- Anzeige -

Zwangs DNS

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Zwangs DNS

Beitragvon addicted » 02.03.2011, 22:44

Gib bitte mal auf der Eingabeaufforderung Deines Rechners Folgendes ein:
Code: Alles auswählen
tracert 62.116.180.6


Dann kopier uns die Ausgabe.
addicted
Glasfaserstrecke
 
Beiträge: 1972
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: Zwangs DNS

Beitragvon conscience » 02.03.2011, 22:51

Was sind den das für komische DNS Server bzw.
IP Adressen?
:kratz:

Schon mal die richtigen probiert?
conscience
Kabelkopfstation
 
Beiträge: 3634
Registriert: 24.12.2007, 11:16

Re: Zwangs DNS

Beitragvon piotr » 02.03.2011, 22:53

Dann stell auch mal im Router die DNS-Server von festen Werten auf automatisch beziehen um.

Die 80.69.98.110 und 80.69.100.12 sind zwar von UM.
UM hat aber anscheinend vor mittlerweile einigen Jahren die DNS-Aufgaben getrennt.
80.69.98.110 und 80.69.100.12 kennen nur noch die Eintraege, die auf dem Server in den Zonen liegen (authoritative nameserver).

Als Resolver werden von UM automatisch 2 von diesen 6 vergeben:
80.69.100.174 (lt. DNS-Eintrag soll der Server in Neuss stehen)
80.69.100.182 (lt. DNS-Eintrag soll der Server in Duisburg stehen)
80.69.100.198 (lt. DNS-Eintrag soll der Server in Frankfurt/M. stehen)
80.69.100.206 (lt. DNS-Eintrag soll der Server in Kerpen stehen)
80.69.100.214 (lt. DNS-Eintrag soll der Server in Huerth stehen)
80.69.100.230 (lt. DNS-Eintrag soll der Server in Dortmund stehen)
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Zwangs DNS

Beitragvon piotr » 02.03.2011, 23:21

addicted hat geschrieben:...DNSSEC signierte Antworten könnte der Provider einfach unverändert weiterleiten, das wird bisher noch zu selten verwendet.
...

Die UM Resolver koennen DNSSEC, musst es nur bei Dir lokal z.B. im dig einschalten.
Befrage dazu mal mit dig und der Option +dnssec einen der UM Resolver bei einer Domain einer bereits signierten Top Level Domain. z.B www.whitehouse.gov.

Was UM allerdings nicht macht, ist die DNSSEC-Validierung.
D.h. Du bekommst dann zwar die Eintraege der verwendeten DNSSEC Keys angezeigt, musst aber selbst pruefen ob die stimmen.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Problem gelöst

Beitragvon Cobi » 07.03.2011, 15:35

Vielen Dank allen die geantwortet haben für ihre konstruktiven Beiträge (euren Forentroll mal ausgenommen).
Leider haben sie mir nicht weiter geholfen. Nun da das Problem gelöst ist kann ich nur sagen, meine Vermutungen haben sich zwar als die richtige Richtung heraus gestellt, eure Reaktkionen darauf waren daher auch recht plausibel.

Das Problem war ein Firewalleintrag auf der Route zum Webserver der gewünschten Internetseite. Wie meine IP da hin geraten sein könnte ist mir völlig unerklärlich und es konnte auch niemand sagen, wie lange sie schon da drin stand.

Angesichts der Seltenheit der Ursache meines Problems, dürfte wohl der Beitrag für die wenigsten wirklich interessant sein und kann meinetwegen archiviert werden.

An dieser Stelle möchte ich mich auch bei Unitymedia für die unbegründete Verdächtigung einen Zwangs-DNS zu setzen entschuldigen.

MfG, Cobi
Cobi
Kabelneuling
 
Beiträge: 5
Registriert: 01.03.2011, 22:45

Re: Zwangs DNS

Beitragvon addicted » 07.03.2011, 16:59

Vielleicht ein Eintrag wg. Abuse/Spam/Bruteforce. Gibt Scripte dafür, z.B. fain2ban.

Brauchst Dich nicht entschuldigen. Ist ja gut, dass sich mal ein paar Leute mit dem Thema beschäftigt haben, und wir feststellen konnten, dass alles in Ordnung ist. So ist es besser, als wenn es keinen interessiert und der Netzbetreiber deshalb machen kann was er will ;)
addicted
Glasfaserstrecke
 
Beiträge: 1972
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: Zwangs DNS

Beitragvon FBI01 » 07.03.2011, 22:31

Habe mir dieses Thema eher zufällig durchgelesen, würde aber gerne noch dies ergänzen:

1. "Zwangs DNS" ist nicht üblich (eher "Zwangs-Proxy"). Da Unitymedia (UM) die IP-Adresse per DHCP zuweist, werden dem Router oder dem direkt angeschlossenen Host (i.d.R.) auch 2 DNS Server als IP-Adresse übergeben. Diese Adressen können jederzeit abgeändert werden. Es kann jedoch sein, dass der selbst gewählte DNS die Abfrage ablehnt (status: REFUSED), wenn diese nicht aus dem eigenen Kundennetz kommen. Dies ist üblich, um Netzlast zu vermeiden.

2. Die DNS Server von Unitymedia werden je nach Standort vom DHCP Server vergeben. Nur wenn der erste DNS nicht erreichbar ist, wird der zweite DNS benutzt. Leider sieht das Konzept von Unitymedia nicht sehr professionell aus: Neben dem tatsächlichen DNS Server (der auch redundant sein kann hinter einem Laod-Balancer usw.) kann auch ein ganzes Netz (80.69.96.0/20, AS20825) ausfallen. Alle Server liegen im selben Netz - dann ist bei einem Ausfall kein DNS mehr erreichbar. Da nützt die Zahl der theoretisch verfügbaren Server leider nichts. Wenn die DNS nicht erreichbar sind, ist das Kundennetz quasi tot - wer trägt schon selbst andere DNS ein ...

3. Eigentlich wollte ich was zu IPv6 suchen: Auf den Seiten von Unitymedia sind die in Google noch gefundenen Texte zu IPv6 leider verschwunden. Aber Unitymedia scheint verfügbare AAA-Records bereits aufzulösen. Gibt es irgendwo schon einen Hinweis von UM, dass IPv6 bereits vollständig im IP-Netz unterstützt wird ? Jedenfalls wird im Browser http://[2a02:2e0:3fe:100::8] bereits aufgelöst und abgefragt.

Grüße FBI01
FBI01 nutze "Kabelfernsehen" von 1984-2008; heute nur noch einen DOCSIS3-Anschluss mit fester IP, für den Zugriff auf das Internet.
Benutzeravatar
FBI01
Kabelexperte
 
Beiträge: 197
Registriert: 25.04.2008, 13:34

Re: Zwangs DNS

Beitragvon piotr » 08.03.2011, 00:46

FBI01 hat geschrieben:...
... Leider sieht das Konzept von Unitymedia nicht sehr professionell aus:
Neben dem tatsächlichen DNS Server (der auch redundant sein kann hinter einem Laod-Balancer usw.) kann auch ein ganzes Netz (80.69.96.0/20, AS20825) ausfallen. Alle Server liegen im selben Netz - dann ist bei einem Ausfall kein DNS mehr erreichbar. ...

Du vermischst hier DNS-Aufgaben.

Die vom Provider per DHCP uebermittelten DNS-Server sind idR nur Resolver. Resolver haben bis auf localhost keine weiteren DNS-Zonen drauf. Sie beantworten bei UM ausschliesslich die rekursiven DNS-Anfragen der UM-User.

Wenn hier das Ergebnis der DNS-Anfrage im DNS-Cache verfuegbar ist, dann kommt die DNS-Antwort aus dem schnelleren DNS-Cache.
Wenn die DNS-Anfrage nicht im DNS-Cache ist, ermittelt ein Resolver -falls kein Forward DNS-Server auf dem Resolver konfiguriert ist- interativ (ueber die DNS root Server und weiter bis zu den jeweiligen DNS-Servern) die zustaendigen (authoritative) DNS-Server der gesuchten DNS-Zone und befragt dann einen von den zustaendigen DNS-Servern.

Bei Resolvern ist es egal, ob sie in unterschiedlichen AS stehen.
Denn wenn das Routing zum bzw. innerhalb des Unitymedia-Netzes ausfallen sollte, dann hat Dein UM-Anschluss auf IP-Ebene (Layer3) auch Probleme weil die IPs der User auch im UM-Netz AS20825 sind.

Wenn Du Dir die DNS-Zonen unitymedia.de und unitybox.de mal genauer anschaust, dann siehst Du das neben 2 DNS-Servern aus dem UM-Netz (die unterschiedlich zu den per DHCP vergebenen DNS-Servern sind) noch 3 weitere DNS-Server aus verschiedenen AS fuer diese DNS-Zonen zustaendig sind.
D.h. DNS zu UM DNS-Zonen funktioniert ausserhalb von UM auch dann falls mal deren gesamtes Netz (AS20825) ausfallen sollte.

...Unitymedia scheint verfügbare AAA-Records bereits aufzulösen.

AAAA Resource Records koennen problemlos ueber IPv4 angebundene Resolver aufgeloest werden.
Es ist kein Indiz, dass IPv6 geroutet wird.

Jedenfalls wird im Browser http://[2a02:2e0:3fe:100::8] bereits aufgelöst und abgefragt.

Der HTTP-Zugriff auf die IPv6-Adresse kann ein Indiz sein, dass sich bei UM etwas in Sachen IPv6 tut.
Allerdings auch nur dann, wenn Du auf Deiner Seite nirgends IPv6-Tunnel (z.B 6to4 oder teredo) konfiguriert hast.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Zwangs DNS

Beitragvon FBI01 » 08.03.2011, 21:50

Du vermischst hier DNS-Aufgaben.

