DNS Rebind Protection

[cc0dykid]

Hallo,

ich habe über DDNS Webservices auf meinem lokalen Raspberry Pi öffentlich gemacht. Der Webservice läuft über die öffentliche Domäne https://service.onraspberrypi.ddns. Nun greift aber Fritzboxs DNS rebind protection, wenn ich im Heimnetz die Domäne aufrufen will.

Ich habe die Domäne in der Fritzbox bereits auf die DNS rebind protection Whitelist gesetzt und anstelle einer Warnung bekomme ich nun eine Anmeldemaske der Fritzbox (siehe Bild).

Um das Problem zu umgehen habe ich mich mit einem VPN aus DE verbunden um https://service.onraspberrypi.ddns aufzurufen.

Kennt jemand eine elegantere Methode oder weiß, was ich einstellen muss? Vielen Dank!

 

[Schwabe66]

Du hast einen Denkfehler, du hast beim DDNS Anbieter die öffentliche IP der Fritzbox. Du willst jetzt von intern auf diese IP zugreifen, wie soll das gehen? Du musst Split DNS einsetzen, auf der Fritzbox also im DNS Server deine DDNS Domain mit der lokalen IP des PI hinterlegen.

BTW: Du scheinst da nicht sooo viel Erfahrung zu haben, wenn du dir unsicher bist lass es lieber. Du kannst dir da ein großes Einfallstor aufmachen.

 

[spcqike]

man sollte keinen DNS Server öffentlich betreiben das kann schnell nach hinten losgehen.

VPN und gut.

Nachtrag:
oder vielleicht habe ich dich falsch verstanden.
Möchtest du per Domain "https://pi.example.com" auf einen Webdienst auf dem Pi zugreifen?

dein PiHole ist ja dein interner DNS Server. Du kannst also im Pihole eine lokale DNS eintragen und deine interne Ziel-IP dort benennen. Damit löst Pihole die bekannte Adresse intern auf.

Wenn du von unterwegs / einen fremden DNS Server die Domain auflöst, verweißt die über das globale DNS auf deinen per DDNS bekannt gemachten Eintrag, also deine FritzBox mit entsprechender Portweiterleitung

So habe ich es gemacht.

 

[riversource]

Ich sehe nichts von einem eigenen DNS Server (da ist ein https Aufruf), und der Aufruf ist auch aus dem internen Netz problemlos möglich. Ich nutze das schon lange so.

Ich habe die Domäne in der Fritzbox bereits auf die Whitelist gesetzt und anstelle einer Warnung bekomme ich eine Anmeldemaske der Fritzbox (siehe Bild).

Nur die Domain? Da muss der ganze FQDN rein.

 

[Zero_Official]

Erstens! was möchtest du erreichen?

deinen ddns namen intern auflösen und zugreifen? dann zb splitdns oder wie ich über Adguard für lokales Netzwerk eine DNS-Umschreibung einsetzen.
so kriegen die internen Clients eine lokale IP zu deinem ddns namen.

 

[Schwabe66]

Ich sehe nichts von einem eigenen DNS Server (da ist ein https Aufruf), und der Aufruf ist auch aus dem internen Netz problemlos möglich. Ich nutze das schon lange so.


Nur die Domain? Da muss der ganze FQDN rein.

Kann mir kaum vorstellen das es out of the Box bei der Fritze geht. Das wäre dann "Nat Loopback" oder "masquerading". Du wirst also automatisch auf das richtige Ziel von deinem Router weitergeleitet.

Ergänzung (12. Januar 2023)

Hallo,

ich habe über DDNS meinen lokalen Pi öffentlich gemacht. Nun greift aber Fritzboxs DNS rebind protection, wenn ich innerhalb des Netzwerks Pi's Domäne aufrufen will (https://pi.ddns.example).

Ich habe die Domäne in der Fritzbox bereits auf die Whitelist gesetzt und anstelle einer Warnung bekomme ich eine Anmeldemaske der Fritzbox (siehe Bild).

Anhang anzeigen 1310714

Um das Problem zu umgehen habe ich mich mit einem VPN aus DE verbunden um https://pi.ddns.example aufzurufen.

Kennt jemand eine elegantere Methode oder weiß, was ich einstellen muss? Vielen Dank!

Und noch als Frage, hast du danach die FB neu gestartet? Im Artikel von Fritz steht das die Anpassungen nur nach einem Neustart greifen. Schätze da wird die Whitelist eingelesen.

 

[riversource]

Kann mir kaum vorstellen das es out of the Box bei der Fritze geht. Das wäre dann "Nat Loopback" oder "masquerading".

Ihr vergesst IPv6.

Wie gesagt, ist alles überhaupt kein Problem. Ich hab Geräte im LAN mit eigenen DDNS Adressen, und der Zugriff auf diese öffentlichen DDNS Adressen ist auch aus den LAN heraus problemlos möglich. Voraussetzung: Sie stehen in der DNS Rebind Liste in der Fritzbox, sonst knallts.

 

[cc0dykid]

Danke für die vielen Antworten!

