Auflösung interner Domains nicht mehr möglich

[H3llF15H]

Hallo allerseits!

Hier hat sich ein Problem eingeschlichen, welches ich selbst nicht lösen kann. Durch diverse Versuche alles wieder ans Laufen zu bekommen, habe ich, so glaube ich, die Ursache allen Übels gefunden - die neue Fritz!Box 6660 Cable (kurz FB6660). Erschlagt mich bitte nicht, wenn ich mich laienhaft ausdrücke oder das "Wording" nicht passt bzw. zu Missverständnissen führt.

Vorgeschichte (bis zum 25.12.2024):​

Zunächst ein paar Eckdaten:

• FB6660 mit OS 8.01
  • 10.20.18.1
• AdGuard Home (kurz AgH; dient als privater DNS-Server zwecks Ad-blocking und zur DNS-Umschreibung)
  • 10.20.18.20
• Nginx Proxy Manager (kurz NPM; verwaltet primär das Let´s-Encrypt-Zertifikat für Vaultwarden)
  • 10.20.18.21
• Emby
  • 10.20.18.25

An folgendem Beispiel zeige ich auf wo das Problem liegt. Nach dieser Anleitung habe ich Vaultwarden eingerichtet. NPM verwaltet das SSL-Zertifikat und in AgH wird die DNS-Umschreibung eingetragen, um keine Hostdatei ändern zu müssen und um die Domain netzwerkweit bekannt zu machen. Ebenso habe ich Emby unter einer lokalen Domain bekannt gegeben. Emby ist unter emby.local erreichbar. Auch dies lief wunderbar.

• Anfrage emby.local (z.B. am PC oder Tablet) => AgH verweist auf NPM => NPM verweist auf die korrekte IP inkl. Port

---

die Geschichte zwischen dem 25.12.2024 und dem 10.01.2025:​

Am 25.12.2024 ist die FB6660 gestorben, worauf hin ich provisorisch eine FB7590 (OS 8.00) einsetzte um einen DHCP-Server zu haben und auf das Netzwerk zugreifen zu können. Alles lief altbekannt, nur war kein Internetzugriff vorhanden. Die lokalen Domains konnten aufgelöst werden.

---

die Geschichte ab dem 10.01.2025:​

"Es geht nichts mehr..."
AVM lies mir ein Austauschgerät zukommen, welches ich bei Vodafone registrierte. Internet kommt an, die FB6660 wurde auf OS 8.02 aktualisiert (von 7.57 kommend). Und ab hier lassen sich die internen Domains nicht mehr auflösen. Auf meinen Passwortmanager habe ich auch keinen Zugriff mehr.

Nach vielem Machen und tun war für mich klar, dass der Fehler an der neuen FB6660 zu suchen ist. Ich stellte dem Netzwerk erneut die FB5790 zur Verfügung und siehe da: alles läuft (nur kein Internetzugriff - klar soweit). Wieder zurück zur FB6660 - keine Auflösung der internen Domains möglich.

Um sicherzustellen, dass sich die FB6660 während der Konfiguration nicht verschluckt hat, habe ich sie zurückgesetzt - nach wie vor keine Besserung.

---

Unterschiede FB6660 zu FB7590:​

Abgesehen vom Internetzugriff, welcher bei der FB7590 nicht möglich war, unterscheidet die Boxen augenscheinlich erstmal nur die Firmware-Version: 8.02 (FB6660) zu 8.00 (FB7590). Die Settings habe ich untereinander abgeglichen und sofern ich nichts übersehen habe waren die identisch.

Ein Downgrade ist nicht möglich, da mir die Firmware 8.01 oder auch 8.00 fehlen. AVM stellt diese nicht zur Verfügung.

Im Anhang sind zwei Screenshots zu finden (nslookup auf Emby mit der jeweiligen Box). Keine Ahnung ob sie helfen. Mir ist auch nicht bewusst, welche Informationen noch sinnvoll sein könnten und bitte daher um etwas Nachsicht ;-)

---

Fazit:​

Stand jetzt vermute ich einen Fehler in der Firmware, der sich von Version 8.01 auf 8.02 eingeschlichen hat. Ich mag mich aber auch täuschen und es ist ein Layer-8-Problem.


Meine Fragen an euch:

1. Habe ich ggf. etwas übersehen?
2. Was könnte ich noch ausprobieren?
3. Hat sich eurem Wissen nach zwischen Firmware 8.01 zu 8.02 irgendetwas getan?
4. Welche Infos kann ich zur besseren Beurteilung zur Verfügung stellen?

