Frage zu DNSv6 in Fritzbox 6591 Cable

Diskutiere Frage zu DNSv6 in Fritzbox 6591 Cable im FRITZ!Box für Kabel Internet Forum im Bereich Internet und Telefon bei Unitymedia; OK, dann hast ja verstanden um was es geht ... und für das "falsche Ergebnis" kannst Du dich bei Cloudflare beschweren. ;-) Aber mach mal einen...

tq1199

Beiträge
2.734
Punkte Reaktionen
49
... "falschen Ergebnissen die nur ins leere führen" ausgeben, sehe ich einen grossen Unterschied.
OK, dann hast ja verstanden um was es geht ... und für das "falsche Ergebnis" kannst Du dich bei Cloudflare beschweren. ;-)
Aber mach mal einen DNS-leak-Test. Vielleicht kann man dann sehen, warum auf deinem System, anders aufgelöst wird.

EDIT:

BTW: Man kann das was auf deinem System evtl. statt findet, auch reproduzieren, z. B. mit einem destination-NAT am output-Interface.
Vor der DNAT-Regel:
:~# nslookup youporn.com 1.1.1.3
Server: 1.1.1.3
Address: 1.1.1.3#53

Non-authoritative answer:
Name: youporn.com
Address: 0.0.0.0
DNAT-Regel:
Code:
iptables -t nat -I OUTPUT 1 -o eth0 -p udp --dport 53 -j DNAT --to-destination 1.1.1.1
Nach dem setzen der DNAT-Regel:
:~# nslookup youporn.com 1.1.1.3
Server: 1.1.1.3
Address: 1.1.1.3#53

Non-authoritative answer:
Name: youporn.com
Address: 66.254.114.79
 
Zuletzt bearbeitet:

Joerg123

Beiträge
1.878
Punkte Reaktionen
178
Ort
NRW
LOCATION
NRW
also ist es schon so, dass die Adressauflösung grundsätzlich falsch ist mit 0000, allerdings so gewollt :)
und ich hab da den Fehler gesehen, denn wie man an meinem Beispiel sieht, funktioniert die Namensauflösung mit dem gleichen DNS-Server. Ich kann das erstmal nicht reproduzieren, nslookup in ner Dosbox macht eigentlich das, was er auch anzeigt, nämlich den angegebenen Server abfragen. Ist heute nicht anders. Der DoT DNS-Server der Fritzbox eingetragen ist, sollte damit absolut nichts zu tun haben, ebenfalls purer Zufall, dass one-one.one.one ebenfalls zu Cloudflare gehört.
Code:
B:\Users\User>ipconfig -flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
B:\Users\User>nslookup - 1.1.1.3
Default Server: UnKnown
Address: 1.1.1.3
> youporn.com
Server: UnKnown
Address: 1.1.1.3
Non-authoritative answer:
Name: youporn.com
Address: 66.254.114.79
Aber ein simples "ins leere laufen lassen" ist auch nicht mein Ziel, ich hätte dann schon gerne eine Info, dass der Zugriff pro-aktiv gesperrt worden ist, was mir dann Möglichkeiten gibt, dieses Ergebnis hinzunehmen, oder was zu ändern, aber eben nicht das Gefühl zu haben, dass es die Domain nicht gibt, der Server down ist, whatever
 
MetroStar1974

MetroStar1974

Beiträge
56
Punkte Reaktionen
0
Nur damit alle beruhigt sind…

Ich habe nun wieder die Standard-Einstellungen in der FB 6591 Cable drin. Daß heißt, ich bin wieder mit den Provider eigenen DNS unterwegs.
 

tq1199

Beiträge
2.734
Punkte Reaktionen
49
Ich kann das erstmal nicht reproduzieren, nslookup in ner Dosbox macht eigentlich das, was er auch anzeigt, nämlich den angegebenen Server abfragen.
Nein, das kann man so nicht sagen, dass nslookup das macht was es angibt. Du könntest das sehr wohl, mit z. B. wireshark oder gleichwertig testen.
Hier z. B. ein Test mit tcpdump. Obwohl nslookup den Server 1.1.1.3 anfragt, wird die Anfrage, vom System an den Server 1.1.1.1 gesendet bzw. umgeleitet:
:~# tcpdump -vni eth0 port 53 and host 1.1.1.1
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:39:06.931364 IP (tos 0x0, ttl 64, id 17880, offset 0, flags [none], proto UDP (17), length 57)
192.168.178.13.50520 > 1.1.1.1.53: 27328+ A? youporn.com. (29)
19:39:06.961076 IP (tos 0x0, ttl 55, id 2254, offset 0, flags [DF], proto UDP (17), length 73)
1.1.1.1.53 > 192.168.178.13.50520: 27328 1/0/0 youporn.com. A 66.254.114.79 (45)
19:39:06.961772 IP (tos 0x0, ttl 64, id 17883, offset 0, flags [none], proto UDP (17), length 57)
192.168.178.13.52012 > 1.1.1.1.53: 53745+ AAAA? youporn.com. (29)
19:39:06.978029 IP (tos 0x0, ttl 55, id 1258, offset 0, flags [DF], proto UDP (17), length 124)
1.1.1.1.53 > 192.168.178.13.52012: 53745 0/1/0 (96)
Und das wird auf deinem System, nicht anders sein.