@spcqike
Ich möchte auf einem Webdienst auf dem Raspberry Pi zugreifen. Ich habe gar kein Pihole installiert - mit Pi ist das Raspberry Pi gemeint. Sorry, hätte "RPi" schreiben sollen.

Und noch als Frage, hast du danach die FB neu gestartet?

Habe ich tatsächlich gemacht, aber das hat leider nicht funktioniert. Ich bekomme immer nur diese Fritzbox Anmeldemaske.

Erstens! was möchtest du erreichen?

Ein Use Case wäre zB Gitea (Git-Server) auf dem Raspberry Pi laufen zu lassen und dann über die Addresse https://git.ddns.example darauf zuzugreifen. Dann kann ich den Git-Server sowohl von draußen, als auch im Heimnetz benutzen - so mein Gedanke.

Ich habe in der Tat noch nie etwas selbst gehostet und möchte gerne Erfahrungen sammeln - daher darf es auch mal knallen.

 

[Raijin]

Eigentlich sollte der DNS Rebind Schutz nur aktiv werden, wenn eine öffentliche Domain - zB eine DDNS-Domain - mit einer lokalen IP-Adresse beantwortet werden würde. Das kann nämlich ein Hinweis auf eine DNS Rebind Attacke sein, bei der durch manipulierte DNS-Einträge Verbindungen umgeleitet werden. Ist das gewollt, weil man daheim die DDNS-Domain direkt auf die IP des PI zeigen lassen möchte, muss man dafür eine Ausnahme im DNS Rebind Schutz in der Fritzbox anlegen. Wie das konkret gemacht wird, kann @riversource sicher besser beschreiben als ich, weil ich schlicht und ergreifend keine Fritzbox habe

Die Frage, die sich mir jetzt stellt, ist aber welche IP denn nun tatsächlich hinter der DDNS-Domain steckt. Ist dort die WAN-IP hinterlegt, dürfte der Schutz gar nicht eingreifen und die Verbindung würde mittels NAT-Loopback noch im WAN-Port der Fritzbox eine 180° Kehrtwende machen und in die Portweiterleitung und darüber zum PI gelangen. Nur dann, wenn "blabla.ddns.domain" auf 192.168.178.123 o.ä. aufgelöst wird - was man im Heimnetz ja möchte - dürfte der Schutz aktiv werden, wenn dafür keine Ausnahme eingetragen wurde.
Andererseits muss die DDNS-Domain außerhalb des Heimnetzwerks natürlich auf die WAN-IP auflösen.

Daher bitte mal folgendes am PC machen:

Start --> cmd
--> nslookup deine.ddns.domain
--> nslookup deine.ddns.domain 8.8.8.8

Letzteres muss zwingend die öffentliche IP der Fritzbox liefern, während ersteres im Idealfall eben die 192.178er IP des PI liefert.

Ich habe in der Tat noch nie etwas selbst gehostet und möchte gerne Erfahrungen sammeln - daher darf es auch mal knallen.

Diese Aussage zeigt ehrlich gesagt besonders deutlich, dass du keinen blassen Schimmer hast was es bedeutet, einen Server zu hosten. Wenn man Serverdienste hostet, ohne zu wissen was man da tut, bedeutet "knallen" im worst case Datenverlust, Spyware, Kryptoware und was weiß ich noch alles. Für dich mag "knallen" vielleicht nur "geht nicht" bedeuten, aber Hacker und Scriptkiddies reiben sich bei sowas die Hände und deren Spaß geht auf deine Kosten.
Unterschätze bitte niemals die Gefahren im Internet. Server zu hosten hat auch etwas mit Verantwortung zu tun, weil unzureichend gesicherte Server - häufig, aber auch nicht ausschließlich von Laien betrieben - sind die Basis für die Botnetze von Hackergruppen wie anonymous und co. Mit sowas legen sie dann in groß angelegten DDoS Attacken ganze Teile des Internets lahm, zB das PSN oder dergleichen.

 

[cc0dykid]

welche IP denn nun tatsächlich hinter der DDNS-Domain steckt

Die öffentliche IP Addresse.

nslookup deine.ddns.domain
nslookup deine.ddns.domain 8.8.8.8

Bei beiden die öffentliche IP, weil meines Wissens nach nslookup nicht bis ins lokale Netz auflöst.

 

[Raijin]

weil meines Wissens nach nslookup nicht bis ins lokale Netz auflöst.

Falsches Wissen
nslookup löst gar nichts auf, sondern beauftragt den DNS im zweiten Parameter damit. Ist dieser leer, wird der DNS aus den Netzwerkeinstellungen genommen. Normalerweise sollte der erste nslookup also den Router nach der Domain fragen und der zweite den google-dns.

Bei beiden die öffentliche IP

Dann wundere ich mich ehrlich gesagt über den DNS Rebind Schutz, weil der bei öffentlichen Domains mit öffentlichen IPs eigentlich überhaupt nicht eingreifen dürfte.

 

[riversource]

Wie gesagt, bei IPv6 schlägt der DNS Rebind Schutz zu in einem solchen Szenario.

Die Einrichtung ist einfach. Man muss lediglich den kompletten FQDN eintragen, den man aufruft: