Auflösung interner Domains nicht mehr möglich

[H3llF15H]

War mir vorher auch nicht bewusst, aber .local sollte man möglichst nicht nutzen: https://imatrix.at/schlechter-domain-name/

Musste ich auch tatsächlich recherchieren, daher bin ich auch auf .home.arpa gekommen, um dies gegen zu testen.

In den Browsern/OS auch dafür gesorgt, dass kein DoH/DoT genutzt wird? Sonst können DNS-Anfragen an deinem Adguard einfach vorbeigehen.

Werde ich prüfen, danke für den Hinweis.

Du scheinst mir gleich mehrere Probleme auf einmal zu haben.

Der Eindruck drängt sich mir tatsächlich auch auf, auch wenn ich nicht nachvollziehen kann warum. Schließlich habe ich nur die neue FB6660 angeschlossen, nachdem die alte abgeraucht ist.

Welche Router oder APs oder Repeater oder sonst welche Geräte, die einen eigenen DHCP-Server mitbringen könnten, hast Du im Einsatz?

Im Einsatz ist folgende Hardware:

• FB6660
• AVM Repeater 1200AX / 2400 (beide im Mesh mit der FB6660)
• QNAP NAS TS-673A
• Aruba Instant On 1930 (Switch)
• HP Pro Curve (Switch)

Auf dem QNAP lief Adguard als Docker Instanz (voerst deaktiviert). Hier war tatsächlich mal der DHCP aktiviert, während die FB7590 provisorisch angeschlossen war. Ich wollte herausfinden, ob Adguard hier Vorteile bietet. Nein, tut es für mich nicht. Der DHCP auf dem TS-673A ist auch nicht aktiviert oder gar jemals aktiviert worden.

Hat deine aktuelle Fritzbox sowohl IPv4 als auch IPv6 Internet?

Ja, hat sie. IPv6 wird benötigt, um eine Internetverbindung herstellen zu können.

Im lokalen Netzwerk möchte ich IPv6 gerne komplett deaktivieren, denn davon verstehe ich zu wenig. Hinzu kommt, dass auch QNAP ab Version 5.2.x IPV6 pauschal deaktiviert ("aus Sicherheitsgründen").

Da Du vermutlich im AGH sehen möchtest, welche Clients sich verbunden haben,

Aktuell ist es nur mein Ziel, dass alle Clients Adguard als Adblocker verwenden und die DNS-Umschreibungen genuttz werden können, um z.B. die Domain für Vaultwarden netzwerkweit bekannt zu machen.

macht es keinen Sinn, den AGH als Upstream-DNS-Server für die Fritzbox zu verwenden. Stattdessen sollte die Fritzbox den AGH per DHCP an die Clients ausgeben

Damit meinst du den Eintrag als lokalen DNS-Server? Wie müsste ich das konfigurieren? (Gerne die oben geposteten Bilder kopieren und per Paint deinen Vorschlag daneben schreiben :-)

Und das halt unbedingt für IP v4 & v6!

Die Container Station von QNAP, in der die Docker Instanz von Adguard laufen würde, kann nur mit IPv4 umgehen. Eine VM kommt für mich aus diversen Gründen nicht infrage, von denen bin ich endlich weg seit dem ich kapiert habe wie Docker Compose funktioniert :-)

 

[Bob.Dig]

Damit meinst du den Eintrag als lokalen DNS-Server? Wie müsste ich das konfigurieren? (Gerne die oben geposteten Bilder kopieren und per Paint deinen Vorschlag daneben schreiben :-)

Ich hatte inzwischen schon ein Bild gepostet. Ich würde an deiner Stelle IPv6 nicht abstellen, insbesondere, wenn dein Internet das zwingend benötigt. Abstellen kann man zur Not hinterher immer noch... besser jetzt eine saubere Lösung finden.
Noch mal zu der internen Domain, eine Software kommt vielleicht mit home.arpa daher und eine andere schlägt local vor, aber Du kannst das selbst immer abändern. Du musst dich nur für eine entscheiden und diese dann durchgehend verwenden. Du kannst davor auch noch etwas eigenes setzen, z.B. H3llF15H.internal, aber Du musst halt dann dabei auch durchgehend bleiben.
Übrigens, einzelne Hosts, also Rechner, können dann über ihren Hostnamen und die Endung, für die Du dich entschieden hast, angesprochen werden. Das sieht dann z.B. so aus: adguardhome.H3llF15H.internal, wenn denn deine interne Domain H3llF15H.internal sein soll.

Ergänzung (Donnerstag um 09:59)

Hier wurde bei einem ähnlichen Thema empfohlen, nicht IPv6 sondern den IPv6 Server der Fritzbox zu deaktivieren. Das wäre vermutlich auch in deinem Fall das einfachste. Du musst aber ggf. prüfen, ob sich nicht doch irgendwie DNS per IPv6 eingeschlichen hat, wenn es mal Probleme gibt.

