DNS-Zeitüberschreitungmit Fritzbox bei IPv6

[And1.G]

[gelöst] DNS-Zeitüberschreitungmit Fritzbox bei IPv6

Hallo!

Im Heimnetz steht eine Fritzbox 7270. Diese ist auf "Immer eine native IPv6-Anbindung nutzen" eingestellt, da ich von der Telekom eben jenes bekomme und auch nutzen will.
Nun steht bei mir ein kleiner Home Server (Nennen wir ihn APU), der zum einen von außen per SSH erreichbar sein soll und zwei Webservices (repo, gitlab) bereitstellen soll. Portfreigaben sind in der Fritzbox für IPv4 und IPv6 eingerichtet. Seine IP (eigene IPv6 und die öffentliche IPv4 vom Router) wird bei änderung an freedns (https://freedns.afraid.org/) übermittelt. Bei diesem bekomme ich dann für apu.irgendeindyndns.com einen A- und einen AAAA-Eintrag mit den jeweils richtigen Daten.

Der Webserver unterscheidet die beiden Dienste anhand des Hostnames. Hierfür habe ich bei meinem Domain-Provider auf der Administrationsseite drei Subdomains eingerichtet:
apu.example.com: CNAME -> apu.irgendeindyndns.com
repo.example.com: CNAME -> apu.example.com
gitlab.example.com: CNAME -> apu.example.com

Jetzt zum eigentlichen Problem:
Frage ich per dig auf der Shell die einzelnen Subdomains ab, so ist dies für die A-Records kein Problem, es wird vernünftig aufgelöst.

Mache ich nun ein

% dig apu.irgendeindyndns.com AAAA

antwortet mir dies mit:

; <<>> DiG 9.9.2-P2 <<>> apu.irgendeindyndns.com AAAA
;; global options: +cmd
;; connection timed out; no servers could be reached

Das selbe Resultat erhalte ich mit sämtlichen der anderen oben aufgelisteten Domains. Hierbei macht es keinen Unterschied ob ich die Anfrage über IPv4 (Schalter -4) oder IPv6 (Schalter -6) stelle.

Das Problem scheint in meinen Augen am Fritzbox-DNS-Server zu liegen, es mag aber sein, dass ich mich hierbei täusche. Darauf gekommen bin ich, da dieselbe Anfrage beispielsweise über einen alternativen DNS-Server erfolgreich ist:

% dig @8.8.8.8 apu.irgendeindyndns.com AAAA
% dig @2001:4860:4860::8888 apu.irgendeindyndns.com AAAA

In der resolv.conf sind als Nameserver sowohl die IPV4- als auch die IPv6-Adresse der Fritzbox eingetragen. Trage ich dazu die oben genannten Google-Server ein, ist die Namensauflösung auch ohne Erzwingen eines Servers erfolgreich...
Andere Hostnamen (getestet: computerbase.de, heise.de) lösen auch über die Fritzbox korrekt die AAAA-Records auf.

Hat irgendjemand hier eine Idee was da falsch konfiguriert ist? Wie kann man so ein Problem diagnostizieren?
Auf allen zur Verfügung stehenden Rechnern ist Arch Linux installiert. Ein Windows zum Gegenchecken wie es sich darunter verhält besitze ich nicht.

 

[DeusoftheWired]

Knifflig, aber versuchen wir’s mal. Vielleicht bringt ja auch allein die Diskussion darum schon die zündende Idee.

Der Zusatz für v4 und v6 gleichzeitig bei afraid.org ist korrekt gesetzt?

Welchen DNS benutzt die FRITZ!Box oder dein Rechner, wenn du keinen speziellen wie im letzten Codebeispiel angibst?

Habe das ganze auch mal mit meinem Account bei afraid.org getestet, der einen A Record für x.ignorelist.com hat und über den Router bei jeder Neueinwahl aktualisiert wird. Es ist kein AAAA Record angelegt. Trotzdem erhalte ich folgendes Ergebnis:

user@machine:~$ dig x.ignorelist.com

; <<>> DiG 9.9.5-3-Ubuntu <<>> x.ignorelist.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25373
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 7

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;x.ignorelist.com.              IN      A

;; ANSWER SECTION:
x.ignorelist.com. 60            IN      A        1.2.3.4

;; AUTHORITY SECTION:
ignorelist.com.         3600    IN      NS       ns1.afraid.org.
ignorelist.com.         3600    IN      NS       ns4.afraid.org.
ignorelist.com.         3600    IN      NS       ns2.afraid.org.
ignorelist.com.         3600    IN      NS       ns3.afraid.org.