Vielen Dank für eure Unterstützung!

Schöne Grüße

 

[BFF]

Welcher DNS ist für emby.local zuständig?

 

[Krik]

• AdGuard Home (kurz AgH; dient als privater DNS-Server zwecks Ad-blocking und zur DNS-Umschreibung)
  • 10.20.18.20
• Nginx Proxy Manager (kurz NPM; verwaltet primär das Let´s-Encrypt-Zertifikat für Vaultwarden)
  • 10.20.18.21
• Emby
  • 10.20.18.25

Haben die denn jetzt mit der der neuen Fritze immer noch diese IPs?
Die könnten jetzt auch anders lauten...

 

[kartoffelpü]

Wie war denn die DNS-Auflösung eingerichtet?

Client > FBox > AGH > Internet
oder
Client > AGH > (FBox) > Internet

Momentan scheint ja die FBox als DNS-Server für die Clients zu dienen (laut den beiden Screenshots). War das vorher über die DHCP-Einstellungen auf AGH eingestellt?
Was ist bei der FBox als nächster DNS-Server eingetragen?

 

[Fried.Ice]

Ich vermute ebenfalls, dass dein DNS Setup nicht so konfiguriert ist, wie du es willst.

Alternativ, wenn du die kostenbehaftete Variante aus dem Verlinkten Post nutzt, kannst du dir auch einfach in der DNS Verwaltung deiner Domain eine Subdomain erzeugen, die dann auf eine statische IP im 10.20.18.00/24 Netz verweist. Diese Domain funktioniert dann logischerweise nur bei dir im Heimnetzwerk aber das kann dir ja egal sein.
Damit spart man sich das DNS Server umbiegen auf allen Geräten - gerade mit Android hatte ich da in der Vergangenheit immer wieder Ärger mit.

Edit: Habe den verlinkten Beitrag noch mal genauer gelesen, das ist genau das, was da gemacht wurde =)

 

[H3llF15H]

@BFF
In der FB6660 wie auch 7590 ist als lokaler DNS die IP von Adguard-Home eingetragen (10.20.18.20).

@kartoffelpü
Ich hoffe, dass meine Ausführung hierüber deine Fragen beantwortet. Den Statistiken nach zu urteilen beantwortet AgH alle DNS-Anfragen nach extern.

Momentan scheint ja die FBox als DNS-Server für die Clients zu dienen (laut den beiden Screenshots).

Und ab da wird's spooky: die FB7590 löst sauber auf 🤔

Ich vermute ebenfalls, dass dein DNS Setup nicht so konfiguriert ist, wie du es willst.

Schließe ich nicht aus. Jedoch bin ich verwundert, dass sich die Boxen bei gleichen Einstellungen unterschiedlich verhalten.

Haben die denn jetzt mit der der neuen Fritze immer noch diese IPs?

Alle Endgeräte haben eine statische IP, welche garantiert unverändert sind.

Edit:
Hinsichtlich des möglichen Konfigurationsfehlers: die alte 6660 wie auch die 7590 liefen / laufen ja (letztere neu eingerichtet). Die neue 6660 habe ich zwei Mal von Grund auf konfiguriert (die 7590 noch zwei Wochen zuvor). Deswegen vermute ich den Fehler nicht unbedingt bei mir.

 

[qiller]

Und was ist, wenn deine DNS-Auflösung einfach über IPv6 läuft? Dann bringt dir doch das Hinterlegen der IPv4 Adressen nix. Soweit ich weiß, ist das ja schon ne Weile so, dass Windows IPv6 gegenüber IPv4 bevorzugt verwendet (sieht man ja schön an deinem nslookup Screenshot).

 

[kartoffelpü]

Hmm, dann hab ich so auch keine Idee, außer die DNS-Pakete auf der FBox mitzusniffen und zu analysieren (z.B. https://www.giga.de/tipp/fritzbox-datenverkehr-mitschneiden-so-gehts/).

Meine FBox bekommt keine Updates mehr, daher kann ich nichts zu 8.xx sagen.
Hast du schon mal auf anderen Foren/Webseiten geschaut, ob dort schon jemand ähnliche Probleme mit 8.02 hat?

E: Ah stimmt, an IPv6 hab ich eben auch gar nicht gedacht, aber sieht man ja auch in den Screenshots.