 

[H3llF15H]

Ich würde an deiner Stelle IPv6 nicht abstellen, insbesondere, wenn dein Internet das zwingend benötigt.

Der Gedanke kam mir eben auch schon, als ich meinen letzten Post verfasst habe. Ist es deinerseits ein Bauchgefühl, weshalb du IPv6 im lokalen Netzwerk nicht deaktivieren würdest? Am Ende bleibt dann aber noch da Problem, dass ich wieder zurück zu einer VM muss (für Adguard würde ich zur Not nochmal eine Ausnahme machen).

Über die interne Bezeichnung der Domain mache ich mir noch Gedanken, wird aber auf eine ähnliche Bezeichnung wie von dir vorgeschlagen hinauslaufen. :-)

Ergänzung (Donnerstag um 10:09)

Hier wurde bei einem ähnlichen Thema empfohlen, nicht IPv6 sondern den IPv6 Server der Fritzbox zu deaktivieren.

führe ich mir zu Gemüte :-)

 

[qiller]

Prüfe ich mittels nslookup worüber die DNS-Anfragen aufgelöst bekomme ich folgende Meldung

Bitte mal die Abfrage für IPv4 machen, hatte ich in #7 schon gefragt. Einmal zur FB und einmal zum Adguard DNS Resolver.

 

[H3llF15H]

Bitte mal die Abfrage für IPv4 machen, hatte ich in #7 schon gefragt.

Au ha! Sorry, ist mir glatt durchgegangen. Hole ich im Laufe des Tages nach :-)

 

[h00bi]

Alle Endgeräte haben eine statische IP, welche garantiert unverändert sind.

Ich (gefühlt) habe seit FritzOS8 ebenfalls Probleme auf Geräte mit statischen IPs.
Diese Geräte werden von den Fritzbox dauerhaft als offline angezeigt.

Abhilfe schaffte hier bei mir das umstellen auf DHCP, einmalig eine IP bei der FB zu holen, dann die IP auf die statische zu ändern und zu reservieren.
Danach am Client wieder auf statisch umschalten.

In der FB6660 wie auch 7590 ist als lokaler DNS die IP von Adguard-Home eingetragen (10.20.18.20).

d.h dein Client bekommt per DHCP den AgH als DNS Server zugewiesen?

• nutze ich die Domain .local funktioniert dies am PC und Android-Geräten, nicht aber bei Apple-Produkten
• nutze ich hingegen die Domain .home.arpa funktioniert dies am PC und Apple-Geräten, nicht aber bei Android-Produkten

Ich würde dir raten, bei Netcup im nächsten Sale* eine günstige de oder eu Domain zu holen und diese dann für intern zu verwenden. Dann kannst du intern auch gleich Zertifikate verwenden.
Hier nochmal beschrieben:
https://www.computerbase.de/forum/t...er-fritzbox-und-pihole.2221971/#post-30090916

*Aktionstag ist i.d.R. letzter Dienstag im Monat. Die Aktionspreise gelten dauerhaft, kein nur X Monate Lockvogel.
https://www.netcup-news.de/2022/07/19/faq-zu-netcup-aktionstagen/

 

[H3llF15H]

Ich (gefühlt) habe seit FritzOS8 ebenfalls Probleme auf Geräte mit statischen IPs.

Unter 8.00 und 8.01 sind mir derart Probleme nicht aufgefallen.

Abhilfe schaffte hier bei mir das umstellen auf DHCP, einmalig eine IP bei der FB zu holen, dann die IP auf die statische zu ändern und zu reservieren.
Danach am Client wieder auf statisch umschalten.

Die Clients holen sich bei mir die statische IP über die FB ab, die per DCHP verteilt werden. In den letzten Jahren konnte ich so zumindest keinen Nachteil feststellen.

Ich würde dir raten, bei Netcup im nächsten Sale* eine günstige de oder eu Domain zu holen und diese dann für intern zu verwenden. Dann kannst du intern auch gleich Zertifikate verwenden.
Hier nochmal beschrieben:
https://www.computerbase.de/forum/t...er-fritzbox-und-pihole.2221971/#post-30090916

Danke für den Hinweis Mir ist jedoch nicht ganz klar, da fehlt es mir an Wissen, wie ich das dann umsetzen müsste. Von Wildcards habe ich nämlich keine Ahnung ;-)

 

[qiller]

Spoiler: Klugscheißermodus

dynamische IP-Adresse:
Netzwerkadapter holt sich per DHCP die IP-Adressen. Der DHCP-Server liefert eine freie IP-Adresse aus dem dynamischen IP-Adressbereich des DHCP-Servers und zusätzliche optionale IP-Adressen und Informationen (Gateway/Router, DNS, WPAD, etc.).

reservierte IP-Adresse:
Netzwerkadapter holt sich per DHCP die IP-Adressen. Der DHCP-Server liefert immer dieselbe IP-Adresse (Reservierung, IP-MAC-Adress-Bindung) und zusätzliche optionale IP-Adressen und Informationen (Gateway/Router, DNS, WPAD, etc.).

statische IP-Adresse:
Manuelle Festlegung der IP-Adresse(n) für den Netzwerkadapter. Es wird kein DHCP-Discover gesendet.

