0

QUESTIONS:
lotte-fbox04, type = A, class = IN
ANSWERS:
-> lotte-fbox04
internet address = 192.168.1.1
ttl = 9 (9 secs)

------------
Nicht autorisierende Antwort:
------------
Got answer:
HEADER:
opcode = QUERY, id = 5, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0

QUESTIONS:
lotte-fbox04, type = AAAA, class = IN
AUTHORITY RECORDS:
-> (root)
ttl = 1798 (29 mins 58 secs)
primary name server = a.root-servers.net
responsible mail addr = nstld.verisign-grs.com
serial = 2014111801
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 604800 (7 days)
default TTL = 86400 (1 day)

------------
Name: lotte-fbox04
Address: 192.168.1.1
--------------------------------------------------------------------------------------------------------------------

lotte-fbox04 ist die entfernet Fritzbox mit der Adresse 192.168.1.1.
Ja, ich verstehe Deine Erklärung, dass die FB da nicht sauber antwortet. Mit den Einstellungen aus #3 hätte ich erwartet, dass die lokale Box die DNS-Anfrage an die entfernte Box weiterleitet und diese sich ja nun selbst kennt und entsprechend antwortet. Richtig?

Und wie ich auf einem Androiden einen Paketmitschnitt machen soll weiß ich einfach nicht ...

 

[sf3978]

nslookup liefert:
nslookup <Name der entfernten Fritzbox>
Server: fritz.box
Address: fd00::3631:c4ff:fe07:4ee7

*** <Name der entfernten Fritzbox> wurde von fritz.box nicht gefunden: Non-existent domain.

Versuch mal, nach dem Du den dns-cache gelöscht hast, in deinem Windows:

nslookup -q=A <Name der entfernten Fritzbox> <IP-Adresse der lokalen FritzBox>
nslookup -q=A <Name der entfernten Fritzbox> <IP-Adresse der entfernten FritzBox>
nslookup -q=A <Name der lokalen Fritzbox> <IP-Adresse der lokalen FritzBox>

 

[orkan95]

here u go:

ipconfig /flushdns

Windows-IP-Konfiguration

Der DNS-Auflösungscache wurde geleert.

C:\WINDOWS\system32
nslookup -q=A lotte-fbox04 192.168.0.1
Server: fritz.box
Address: 192.168.0.1

*** lotte-fbox04 wurde von fritz.box nicht gefunden: Non-existent domain.

C:\WINDOWS\system32
nslookup -q=A lotte-fbox04 192.168.1.1
Server: fritz.box
Address: 192.168.1.1

Name: lotte-fbox04.fritz.box
Address: 192.168.1.1


C:\WINDOWS\system32
nslookup -q=A lotte-fbox03 192.168.0.1
Server: fritz.box
Address: 192.168.0.1

Name: lotte-fbox03.fritz.box
Address: 192.168.0.1

 

[PeterPawn]

Nunja, ich hab ja nie behauptet, dass die Win Clients die Ursache sind, sondern dass der Fehler in der FB liegt. Aber bisher ne Vermutung.

Ja, meine Reaktion war vielleicht auch etwas heftig ... ich hasse es, wenn ich nach irgendwelchen "Rezepten" gefragt werde, weil ich lieber versuche, Zusammenhänge aufzuzeigen (auch wenn die nicht jeden interessieren, ist halt meine Philosophie - das mit dem Fisch und dem Fischen).

Wenn Du Dir das nslookup ansiehst, kannst Du ja genau das bisher geschriebene sehen. Beim ersten Versuch fragt das Windows die FRITZ!Box nach einer IPv4-Adresse von lotte (A) und beim zweiten Versuche (immer noch die erste Abfrage) nach einer IPv6-Adresse (AAAA) ... aber beide Male mit der Adresse "lotte-fbox04.fritz.box". Beide Abfragen werden dann auch mit "NXDOMAIN" beantwortet.

Bei der zweiten Abfrage (mit Punkt) fragt Windows dann nicht mehr mit ".fritz.box" dahinter und siehe da, die FRITZ!Box antwortet mit der Adresse der FRITZ!Box auf der anderen Seite.

Got answer:
    HEADER:
        opcode = QUERY, id = 4, rcode = [COLOR="#FF0000"]NOERROR[/COLOR]
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        [COLOR="#FF0000"]lotte-fbox04[/COLOR], type = A, class = IN
    ANSWERS:
    ->  lotte-fbox04
        [COLOR="#FF0000"]internet address = 192.168.1.1[/COLOR]
        [COLOR="#00FF00"]ttl = 9 (9 secs)[/COLOR]

Da sieht man sowohl die Antwort der FRITZ!Box als auch die vorher mal erwähnten 9 Sekunden TTL für interne Namen.

Warum die Box jetzt diese Adresse partout nicht als "lotte-fbox04.fritz.box" auflösen will, kannst Du nur mit den Support-Daten der Box (oder besser mit den schon mal aufgezeigten Kommandos direkt in einer Telnet-Shell, das ist übersichtlicher) ermitteln. Ich würde zunächst mal darauf tippen, daß Du der VPN-Verbindung auch diesen Namen gegeben hast, allerdings erklärt das noch nicht, wieso die Androiden auch weiter ins LAN auf der Gegenseite kommen.

Wenn Du das nslookup (meinetwegen auch ohne Debug) mal mit einer Adresse aus dem entfernten LAN probierst (natürlich auch in beiden Formen, wenn die andere jeweils nicht funktioniert), kriegt das Windows dann auch eine gültige Antwort für "tiefere Geräte" ?

Ich kann mir die verweigerte Reaktion auf "fritz.box" auch deshalb nicht richtig erklären, weil ja nach #3 das extra in den Rebind-Ausnahmen auftauchen soll.
EDIT: #23 macht das noch etwas mysteriöser ... die Antwort wird ja jeweils auch als ".fritz.box" gegeben.

 

[sf3978]

nslookup -q=A lotte-fbox04 192.168.1.1
[color=red]Server:  fritz.box[/color]
Address:  192.168.1.1

Name:    lotte-fbox04.fritz.box
Address:  192.168.1.1

nslookup -q=A lotte-fbox03 192.168.0.1
[color=red]Server:  fritz.box[/color]
Address:  192.168.0.1

Name:    lotte-fbox03.fritz.box
Address:  192.168.0.1

Könntest Du deine zwei FritzBoxen nicht so konfigurieren, dass diese unterschiedliche Namen bzw. unterschiedliche domains haben? Beide haben fritz.box als Name bzw. domain.

 

[orkan95]

Wenn ich wüsste, wie das geht?!
Ich hab denen ja schon die Namen lotte-FBox03 bzw ...04 gegeben (Heimnetz > Fritzbox Name). Aber fritz.box behalten die offenbar trotzdem bei. Keine Ahnung, wie ich das loswerden kann.

 

[PeterPawn]

Es sieht also (auch nach #23) so aus, daß die FRITZ!Box die Adresse der entfernten FRITZ!Box nicht als Bestandteil des lokalen Netzes ansieht und daher die Windows-Standardabfrage, die die Suchdomain dahinter hängt, fehlschlägt. Wie die genauen Einträge für die bekannten Hosts im DNS aussehen, steht immer noch in den Support-Daten bzw. in den erwähnten Kommandos.

Nun kann es natürlich sein, daß die FRITZ!Box solche Adressen, die mit der Rebind-Ausnahme in Verbindung stehen, intern irgendwie besonders kennzeichnet und deshalb die Abfrage mit ".fritz.box" fehlschlägt für entfernte Adressen.

 

[orkan95]

Du hast mich endgültig abgehängt ...

 

[PeterPawn]

Wenn Du es ganz platt möchtest, sollte es sogar funktionieren, im Browser die Adresse auch mit abschließendem Punkt einzugeben.

 

[orkan95]

in Chrome nehme ich ein abschließendes "/". Ja, und das funzt für die lokale Box, aber nicht für die entfernte.

 

[PeterPawn]

in Chrome nehme ich ein abschließendes "/". Ja, und das funzt für die lokale Box, aber nicht für die entfernte.

Ich meinte durchaus eine Adresse der Form "http://lotte-fbox04./" (der abschließende Slash ist Luxus).

Wenn Du kein Telnet auf der Box benutzen kannst/willst, hole Dir die Support-Daten von der Box und suche darin nach DNS. Da sollte man sehen können, was der DNS-Proxy der Box kennt und was nicht.

 

[orkan95]

Wenn Du kein Telnet auf der Box benutzen kannst/willst, hole Dir die Support-Daten von der Box und suche darin nach DNS. Da sollte man sehen können, was der DNS-Proxy der Box kennt und was nicht.

bin lost ...

 

[orkan95]

Ich meinte durchaus eine Adresse der Form "http://lotte-fbox04./" (der abschließende Slash ist Luxus).

Hoppla, das geht ......
auch ping lotte-fbox04. geht (mit abschließendem Punkt!)

 

[PeterPawn]

bin lost ...

Wegen der Support-Daten oder wo bist Du verloren gegangen ?

1. Probiere mal im Windows (meinetwegen im IE) den Aufruf von "http://lotte-fbox04.".

2. FRITZ!Box-Oberfläche, unten auf "Inhalt", dann wieder unten auf "FRITZ!Box Support", dann auf "Support-Daten erstellen"

Das gibt eine Textdatei als Download, in der wichtige Daten/Einstellungen der FRITZ!Box stehen. Diese Datei nicht posten, sondern im Texteditor öffnen und nach einem Abschnitt "SECTION DNS" (oder so ähnlich) suchen, dann lesen.

 

[orkan95]

verstehe. Mach ich ...
Übrigens:
In #33 sagte ich, das sogar der ping geht, wenn ich einen Punkt ans Ende setze. Das ging genau einmal. Nun nicht mehr.