 

[BFF]

Du fragst aber IPv6 DNS. @H3llF15H
Das scheint nicht zu gehen.

Mach das mal mit IPv4 unter Angabe der IPv4 des DNS. Macht Dein DNS IPv6?

Bei meinem Router kann ich bei IPv6 den IPv6 DNS eintragen.
Hat sich das IPv6 Netz nicht auch geändert wenn neuer Router andere IPv6?

 

[qiller]

einfach mal

nslookup emby.local <IPv4-Adresse deiner FB/AGH> (ka, welche Auflösungsreihenfolge du hast)

 

[Bob.Dig]

An der neuen Fritzbox und ihrer Firmware liegt es jedenfalls nicht.
Ganz klar ein Layer 8 Problem. 😉

 

[andredc]

ggf. mit wireshark mal schauen was da versucht wird die fritzbox hat's eingebaut ;D

 

[H3llF15H]

Ganz klar ein Layer 8 Problem. 😉

Aus dem Grunde schließe ich es auch nicht aus und vermute auch nur nen Bug in der Firmware (was schon anmaßend genug ist 😂).

Ich bin da gerade einer Sache mit IPv6 auf der Spur. Melde mich später(spätestens morgen) dazu nochmal.

Bis hierher erstmal vielen Dank an alle. Mega gut hier, wie immer.

 

[lIlSinonlIl]

Du scheinst die FritzBox als DNS Server zu benutzen, welcher die Anfragen dann an AdguardHome stellt. Soweit grundsätzlich kein Problem.

Nur hat die FritzBox einen DNS Rebind Schutz und blockiert automatisch DNS Ergebnisse die auf das eigene interne Netz zeigen.

https://en.avm.de/service/knowledge...63_No-DNS-resolution-of-private-IP-addresses/

Du hast zwei Möglichkeiten das zu umgehen. Du trägst die Domains (emby.local) als Ausnahme in die FritzBox ein. Oder du stellst beim FritzBox DHCP Server den Adguard als DNS Server ein, dass deine Geräte direkt mit dem Adguard sprechen und der Zwischenschritt über die FritzBox wegfällt.

 

[qiller]

Dann hat der TE aber doch nicht alle Einstellungen korrekt übernommen, denn den DNS-Rebindschutz gabs auch schon in früheren Firmwareversionen.

Edit: Oder in früheren Versionen war der standardmäßig deaktiviert und ist jetzt standardmäßig aktiviert? Bin da nicht so drin, benutze die FB nicht für interne DNS-Auflösungen.

 

[H3llF15H]

Mahlzeit! :-)

Kurze Rückmeldung: gestern habe ich etwas Abstand von dem Problem genommen, denn eine Lösung war nicht in Sicht. IPv6 ist sicherlich ein Thema, dessen ich mich annehmen muss und auch weshalb AdGuard nicht als DNS genutzt wird, obwohl er als lokaler DNS-Server eingetragen ist.

Sobald ich neue Erkenntnisse habe werde ich sie zur Verfügung stellen.

Nochmals Danke für eure Unterstützung.

 

[lIlSinonlIl]

Wieso denkst du, dass dein Adguard nicht genutzt wird?
Kommen Anfragen beim Adguard an?

Und bitte prüf den DNS Rebind Schutz in deiner FritzBox. Ausschalten kann man den nicht. Nur Ausnahmen hinzufügen.

Ich bezweifle das hier irgendein Problem mit IPV6 existiert.

 

[H3llF15H]

Moin allerseits!

Die letzten Tage habe ich nochmal versucht Struktur reinzubekommen um meinem Problem auf die Spur zukommen. Keine Chance.

Spoiler: Die Konfig, die ursprünglich lief...

