Frage zu DNSv6 in Fritzbox 6591 Cable

[tq1199]

... "falschen Ergebnissen die nur ins leere führen" ausgeben, sehe ich einen grossen Unterschied.

OK, dann hast ja verstanden um was es geht ... und für das "falsche Ergebnis" kannst Du dich bei Cloudflare beschweren. ;-)
Aber mach mal einen DNS-leak-Test. Vielleicht kann man dann sehen, warum auf deinem System, anders aufgelöst wird.

EDIT:

BTW: Man kann das was auf deinem System evtl. statt findet, auch reproduzieren, z. B. mit einem destination-NAT am output-Interface.
Vor der DNAT-Regel:

:~# nslookup youporn.com 1.1.1.3
Server: 1.1.1.3
Address: 1.1.1.3#53

Non-authoritative answer:
Name: youporn.com
Address: 0.0.0.0

DNAT-Regel:

iptables -t nat -I OUTPUT 1 -o eth0 -p udp --dport 53 -j DNAT --to-destination 1.1.1.1

Nach dem setzen der DNAT-Regel:

:~# nslookup youporn.com 1.1.1.3
Server: 1.1.1.3
Address: 1.1.1.3#53

Non-authoritative answer:
Name: youporn.com
Address: 66.254.114.79

 

[Joerg123]

also ist es schon so, dass die Adressauflösung grundsätzlich falsch ist mit 0000, allerdings so gewollt
und ich hab da den Fehler gesehen, denn wie man an meinem Beispiel sieht, funktioniert die Namensauflösung mit dem gleichen DNS-Server. Ich kann das erstmal nicht reproduzieren, nslookup in ner Dosbox macht eigentlich das, was er auch anzeigt, nämlich den angegebenen Server abfragen. Ist heute nicht anders. Der DoT DNS-Server der Fritzbox eingetragen ist, sollte damit absolut nichts zu tun haben, ebenfalls purer Zufall, dass one-one.one.one ebenfalls zu Cloudflare gehört.

B:\Users\User>ipconfig -flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
B:\Users\User>nslookup - 1.1.1.3
Default Server: UnKnown
Address: 1.1.1.3
> youporn.com
Server: UnKnown
Address: 1.1.1.3
Non-authoritative answer:
Name: youporn.com
Address: 66.254.114.79

Aber ein simples "ins leere laufen lassen" ist auch nicht mein Ziel, ich hätte dann schon gerne eine Info, dass der Zugriff pro-aktiv gesperrt worden ist, was mir dann Möglichkeiten gibt, dieses Ergebnis hinzunehmen, oder was zu ändern, aber eben nicht das Gefühl zu haben, dass es die Domain nicht gibt, der Server down ist, whatever

 

[MetroStar1974]

Nur damit alle beruhigt sind…

Ich habe nun wieder die Standard-Einstellungen in der FB 6591 Cable drin. Daß heißt, ich bin wieder mit den Provider eigenen DNS unterwegs.

 

[tq1199]

Ich kann das erstmal nicht reproduzieren, nslookup in ner Dosbox macht eigentlich das, was er auch anzeigt, nämlich den angegebenen Server abfragen.

Nein, das kann man so nicht sagen, dass nslookup das macht was es angibt. Du könntest das sehr wohl, mit z. B. wireshark oder gleichwertig testen.
Hier z. B. ein Test mit tcpdump. Obwohl nslookup den Server 1.1.1.3 anfragt, wird die Anfrage, vom System an den Server 1.1.1.1 gesendet bzw. umgeleitet:

:~# tcpdump -vni eth0 port 53 and host 1.1.1.1
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:39:06.931364 IP (tos 0x0, ttl 64, id 17880, offset 0, flags [none], proto UDP (17), length 57)
192.168.178.13.50520 > 1.1.1.1.53: 27328+ A? youporn.com. (29)
19:39:06.961076 IP (tos 0x0, ttl 55, id 2254, offset 0, flags [DF], proto UDP (17), length 73)
1.1.1.1.53 > 192.168.178.13.50520: 27328 1/0/0 youporn.com. A 66.254.114.79 (45)
19:39:06.961772 IP (tos 0x0, ttl 64, id 17883, offset 0, flags [none], proto UDP (17), length 57)
192.168.178.13.52012 > 1.1.1.1.53: 53745+ AAAA? youporn.com. (29)
19:39:06.978029 IP (tos 0x0, ttl 55, id 1258, offset 0, flags [DF], proto UDP (17), length 124)
1.1.1.1.53 > 192.168.178.13.52012: 53745 0/1/0 (96)

Und das wird auf deinem System, nicht anders sein.