 

[orkan95]

Support-Daten hab ich erstellt und gelesen. Aber leider keine Ahnung, wonach genau ich suchen soll ...

 

[PeterPawn]

Die Änderung der internen FRITZ!Box-Domain von "fritz.box" in einen anderen Wert ist imho nicht mehr möglich, der Name ist u.a. im multid wohl fest verdrahtet.

Support-Daten hab ich erstellt und gelesen. Aber leider keine Ahnung, wonach genau ich suchen soll ...

Jeweils nach den Sektionen mit den DNS-Einstellungen. Die beginnen alle mit einem

##### BEGIN SECTION

und für Dein Problem sind die mit den folgenden Inhalten interessant:

resolve resolve.conf
avm_resolve avm-resolve.conf
dns_server DNS configuration

Diese Sektionen dann zeigen (ggf. verfremden, aber so, daß man noch sieht, um was es da geht, also 192.168.0.1 meinetwegen in 192.169.a.b (dann aber konsistent) ändern und nicht in 192.168.*.*).

Wirklich entscheidend ist die dns_server-Sektion, da steht dann u.a. drin, welche Namen die FRITZ!Box so auflösen kann und welche sie zuletzt gelernt und (wg. TTL) wieder vergessen hat. Da muß dann auch irgendwo ein "lotte-fbox04"-Eintrag stehen und an dem kann man dann sehen, ob der von lokal oder aus der Ferne kommt.

Der Test mit der Abfrage eines DNS-Namens aus dem entfernten Netz, bei dem es sich nicht um "lotte-fbox04" handelt, steht ja auch noch aus ... Du hast geschrieben, vom Android aus geht es und solltest/wolltest das vom Windows aus auch noch mal versuchen (mit und ohne Punkt).

 

[rob7xiv]

Hallo zusammen, die Tips mit dem DNS Rebind haben mir auch geholfen.

Bei einem Kunden musste ich IPv6 am PC deaktivieren, war sowieso nur Local. Danach ging es.

 

[Theo Tintensich]

Auch noch meinen Senf zu einem sehr alten Thread ;

Ich hatte damals zwei netze über den F!B-VPN-Tunnel verbunden.
Da die beiden Netze ja sowieso unterschiedliche IP-Bereiche haben müssen, habe ich ihnen auch unterschiedlich "TLD" gegeben.
Damit das dann funktionerte arbeitete in jedem Netz ein Linux-System als DNS-Server, der bei bedarf den DNS-Server im anderen Netz abfragte, da dessen "TLD" dort als authoritiver Name-Server eingetragen war.

Als TLD kann man zum Beispiel alles nehmen, was zwei Buchstaben hat und im Bereich .X* liegt, hier gibt es, auch weil .XXX eine drei-Buchstaben-Domäne ist, keine TLD, mit der man ins Gehege kommen kann.

Liste länderspezifischer Top-Level-Domains – Wikipedia

de.wikipedia.org

Man könnte natürlich auch eine der folgenden TLD nehmen,:

Liste länderspezifischer Top-Level-Domains – Wikipedia

de.wikipedia.org

DD wurde nie aktiviert ;-)

 

[Novgorod]

Sorry fürs Ausgraben, aber ich habe genau das gleiche Problem mit der Auflösung von Windows-Computernamen im entferten LAN. Das LAN-LAN VPN zwischen den 2 Fritzboxen funktioniert problemlos und ich kann von einem LAN aufs andere (unterschiedliche subnets) per IP-Adressen zugreifen (ping, Windows-Dateifreigabe usw.), nur nicht über (Windows-) Hostnamen. Ich habe alles so eingerichtet wie in #3, aber die entfernte Fritzbox wird einfach nicht für DNS benutzt, obwohl sie als sekundärer DNS-Server eingetragen ist. Die Situation ist wie in #23 - nslookup eines entfernten Computernamens über die lokale Fritzbox wird nicht gefunden, aber über die entfernte Fritzbox-LAN-IP schon. IPv6 habe ich deaktiviert, es wird also definitiv der IPv4 DNS-Server benutzt.

Ich habe auch versucht im Client (Windows) die IP-Adresse der entfernten Fritzbox als sekundären DNS-Server einzutragen (die lokale Fritzbox ist der primäre), aber selbst dann wird nur die lokale Fritzbox benutzt (und entfernte Computernamen werden nicht aufgelöst). Nur wenn ich die entfernte Fritzbox-IP als einzigen DNS-Server im Client eintrage, funktioniert die entfernte Namensauflösung (und auch die lokale, aber die läuft ja über's lokale NetBIOS). Das ist natürlich keine Lösung, weil dann ja das gesamte DNS (inkl. Internetadressen) über's VPN geschaufelt wird. Aus irgendeinem Grund wird der sekundäre DNS-Server komplett ignoriert, sowohl von der Fritzbox als auch vom Windows-Client. Gibt es noch etwas, das ich probieren kann?