Wie gesagt, die Konfig hierdrüber lief ohne Probleme. Meine Probleme heute haben sich ggü. vor ein paar Tagen geändert:

• nutze ich die Domain .local funktioniert dies am PC und Android-Geräten, nicht aber bei Apple-Produkten
• nutze ich hingegen die Domain .home.arpa funktioniert dies am PC und Apple-Geräten, nicht aber bei Android-Produkten
• Ausnahmen im Rebind-Schutz zu hinterlegen war damals nicht nötig und schafft heute keine Abhilfe @lIlSinonlIl
• Prüfe ich mittels nslookup worüber die DNS-Anfragen aufgelöst bekomme ich folgende Meldung
  Spoiler: nslookup - unknown Server

  
• setze ich alle Einstellungen in der FB6660 manuell zurück, auch den lokalen DNS-Server, bekomme ich selbige Ausgabe für nslookup (IPv6 ist deaktiviert, siehe oben)
• bin ich via VPN mit meinem Arbeitgeber verbunden meldet nslookup folgendes
• Spoiler: nslookup via VPN - erwartetes Ergebnis

  

  
  [*]
• Versuche ich ein Let´s-Encrypt-Zerttfikitat zu erneuern oder anzulegen gibts folgende Meldung:
• Spoiler: Fehler NPM Let´s Encrypt

  [*]CommandError: Saving debug log to /tmp/letsencrypt-log/letsencrypt.log
  Unsafe permissions on credentials configuration file: /etc/letsencrypt/credentials/credentials-2
  Unexpected error determining zone identifier for dnssebreg.de: For this user the provided API key is not valid. (4014)
  Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /tmp/letsencrypt-log/letsencrypt.log or re-run Certbot with -v for more details.
  
  at /app/lib/utils.js:16:13
  at ChildProcess.exithandler (node:child_process:430:5)
  at ChildProcess.emit (node:events:518:28)
  at maybeClose (node:internal/child_process:1104:16)
  at ChildProcess._handle.onexit (node:internal/child_process:304:5)
  [*]
• Ebenso habe ich das Gefühl, das bis dato zwar die Anfragen über Adguard laufen, dort aber nicht alles rund läuft. Z.b. sollten pornhub und youporn laut Sperrliste geblockt werden - ist nicht der Fall ;-)

Habt ihr noch irgendwelche Ideen?

Vielen Dank für eure Zeit und Geduld :-)

€DIT:
Im übrigen auch sehr spannend: die ungenutzten Verbindungen in der FB6660, denn diese sind alle im Netzwerk angemeldet:

Spoiler: ungenutzte Verbindungen

PC-10-20-18-39 ist sogar hart verdrahtet (Docker-Instanz). Kann mir da jemand erklären?

 

[kartoffelpü]

War mir vorher auch nicht bewusst, aber .local sollte man möglichst nicht nutzen: https://imatrix.at/schlechter-domain-name/

Z.b. sollten pornhub und youporn laut Sperrliste geblockt werden

In den Browsern/OS auch dafür gesorgt, dass kein DoH/DoT genutzt wird? Sonst können DNS-Anfragen an deinem Adguard einfach vorbeigehen.

 

[Bob.Dig]

Du scheinst mir gleich mehrere Probleme auf einmal zu haben. Eine sinnvolle DNS-Kette einzurichten, sowohl für IPv4 als auch für IPv6, wäre wohl das wichtigste.

• Welche Router oder APs oder Repeater oder sonst welche Geräte, die einen eigenen DHCP-Server mitbringen könnten, hast Du im Einsatz?
• Hat deine aktuelle Fritzbox sowohl IPv4 als auch IPv6 Internet?

Da Du vermutlich im AGH sehen möchtest, welche Clients sich verbunden haben, macht es keinen Sinn, den AGH als Upstream-DNS-Server für die Fritzbox zu verwenden. Stattdessen sollte die Fritzbox den AGH per DHCP an die Clients ausgeben. Und das halt unbedingt für IP v4 & v6! Und für IPv6 sollte dann ULA oder Link-local-Adressen benutzt werden.

Für IPv4: Im roten Kasten muss die Adresse des AGH eingegeben werden.


Und auch für IPv6 brauchst Du eine entsprechende Lösung (ggf. kompliziert)!

Ergänzung (Donnerstag um 09:19)

aber .local sollte man möglichst nicht nutzen

Guter Punkt.

Letztlich musst Du dich entscheiden, was Du nutzen möchtest. Du solltest nicht zwischen verschiedenen "Endungen" wechseln. Meine Empfehlung wäre, falls Du eh alles neu machen willst,.internal.

Ergänzung (Donnerstag um 09:22)

PC-10-20-18-39 ist sogar hart verdrahtet (Docker-Instanz). Kann mir da jemand erklären?

Das passiert bei den Fritzboxen, vielleicht ist der Lease noch nicht abgelaufen oder was auch immer. Ggf. die Box neustarten oder die Geräte trennen, hat aber grundsätzlich eher wenig mit deinen Problemen zu tun.