Aber ein simples "ins leere laufen lassen" ist auch nicht mein Ziel, ich hätte dann schon gerne eine Info, dass der Zugriff pro-aktiv gesperrt worden ist, ...

OK, aber wo bzw. mit was hättest Du gerne so eine Info? Weißt Du wie dein Browser reagiert bzw. welche Info er dir liefert/zeigt, wenn er eine Namensauflösung auf die IP-Adresse 0.0.0.0 bekommt?
Das was hier mit nslookup gezeigt wird, ist doch lediglich die Namensauflösung mit einem ganz einfachen minimalen Test in der Kommandozeile. Das sagt doch nichts darüber aus, wie ein Browser reagiert bzw. damit umgeht.
Und es ist ja für diese Diskussion hier, auch nicht relevant, denn die Fragestellung war, was könnte ein möglicher Grund sein, um alternative DNS-Server (statt die vom ISP) zu benutzen?

 

[Joerg123]

ich kenne Wireshark wohl, aber wir wollen es jetzt nicht übertreiben, da müsste ich mich schon wieder ne Weile mit beschäftigen

klar weiss ich was ich will: umgeleitet werden auf eine Webseite "vom DNS-Anbieter" welche mich über die Massnahme, im Idealfall mit dem Grund dafür informiert und völlig optimal, wenn ich direkt eine Umgehung des Blockens anklicken könnte
So kannich dir sagen was für eine Meldung kommt: Pale Moon can't establish a connection to the server at 0.0.0.0. - respektive allem, was ich oben als URL eingegeben habe, alternativ von Firefox: Unable to connect. An error occurred during a connection to 0.0.0.0. <oder der Anzeige der angewählten URL anstelle von 0000> und die üblichen Hinweise von Firefox, dass der Server down sein mag usw.
Und ich will ja nicht jedesmal, wenn ein Link/ein Bookmark usw. (temporär) nicht funktioniert, manuell prüfen, ob der DNS-Server hier mit 0000 geantwortet hat.

Grund habe ich schon genannt: zum einen der Schutz vor gefährlichen Webseiten, für Familien bzw. Kinder auch "Erwachseneninhalte", sowie nicht jedem zu zeigen, welche Seiten ich aufrufe, was ich mit den DNS-Anfragen im Grunde ja tue und weshalb ich froh bin, dass zumindest mit one.one.one.one nun DoT dauerhaft zu funktionieren scheint mit der Fritzbox.

 

[tokon]

Der DoT DNS-Server der Fritzbox eingetragen ist, sollte damit absolut nichts zu tun haben

ok, daran liegt es nicht, hab eben auch mal DoT aktiviert, immer noch 0.0.0.0

PS C:\Users\user> nslookup - 1.1.1.3
Standardserver: UnKnown
Address: 1.1.1.3
> youporn.com
Server: UnKnown
Address: 1.1.1.3
Nicht autorisierende Antwort:
Name: youporn.com
Addresses: :: 0.0.0.0

 

[ThoDie]

Hallo zusammen

denke hier gibt es einen Gedankenfehler. Das Verhalten mit 0.0.0.0 bei einem DNS Server auf 1.1.1.3 ist absolut korrekt. Hier arbeitet der "Familyfilter" und sortiert "böse" Seiten raus. Das Verhalten entspricht dem bei PiHole, wenn man dort etwas "blocked". Dann wird auch als IP Adresse nun "0.0.0.0" zurück gegeben. Zitat aus der PiHole FAQ:

This blocking mode is the Pi-hole developers' recommendation.

Following RFC 3513, Internet Protocol Version 6 (IPv6) Addressing Architecture, section 2.5.2, the address 0:0:0:0:0:0:0:0 (or :: for short) is the unspecified address. It must never be assigned to any node and indicates the absence of an address. Following RFC1122, section 3.2, the address 0.0.0.0 can be understood as the IPv4 equivalent of ::.