Aber ein simples "ins leere laufen lassen" ist auch nicht mein Ziel, ich hätte dann schon gerne eine Info, dass der Zugriff pro-aktiv gesperrt worden ist, ...
OK, aber wo bzw. mit was hättest Du gerne so eine Info? Weißt Du wie dein Browser reagiert bzw. welche Info er dir liefert/zeigt, wenn er eine Namensauflösung auf die IP-Adresse 0.0.0.0 bekommt?
Das was hier mit nslookup gezeigt wird, ist doch lediglich die Namensauflösung mit einem ganz einfachen minimalen Test in der Kommandozeile. Das sagt doch nichts darüber aus, wie ein Browser reagiert bzw. damit umgeht.
Und es ist ja für diese Diskussion hier, auch nicht relevant, denn die Fragestellung war, was könnte ein möglicher Grund sein, um alternative DNS-Server (statt die vom ISP) zu benutzen?
 

Joerg123

Beiträge
1.878
Punkte Reaktionen
178
Ort
NRW
LOCATION
NRW
ich kenne Wireshark wohl, aber wir wollen es jetzt nicht übertreiben, da müsste ich mich schon wieder ne Weile mit beschäftigen :)

klar weiss ich was ich will: umgeleitet werden auf eine Webseite "vom DNS-Anbieter" welche mich über die Massnahme, im Idealfall mit dem Grund dafür informiert und völlig optimal, wenn ich direkt eine Umgehung des Blockens anklicken könnte :)
So kannich dir sagen was für eine Meldung kommt: Pale Moon can't establish a connection to the server at 0.0.0.0. - respektive allem, was ich oben als URL eingegeben habe, alternativ von Firefox: Unable to connect. An error occurred during a connection to 0.0.0.0. <oder der Anzeige der angewählten URL anstelle von 0000> und die üblichen Hinweise von Firefox, dass der Server down sein mag usw.
Und ich will ja nicht jedesmal, wenn ein Link/ein Bookmark usw. (temporär) nicht funktioniert, manuell prüfen, ob der DNS-Server hier mit 0000 geantwortet hat.

Grund habe ich schon genannt: zum einen der Schutz vor gefährlichen Webseiten, für Familien bzw. Kinder auch "Erwachseneninhalte", sowie nicht jedem zu zeigen, welche Seiten ich aufrufe, was ich mit den DNS-Anfragen im Grunde ja tue und weshalb ich froh bin, dass zumindest mit one.one.one.one nun DoT dauerhaft zu funktionieren scheint mit der Fritzbox.
 

tokon

Beiträge
1.046
Punkte Reaktionen
131
Ort
Baden-Württemberg
LOCATION
Baden-Württemberg
Der DoT DNS-Server der Fritzbox eingetragen ist, sollte damit absolut nichts zu tun haben
ok, daran liegt es nicht, hab eben auch mal DoT aktiviert, immer noch 0.0.0.0
Code:
PS C:\Users\user> nslookup - 1.1.1.3
Standardserver: UnKnown
Address: 1.1.1.3
> youporn.com
Server: UnKnown
Address: 1.1.1.3
Nicht autorisierende Antwort:
Name: youporn.com
Addresses: :: 0.0.0.0
 

ThoDie

Beiträge
4
Punkte Reaktionen
0
Hallo zusammen

denke hier gibt es einen Gedankenfehler. Das Verhalten mit 0.0.0.0 bei einem DNS Server auf 1.1.1.3 ist absolut korrekt. Hier arbeitet der "Familyfilter" und sortiert "böse" Seiten raus. Das Verhalten entspricht dem bei PiHole, wenn man dort etwas "blocked". Dann wird auch als IP Adresse nun "0.0.0.0" zurück gegeben. Zitat aus der PiHole FAQ:


This blocking mode is the Pi-hole developers' recommendation.
Following RFC 3513, Internet Protocol Version 6 (IPv6) Addressing Architecture, section 2.5.2, the address 0:0:0:0:0:0:0:0 (or :: for short) is the unspecified address. It must never be assigned to any node and indicates the absence of an address. Following RFC1122, section 3.2, the address 0.0.0.0 can be understood as the IPv4 equivalent of ::.

Advantages


  • The client does not even try to establish a connection for the requested website
  • Speedup and less traffic
  • Solves potential HTTPS timeouts as requests are never performed
  • No need to run a web server on your Pi-hole (reduces complexity when running other web services on the same machine)
Disadvantage

  • Blocking page cannot be shown and whitelisting has to be performed from the dashboard or CLI



Wo stelle ich DNS ein: Es gibt zwei Stellen. Bei den Zugangseinstellungen wird ausschließlich der DNS Up Server für die FritzBox eingestellt. Mit dem kommuniziert ausschließlich die FritzBox. Da die FritzBox selbst als DNS Server verwendet werden kann (was einen Sinn hat, wenn ich auch lokale Systeme auflösen will) ist ...