Nö.
Die vom Provider per DHCP uebermittelten DNS-Server sind idR nur Resolver. Resolver haben bis auf localhost keine weiteren DNS-Zonen drauf. Sie beantworten bei UM ausschliesslich die rekursiven DNS-Anfragen der UM-User.

Habe nicht behauptet, dass UM in seinen DNS kein allgemeines Zonen-Forwarding macht. Was meinst Du mit "Resolver" ? Kenne ich gar nicht im Bereich DNS auf der Server-Seite ...
Wenn hier das Ergebnis der DNS-Anfrage im DNS-Cache verfuegbar ist, dann kommt die DNS-Antwort aus dem schnelleren DNS-Cache. (...)

Wenn ein DNS nicht mehr erreichbar ist, dann ist dieser Umstand nicht relevant.
Denn wenn das Routing zum bzw. innerhalb des Unitymedia-Netzes ausfallen sollte, dann hat Dein UM-Anschluss auf IP-Ebene (Layer3) auch Probleme weil die IPs der User auch im UM-Netz AS20825 sind.

Das stimmt natürlich. Ich erkenne aber auf der Kundenseite nur ein Netz für die DNS. Die Kunden sind ja in ganz unterschiedlichen Netzen, die sich sicher mit den DHCP Server auch gegenseitig absichern. Ab und zu erhält man ja auch mal eine IP aus einem ganz anderen Adressbereich (zufällig oder auch nicht). Auf die AS muss man da noch gar nicht schauen, hatte ich auch nur der Vollständigkeit halber mit angegeben. Wenn das Netz der DNS futsch ist, dann sind die Kunden ohne Namensauflösung.
Wenn Du Dir die DNS-Zonen unitymedia.de und unitybox.de mal genauer anschaust, dann siehst Du das neben 2 DNS-Servern aus dem UM-Netz (die unterschiedlich zu den per DHCP vergebenen DNS-Servern sind) noch 3 weitere DNS-Server aus verschiedenen AS fuer diese DNS-Zonen zustaendig sind.
D.h. DNS zu UM DNS-Zonen funktioniert ausserhalb von UM auch dann falls mal deren gesamtes Netz (AS20825) ausfallen sollte.

Die UM Domains sind völlig uninteressant. Fallen diese Domains aus, weil die eigenen DNS Server Services (Hosts) aus dem UM-Zonen nicht mehr korrekt bekannt machen, dann hat UM ein Teilproblem, aber insgesamt fällt der Zugriff auf das Internet nicht aus ...
AAAA Resource Records koennen problemlos ueber IPv4 angebundene Resolver aufgeloest werden.
Es ist kein Indiz, dass IPv6 geroutet wird.

AAA > AAAA - sorry, Tippfehler! Stimmt, das ist kein Indiz.
Der HTTP-Zugriff auf die IPv6-Adresse kann ein Indiz sein, dass sich bei UM etwas in Sachen IPv6 tut.
Allerdings auch nur dann, wenn Du auf Deiner Seite nirgends IPv6-Tunnel (z.B 6to4 oder teredo) konfiguriert hast.

Nein, keine Tunnel konfiguriert. Die Adresse wird direkt von meinem IPv4/IPv6-Dual-Stack-Client abgefragt und erhält IPv6-Pakete. Steht zumindest so im Log der FW. Wegen der noch fehlenden IPv6-DNS-Adressen (!) bei UM, ist ein reiner IPv6-Betrieb zum Testen ja leider nicht möglich ...

Hast Du denn man die IPv6 Adresse von heise aufgerufen?
FBI01 nutze "Kabelfernsehen" von 1984-2008; heute nur noch einen DOCSIS3-Anschluss mit fester IP, für den Zugriff auf das Internet.
Benutzeravatar
FBI01
Kabelexperte
 
Beiträge: 197
Registriert: 25.04.2008, 13:34

Re: Zwangs DNS

Beitragvon oxygen » 08.03.2011, 21:56

Der HTTP-Zugriff auf die IPv6-Adresse kann ein Indiz sein, dass sich bei UM etwas in Sachen IPv6 tut.
Allerdings auch nur dann, wenn Du auf Deiner Seite nirgends IPv6-Tunnel (z.B 6to4 oder teredo) konfiguriert hast.

Nein, keine Tunnel konfiguriert. Die Adresse wird direkt von meinem IPv4/IPv6-Dual-Stack-Client abgefragt und erhält IPv6-Pakete. Steht zumindest so im Log der FW. Wegen der noch fehlenden IPv6-DNS-Adressen (!) bei UM, ist ein reiner IPv6-Betrieb zum Testen ja leider nicht möglich ...

Sicher? Teredo ist unter Windows Vista und Windows 7 standardmäßig aktiviert.

Telekom Entertain IP VDSL50 mit IPv6/IPv4-Dual-Stack Router: Netgear DGNB3800B
Früher: Unitymedia
oxygen
Glasfaserstrecke
 
Beiträge: 1321
Registriert: 30.09.2009, 16:53

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Google [Bot], Yahoo [Bot] und 16 Gäste