 

[h00bi]

Die Clients holen sich bei mir die statische IP über die FB ab, die per DCHP verteilt werden

Also per Reservierung, nicht statisch.
Dann mach die Reservierung ggf. nochmal frisch. Also Gerät löschen, dann einmal IP aus der DHCP Range ziehen lassen und dann wieder Reservierung eintragen.

Von Wildcards habe ich nämlich keine Ahnung ;-)

Wirdcard hat den Vorteil dass ein einzelnes Zertifikat auf alle Subdomains gültig ist. Ein Wildcard Zertifikat wird immer über eine DNS Challenge beim Hoster ausgestellt. Port 80 öffnen wird damit obsolet.*

Spoiler

man kann auch normale Zertifikate per DNS Challenge ausstellen/erneuern, ist aber eher unüblich.

DNS Challenge läuft so:
Du bekommst von letsencrypt (oder anderem Anbieter) einen TXT Eintrag, den jemand (du oder certbot) bei netcup in die DNS Einstellungen auf deine Domain schreibst.
Dann musst du deine TTL in Sekunden abwarten, damit der Eintrag öffentlich verfügbar ist.
Danach prüft letsencrypt ob dieser TXT Eintrag korrekt bei deiner Domain eingetragen ist. Falls ja hast du damit nachgewiesen dass es deine Domain ist und du bekommst das Wildcard Zertifikat.

Certbot in npm kann das über die Netcup API automatisch. Dauert nur beim ersten Mal eben mehrere Minuten. Danach läuft das Erneuern voll automatisch.

 

[H3llF15H]

@qiller
Wenn man Recht hat, ist es kein Klugscheißen. Regel Nr. 1 ;-)

Manuelle Festlegung der IP-Adresse(n) für den Netzwerkadapter. Es wird kein DHCP-Discover gesendet.

Würde das nicht im Umkehrschluss bedeuten, dass der NIC den derzeit aktuellen lokalen DNS-Server mitgeteilt bekäme?

Starte ich den PC neu, dem via FB6660 eine statische IP zugeteilt wurde und sich diese automatische bezieht, bekommt er jedes Mal, egal wie häufig ich den lokalen DNS ändere, nach einem Neustart den korrekten DNS-Server mitgeteilt. Da stehe ich gerade etwas auf dem Schlauch.

 

[BFF]

eine statische IP zugeteilt wurde und sich diese automatische bezieht, bekommt er jedes Mal, egal wie häufig ich den lokalen DNS ändere, nach einem Neustart den korrekten DNS-Server mitgeteilt.

Ja.
Und der PC berücksichtigt den auch wenn er denn lokal in den Netzwerk Einstellungen keinen manuellen DNS eingetragen hat.

 

[qiller]

In Windows kommts halt drauf an. Es gibt ja über die GUI die Möglichkeit, DHCP zu aktivieren und trotzdem den DNS-Server statisch festzulegen.

 

[H3llF15H]

Randnotiz: der "unknown Server" stammt von meinem 10Gbit-NIC -.-
Dieser hat eine direkte Verbindung mit dem NAS. IPv6 für den NIC deaktiviert und schön gibt nslookup auch mal was brauchbares aus :-)

 

[BFF]

Dann hat Dein PC immer die vermeintlich schnellste Verbindung befragt. 🤷‍♂️

Hast Du die direkte Verbindung im gleichen IP/Subnetz wie den Rest? Obwohl, ohne Gateway eintrag soltte das Ding garnicht auf die Idee kommen einen DNS auf der Karte anzufragen auch nicht mit IPv6.

 

[H3llF15H]

Servus!

Gestern habe ich mich dem Problem nochmal richtig angenommen:

• Adguard und NPM komplett aus dem System geschmissen und neu konfiguriert
• Hardware neu gestartet
• die lokalen Domains *.local und *.home.arpa außen vorgelassen und dies mittles Wildcard-Zertfikat und einer Top-Level-Domain bei Netcup gelöst

Nun lassen sich an PC, Android- wie auch iOS-Geräten die IP-Adressen mittels DNS-Umschreibung erreichen.
Einzig Chrome macht Probleme:

• am Smartphone werden die Seiten nicht aufgebaut (Meldung: "diese Domain ist geparkt")
• am PC werden Emby und Adguard als "schädlich" eingestuft)

Lösung: Microsoft Edge verwenden und es läuft. Kann ich mit leben.

Stellt sich über die nächsten Tage alles als stabil heraus und keine weiteren Fehler treten auf stelle ich hier Screenshots der Konfig ein (für die Nachwelt).

Bevor ich mich bei allen Beteiligten herzlich bedanke, geht ein besonderer Dank an @h00bi, der mir das Vorgehen mit den Wildcard-Zertifikaten via PN erläutern und detailliert erklärt hat.

Also: einen herzlichen Dank an alle - hat Bock gemacht