;; ADDITIONAL SECTION:
ns1.afraid.org.         244     IN      A        50.23.197.95
ns1.afraid.org.         244     IN      AAAA     2607:f0d0:1102:d5::2
ns2.afraid.org.         255     IN      A        208.43.71.243
ns2.afraid.org.         255     IN      AAAA     2607:f0d0:3001:e::2
ns3.afraid.org.         244     IN      A        69.197.18.162
ns4.afraid.org.         2782    IN      AAAA     2610:150:bddb:d271::2

;; Query time: 130 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Sun Jun 08 16:49:58 CEST 2014
;; MSG SIZE  rcvd: 282

Und für v6:

user@machine:~$ dig AAAA x.ignorelist.com

; <<>> DiG 9.9.5-3-Ubuntu <<>> AAAA x.ignorelist.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22154
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;x.ignorelist.com.       IN      AAAA

;; AUTHORITY SECTION:
ignorelist.com.         3600    IN      SOA     ns1.afraid.org. dnsadmin.afraid.org. 1406081001 86400 7200 2419200 3600

;; Query time: 129 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Sun Jun 08 17:33:15 CEST 2014
;; MSG SIZE  rcvd: 111

Kein Timeout. Die Abfragen wurden mit den DNS des CCC Berlin und Ex-FoeBuD durchgeführt, die im Router hinterlegt sind.

Wenn alle Adressen korrekt für v4 und v6 aufgelöst werden, das jedoch nur mit einem bestimmten DNS nicht klappt, dann liegt die Vermutung nahe, daß der Fehler nicht bei dir sondern an diesem einen DNS liegt. Wenn man fragen darf: Wie ist seine IP und um welche DynDNS-Subdomain genau dreht es sich (notfalls per PN)? Dann kann ein Zweiter, ein Unabhängiger prüfen, ob das Problem bei ihm auch auftritt.

Hast du per Freetz oder so einen BIND9 auf deiner FRITZ!Box laufen?

 

[And1.G]

Knifflig, aber versuchen wir’s mal. Vielleicht bringt ja auch allein die Diskussion darum schon die zündende Idee.

Der Zusatz für v4 und v6 gleichzeitig bei afraid.org ist korrekt gesetzt?

Jap, ist gesetzt. Habe mir dafür ein Skript geschrieben, welches auf der APU-Kiste läuft. Dieses ermittelt die öffentliche IPv4- und IPv6-Adresse und ruft dann den Aktualisierungslink einmal für jede Adresse auf. Die Fritzbox kann das soweit ich weiß ja nicht mit IPv6. Auf der Afraid-Webseite kann ich auch sehen, dass die richtigen Adressen eingetragen sind. (Also IPv4 bei A und IPv6 bei AAAA).

Welchen DNS benutzt die FRITZ!Box oder dein Rechner, wenn du keinen speziellen wie im letzten Codebeispiel angibst?

Standardmäßig wird der Fritzbox-Interne DNS-Server benutzt, wenn nicht anders angegeben fragt dig über IPv6 ab. Das gleiche Ergebnis erhalte ich aber auch bei einer erzwungenen IPv4-Abfrage.
Die Fritzbox ist so konfiguriert, dass sie für IPv4 sowie IPv6 die vom Provider zugewiesenen DNS-Server benutzt. Diese besitzen die folgenden Adressen (Telekom DNS):

217.237.151.205(aktuell genutzt für Standardanfragen)

217.237.148.70
2003:180:2:2000::53
2003:180:2:1000::53

Die vier habe ich auch alle manuell mit dig durchgecheckt, die lösen meine Subdomain alle korrekt auf.
Von einem Server aus, der nicht im LAN steht habe ich auch schon erfolgreich die AAAA-Records abgefragt.

Das Problem scheint also ziemlich sicher in der Fritzbox zu liegen. Firmware-Version ist 74.05.54 (FRITZ!OS 05.54) mit freetz-devel-11688. bind oder dnsmasq sind über freetz nicht installiert.