Advantages

• The client does not even try to establish a connection for the requested website
• Speedup and less traffic
• Solves potential HTTPS timeouts as requests are never performed
• No need to run a web server on your Pi-hole (reduces complexity when running other web services on the same machine)

Disadvantage

• Blocking page cannot be shown and whitelisting has to be performed from the dashboard or CLI

Wo stelle ich DNS ein: Es gibt zwei Stellen. Bei den Zugangseinstellungen wird ausschließlich der DNS Up Server für die FritzBox eingestellt. Mit dem kommuniziert ausschließlich die FritzBox. Da die FritzBox selbst als DNS Server verwendet werden kann (was einen Sinn hat, wenn ich auch lokale Systeme auflösen will) ist ...

FALL A: Werkseinstellung ist:

* Provider DNS <--> FritzBox <--> Client (FB DNS via DHCP etc. zugeteilt).

FALL B: Dann kann man DoT verwendet:

* DoT Server (z.B. one.one.one.one) <-->> FritzBox <--> Client (DNS via DHCP etc. zugeteilt).

FALL C: Dann kann man das Trennen und die FritzBox sowie die Clients fragen getrennt eigene DNS Server ab die beide im Internet liegen (nicht zu empfehlen, da die lokalen Systeme nicht aufgelöst werden und man würde da die DNS Anfragen der Clients dann unverschlüsselt übertragen, wenn nicht gewünscht). Außerdem schicken alle Clients (!) ihre Daten an der FB vorbei zum externen DNS Server der dann genau weiß, wie es bei einem daheim aussieht aber nicht sagen kann wie dessen IP Adressen sind. Das könnte nur der DHCP Server der mit dem DNS kommuniziert (also die Fritte selbst oder PiHole der die Fritte für interne Daten fragt).

* DoT Server (z.B. one.one.one.one) <-->> FritzBox
+ DNS Server (z.B. 1.1.1.1) <--> Client (DNS via DHCP etc. zugeteilt).


FALL D:
Alternativ mit PiHole

* DoT Server (z.B. one.one.one.one) <-->> FritzBox <--> PiHole Server mit Filter <--> Client (DNS via DHCP etc. zugeteilt).


FALL E:
oder (getrennt, aber PiHole fragt für ausschließlich interne Computer die FritzBox um deren Auflösung):

* DoT Server (z.B. one.one.one.one) <--> FritzBox
+ DoT/DoH Server <--> PiHole Server mit Filter + "Conditional Forwarding" an der FritzBox für lokale Namensauflösung <--> Client (DNS via DHCP etc. zugeteilt).


FALL F:
Letzte Möglichleit: Alles geht über PiHole Server

* DoT/DoH Server <--> PiHole Server <--> FritzBox <--> Client (FB DNS via DHCP etc. zugeteilt).

oder

FALL G:
* DoT/DoH Server <--> PiHole Server <--> FritzBox
+ <--> PiHole Server <--> Client (FB DNS via DHCP etc. zugeteilt).

Was DNSv6 via DHCP und RFC 5006 angeht so wird übrigens empfohlen nur EINS davon zu verwenden. Ich benutze ausschließlich DNSv6 via DHCP um keine unnötigen Broadcasts zu haben. Unter Umständen filtern manche "bessere" Switche diese Pakete ohnehin aus der Leitung. Egal, man braucht nur ein Verfahren davon.

99% lassen ihre Anlage mit FALL A laufen. Durch DoT in der FB empfielt sich FALL B für den der es einfach haben will, aber niemandem außer dem DNS Provider selbst von seine, Verkehr erzählen will. Wer alles in eigener Hand haben will nimmt als einfachste Möglichkeit FALL D. Hier wird z.B. one.one.one.one vorne in den Zugangseinstellungen als verschlüsselter DNS Server eingetragen. DHCP der Fritzbox verweist auf PiHole DNS Server der seine Anfragen dann an die FritzBox weiterreicht und die dann ins Internet.
--> Bleibt alles zusammen, ist nach außen verschlüsselt, ich kann selber blocken und freigeben und alle im Netzwerk haben was davon und nichts geht unnötig raus.