Pi VPN/SSH kein Zugriff auf Fritzbox wg. DNS-Rebindschutz

[h00bi]

Hallo zusammen,

da meine Eltern vermehrt Probleme mit ihrem Internetanschluss haben, habe ich zur Ferndiagnose einen übrig gebliebenen ZeroPi frisch gemacht und in deren Netz platziert.

Ich komme sowohl durch einen Wireguard VPN Tunnel als auch durch einen SSH Tunnel per VNC auf den Pi.
Leider ist der ZeroPi bei der Anzeige des Fritzbox Webinterface ziemlich lahm, was das lesen der Fritzbox Logs extrem mühselig macht.

Daher würde ich gerne direkt über VPN oder SSH Tunnel von meinem Remoteclient aus auf das Webinterface der Fritzbox 7490 zugreifen.
Die Fritzbox lehnt das jedoch ab wegen DNS Rebind Schutz.

Aus Sicherheitsgründen blockiert die FRITZ!Box den Zugriff auf ihre Benutzeroberfläche und Geräte im Heimnetz über ihr unbekannte Hostnamen

Ich lese da raus, dass ich muss den Hostnamen meines Remoteclients (h00bipc) da angeben muss. Funktioniert aber trotz Neustart nicht.

Mir ist nun nicht so ganz klar, was ich bei diesem Setup bei der FB im DNS Rebind Schutz als Ausnahme eintragen soll....

 

[p4cx]

Und wieso so kompliziert und nicht via Remotedesktop oder so auf den Rechner zugreifen, wenn es denn Probleme geben sollte?

 

[kartoffelpü]

Die Fritzbox lehnt das jedoch ab wegen DNS Rebind Schutz.

Und einfach die IP der FBox (über VPN) nehmen geht nicht?

 

[glotzkowski]

wireguard ? oder opvpn ?

 

[Geisi]

Wireguard VPN Tunnel

wireguard ? oder opvpn ?

 

[kartoffelpü]

wireguard ? oder opvpn ?

Wireguard VPN Tunnel als auch durch einen SSH Tunnel

 

[Raijin]

Der DNS-Rebindschutz bezieht sich eigentlich darauf, dass die Fritzbox keine DNS-Namen akzeptiert, die auf eine lokale IP-Adresse auflösen. Beispielsweise wenn man eine DDNS-Domain im Heimnetz direkt auf die lokale IP des Servers zeigen lassen will.

Mit VPN hat das nur am Rande zu tun, weil das ein Schutz vor Rebind-Attacken ist. Hintergrund ist der, dass ein Angreifer eine Domain buchen kann und im DNS-Record hinterlegt er statt der WAN-IP des Webspace die lokale IP deiner Fritzbox (*). Surfst du diese vermeintliche Webseite an, würde die Verbindung auf deine Fritzbox umleiten, aber darüber hätte der Angreifer die Möglichkeit, Code zu injecten (*) und deine Fritzbox anzugreifen.
Die Fritzbox merkt dies, weil der Reply auf den DNS-Query mit einer der Fritzbox unbekannten Domain - eine angebliche Webseite im www - mit einer lokalen IP aufgelöst wird und blockiert.

Wie @kartoffelpü es schon vorgeschlagen hat, solltest du es mal direkt mit der IP-Adresse versuchen, 192.168.178.1 ab Werk. Das setzt allerdings voraus, dass Quell- und Ziel-Subnetz unterschiedlich sind, weil du sonst auf deiner eigenen Fritzbox landen würdest, wenn du denn eine hast und dasselbe Subnetz verwendest.



(*) Sehr vereinfacht ausgedrückt, einen Schritt habe ich bewusst ausgelassen.

 

[kartoffelpü]

Das setzt allerdings voraus, dass Quell- und Ziel-Subnetz unterschiedlich sind

Er wird schon unterschiedliche Netze eingerichtet haben, da er sich sonst nicht per SSH oder VPN auf den Pi bei seinen Eltern verbinden könnte.

 

[Raijin]

Da hast du auch wieder Recht. Manchmal sehe ich das Offensichtliche vor lauter Erklärungen nicht

 

[h00bi]

solltest du es mal direkt mit der IP-Adresse versuchen, 192.168.178.1 ab Werk.

Ich verbinde per VPN direkt auf die 192.168.0.1 der elterlichen Fritzbox, nicht auf fritz.box, trotzdem kommt diese Meldung. Ich habe auch das Source Netz schon gewechselt auf einen anderen Internetanschluss.

Per SSH Tunnel verbinde ich auf http://localhost bzw. https://localhost, da Port 80 und Port 443 der FB7490 durch den SSH Tunnel auf lokal gemapped werden.

Beim wireguard setup bin ich mir nicht 100% sicher ob alles passt, da dies das erste Wireguard Setup ist. Davor habe ich meist openVPN verwendet.

Ich schalte jetzt erstmal für die nächsten Tage das webinterface per https mit starkem Kennwort nach außen frei, bis die Internetprobleme weg sind.

Danach reicht mit i.d.R. der VNC so wie er grade läuft, nur fürs logs lesen halt unbrauchbar langsam.

 

[Raijin]

Hm.. Der Zugriff via IP müsste allerdings funktionieren, weil der DNS-Rebindschutz da ja gar nichts mit zu tun hat - es sei denn die Fritzbox macht ggfs sowas wie die Speedports, die nach Eingabe der IP automatisch auf speedport.ip umleiten und somit tatsächlich ohne funktionierenden DNS (oder hosts-Eintrag) nicht aufrufbar sind. Ich kenne mich leider mit Fritzboxxen im Detail nicht aus und weiß nicht ob da evtl. auf fritz.box umgeleitet wird, was dann womöglich einen DNS-Rebindfehler hervorruft.

Ich lese da raus, dass ich muss den Hostnamen meines Remoteclients (h00bipc) da angeben muss. Funktioniert aber trotz Neustart nicht.

Der Hostname des Clients ist irrelevant. Es geht beim DNS-Rebind einzig und allein um DNS-Requests, die auf lokale IPs auflösen, wie ich versucht habe zu erklären.
Ausnahmen, die man in der GUI eintragen kann, sind Domains, bei denen dieser Schutz explizit aufgehoben wird. Das wäre beispielsweise der Fall, wenn man eine DDNS-Domain von zu Hause direkt mit der lokalen IP füttern möchte, anstatt den Umweg über die WAN-IP gehen zu müssen. Unterwegs würde DDNS bei public-DNS auf deine WAN-IP auflösen, im lokalen Heimnetz würde dieselbe Domain dann mit der lokalen Server-IP beantwortet - und genau das müsste man als Ausnahme definieren.


Wie dem auch sei, ich kann mir nicht so recht erklären warum und wieso der Schutzmechanismus in deinem Fall ausgelöst wird....

Eine Maßnahme zum Testen wäre beispielsweise ein SNAT am Wireguard-Endpunkt. Alles was aus dem VPN kommt und ins elterliche Heimnetz geht, wird mittels masquerade an die 192.168.0.x source IP des Wireguard hosts angepasst und die Fritzbox "denkt", dass die Anfrage von eben diesem Gerät kommt.
Wobei.... .... ... Eigentlich hast du ja offensichtlich schon Verbindung via VPN zur FB, also entweder ist eine Route eingetragen oder du hast schon SNAT konfiguriert.... ach ich weiß auch nicht, keine Ahnung, scheiß Tag heute