Zum Testen habe ich mal dasisteintest.mooo.com mit A- und AAAA-Record eingerichtet und nach Ablauf der TTL werden beide über den Fritzbox-DNS-Server aufgelöst. Meine vorherige Subdomain produziert jedoch weiterhin eine Zeitüberschreitung...
Ich werde die Fritzbox jetzt mal neu starten und eine Stunde warten, bis sich alle beteiligten Caches wieder aktualisiert haben. Kann doch irgendwie nicht sein... Bei vier Linux-Rechnern und einem Android Handy bekomme ich diese Zeitüberschreitung angezeigt bei Abfrage über die Fritzbox. Wird ein anderer DNS-Server genutzt habe ich keine Probleme auf keinem der Geräte...

 

[DeusoftheWired]

Die vier habe ich auch alle manuell mit dig durchgecheckt, die lösen meine Subdomain alle korrekt auf.

Also das ist echt seltsam. Wenn das Ziel 217.237.151.205 bei beiden Verfahren das gleiche ist, du aber über einen anderen Weg ein anderes Ergebnis bekommst, muß ja etwas mit dem Weg nicht stimmen.
Bei der ersten Methode fragt dig den eigenen Rechner, zu welcher IP dein DynDNS-Name auflöst. Der weiß es nicht und fragt die FRITZ!Box. Die FRITZ!Box weiß das auch nicht und fragt den Provider-DNS. Dieser antwortet und so wird die Antwort zur FRITZ!Box, zum Rechner und zu dig weitergegeben. Soweit die Theorie …
Bei der zweiten Methode fragt dig gleich den Provider-DNS und macht sozusagen keinen Umweg über die FRITZ!Box. Damit funktioniert es. Also muß das Problem beim Umweg liegen.

An deiner Stelle würde ich das Problem mit Link zu diesem Thread auf dem Freetz-Bugtracker/Forum/IRC/whatever posten.

Brauchst du eigentlich zwingend ein Feature dieser devel-Version, oder hast du es mal mit einer der stables versucht?

Probieren kannst du noch, einen primären und sekundären DNS (die der Telekom oder alternative wie 85.214.20.141 und 213.73.91.35) in der FRITZ!Box zu hinterlegen, um damit ausschließen zu können, daß es am Fallback zum Befragen des Provider-DNS liegt.

 

[And1.G]

Die Theorie ist soweit bekannt Die Idee, feste DNS-Server einzutragen hatte ich auch schon. Der Einfachheit halber habe ich die von Google genommen, da es der einzige war zu dem ich auf die Schnelle IPv6-Adressen gefunden hab. Hatte jedoch keinen Effekt.

Jetzt habe ich die Box neu gestartet und siehe da, die Auflösung läuft... (Über den Fritzbox-DNS-Server)
Ich werde das mal im Auge behalten und wenn es in naher Zukunft nochmal auftritt einen Stable-Branch ausprobieren.

Vielen Dank jedenfalls erstmal für deine Hilfe!




Ergänzung:
Zu früh gefreut... Die erste Abfrage war erfolgreich, der darauf folgende Versuch das System zu aktualisieren scheiterte wieder daran, dass der Hostname nicht aufgelöst werden konnte... Daraufhin wieder die gleichen Probleme mit dig.




Die Lösung:
Da hätte ich auch eher drauf kommen können!

DNS-Rebind-Schutz

FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie eine Liste von Domainnamen angeben, für die der DNS-Rebind-Schutz nicht gelten soll.

Zu finden unter Heimnetz/Netzwerk und dann Netzwerkeinstellungen.

Dort einfach den dynamischen Hostnamen eintragen und für die Weiterleitung noch die richtige Domain. *.example.com funktioniert auch!


Die erste Abfrage nach dem Neustart hat bei näherem Betrachten auch nur funktioniert, da der DNS-Server im Cache noch die alte IPv6-Adresse im AAAA-Record hatte. Die unterschied sich nur an zwei Stellen der ellenlangen Nummer, das ist mir wohl durchgegangen. Durch den Unterschied gehörte sie aber auch nicht mehr zum Heimnetz und wurde von der Fritzbox durchgelassen.

 

[DeusoftheWired]

Verdammt, über die Sache mit dem DNS-Rebind bin ich vor fünf Tagen erst wieder gestolpert. Aber klasse, daß du es hinbekommen hast!