FALL A: Werkseinstellung ist:

* Provider DNS <--> FritzBox <--> Client (FB DNS via DHCP etc. zugeteilt).

FALL B: Dann kann man DoT verwendet:

* DoT Server (z.B. one.one.one.one) <-->> FritzBox <--> Client (DNS via DHCP etc. zugeteilt).

FALL C: Dann kann man das Trennen und die FritzBox sowie die Clients fragen getrennt eigene DNS Server ab die beide im Internet liegen (nicht zu empfehlen, da die lokalen Systeme nicht aufgelöst werden und man würde da die DNS Anfragen der Clients dann unverschlüsselt übertragen, wenn nicht gewünscht). Außerdem schicken alle Clients (!) ihre Daten an der FB vorbei zum externen DNS Server der dann genau weiß, wie es bei einem daheim aussieht aber nicht sagen kann wie dessen IP Adressen sind. Das könnte nur der DHCP Server der mit dem DNS kommuniziert (also die Fritte selbst oder PiHole der die Fritte für interne Daten fragt).

* DoT Server (z.B. one.one.one.one) <-->> FritzBox
+ DNS Server (z.B. 1.1.1.1) <--> Client (DNS via DHCP etc. zugeteilt).


FALL D:
Alternativ mit PiHole

* DoT Server (z.B. one.one.one.one) <-->> FritzBox <--> PiHole Server mit Filter <--> Client (DNS via DHCP etc. zugeteilt).


FALL E:
oder (getrennt, aber PiHole fragt für ausschließlich interne Computer die FritzBox um deren Auflösung):

* DoT Server (z.B. one.one.one.one) <--> FritzBox
+ DoT/DoH Server <--> PiHole Server mit Filter + "Conditional Forwarding" an der FritzBox für lokale Namensauflösung <--> Client (DNS via DHCP etc. zugeteilt).


FALL F:
Letzte Möglichleit: Alles geht über PiHole Server

* DoT/DoH Server <--> PiHole Server <--> FritzBox <--> Client (FB DNS via DHCP etc. zugeteilt).

oder

FALL G:
* DoT/DoH Server <--> PiHole Server <--> FritzBox
+ <--> PiHole Server <--> Client (FB DNS via DHCP etc. zugeteilt).

Was DNSv6 via DHCP und RFC 5006 angeht so wird übrigens empfohlen nur EINS davon zu verwenden. Ich benutze ausschließlich DNSv6 via DHCP um keine unnötigen Broadcasts zu haben. Unter Umständen filtern manche "bessere" Switche diese Pakete ohnehin aus der Leitung. Egal, man braucht nur ein Verfahren davon.

99% lassen ihre Anlage mit FALL A laufen. Durch DoT in der FB empfielt sich FALL B für den der es einfach haben will, aber niemandem außer dem DNS Provider selbst von seine, Verkehr erzählen will. Wer alles in eigener Hand haben will nimmt als einfachste Möglichkeit FALL D. Hier wird z.B. one.one.one.one vorne in den Zugangseinstellungen als verschlüsselter DNS Server eingetragen. DHCP der Fritzbox verweist auf PiHole DNS Server der seine Anfragen dann an die FritzBox weiterreicht und die dann ins Internet.
--> Bleibt alles zusammen, ist nach außen verschlüsselt, ich kann selber blocken und freigeben und alle im Netzwerk haben was davon und nichts geht unnötig raus.
 
Zuletzt bearbeitet:
Thema:

Frage zu DNSv6 in Fritzbox 6591 Cable

Frage zu DNSv6 in Fritzbox 6591 Cable - Ähnliche Themen

Vodafone Station 6 schneller als Fritzbox 6591?: Hallo, ich habe seit Freitag die Vodafone Station 6 von TC und surfe nun im Cable Max 1000 (zuvor 500er) Geschwindigkeit liegt wie immer bei mir...
[Business] Betrieb einer eigenen PBX und eigener Router hinter Fritzbox / Modem (ehem. UM, jetzt VF in BaWü): Hallo zusammen. wir sind sind seit einigen Jahren Business-Kabelkunde und waren früher bei Unitiymedia in Baden Württemberg, nun also bei...
Dual Stack bei Vodafone Business in NRW ohne statische IP mit eigenem Router: Hi, ich ziehe demnächst um und wechsle von Telekom VDSL (Dual Stack, selten wechselnde IPv4 und 24h dynamic IPv6 Prefix) zu Vodafone, da am neuen...
FRITZ!Box 6591 Cable - Bridge wird genutzt, wie FRITZ!Fon nutzen?!: Hallo Community, wir haben eine FRITZ!Box 6591 in Verbindung mit einer UDM Pro im Einsatz. Bridgemodus ist aktiv, nun muss die FRITZ!Box aber ja...
VPN Verbindung geht nicht mehr, wenn IPv6 deaktiviert ist. (DualStack): Hallo zusammen, wenn ich in der FritzBox 6591 unter Interner > Zugangsdaten > IPv6 den Haken bei "IPv6-Unterstützung aktiv" entferne, dann ist...
Oben