Zwangs DNS

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Antworten
Cobi
Kabelneuling
Beiträge: 5
Registriert: 01.03.2011, 21:45

Zwangs DNS

Beitrag von Cobi » 01.03.2011, 22:05

Hallo,

Ich habe den Eindruck, daß man bei Unitymedia als DNS Server eintragen kann was man will. Es werden offensichtlich alle DNS Abfragen abgefangen und an die eigenen DNS Server umgeleitet.

Wenn ich mal so zurück überlege, als ich vor einiger Zeit zu Unitymedia ging, konnte man keine fremden DNS Server eintragen. Das hatte ich gemerkt, als ich das erste mal Online gehen wollte und es wurde keine einzige Domain aufgelöst. Ich habe bei mir im PC die DNS Server fest eingetragen, da Netzwerk statisch konfiguriert. Und als ich diese Einträge gem. den Einträgen im Router geändert habe, war ich auf einmal Online. Wegen dieser Erfahrung habe ich dann auch immer schön brav die Unitymedia DNS Server in meiner Konfiguration gelassen.

Jetzt hatte sich mal kürzlich eine Domain nicht auflösen lassen. Nat. habe ich mir nicht sofort was dabei gedacht, doch als die Seite nach 2 weiteren Tagen noch immer nicht verfügbar war, den Hoster der Seite angeschrieben, daß er wohl ein Routingproblem habe, was dieser jedoch nicht bestätigen konnte. Also mal vom Smartphone aus die Domain aufgerufen und Ouala, die Seite ging. Meine Vermutung war, daß er sehr wohl ein Routingproblem hatte und dieses nun gelöst sei, somit dürfte der Unitymedia DNS Server nach einer gewissen Zeit den temporär falschen Fehleintrag gewiss auch wieder auflösen können.

Was bis heute noch nicht der Fall ist und mich nun veranlasst hatte, doch mal wieder einen neuen DNS Server zu versuchen. Also einfach mal 3 verschiedene DNS Server verschiedener Betreiber eingetragen, gleiches Problem, keine Namensauflösung. PC über das Smartphone online gebracht und die Seite lädt korrekt.

Jetzt habe ich jedoch meine Kabel-Internet-Flat nicht, damit ich ab sofort über Mobilnetz Online gehe. Daher ärgert es mich schon sehr, daß Unitymedia mir nicht die freie Wahl der DNS Server lässt. Insbesondere mit dem Hinblick auf Uschis Internet-Zensur, habe ich damit überhaupt kein gutes Gefühl mehr.

Benutzeravatar
Matrix110
Glasfaserstrecke
Beiträge: 2330
Registriert: 20.12.2008, 15:18

Re: Zwangs DNS

Beitrag von Matrix110 » 01.03.2011, 22:08

Totaler Unsinn, andere DNS funktionieren problemlos.

oxygen
Glasfaserstrecke
Beiträge: 1311
Registriert: 30.09.2009, 16:53

Re: Zwangs DNS

Beitrag von oxygen » 01.03.2011, 22:31

Cobi hat geschrieben: Ich habe den Eindruck, daß man bei Unitymedia als DNS Server eintragen kann was man will. Es werden offensichtlich alle DNS Abfragen abgefangen und an die eigenen DNS Server umgeleitet.
Das stimmt nicht. Ich betreibe selbst einige DNS-Server und kann diese von zuhause korrekt erreichen, dort wird nichts umgeleitet, abgefangen oder verändert. Lässt sich anhand der DNSSEC Signatur leicht feststellen. Wahrscheinlich ist der DNS-Server der Website die du Besuchen willst nicht optimal konfiguriert.

Telekom Entertain IP VDSL50 mit IPv6/IPv4-Dual-Stack Router: Netgear DGNB3800B
Früher: Unitymedia

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Zwangs DNS

Beitrag von piotr » 02.03.2011, 00:57

Oder die Betreiber Deiner eingetragenen DNS-Server wollen nicht, dass Kunden anderer Provider auf ihre Resolver (d.h. die DNS Server die Seiten aufloesen und das Ergebnis in derem Cache eine Zeit lang halten, aber selbst ausser der localhost-Zones keine weiteren DNS-Zones drauf haben) zugreifen.
Z.B. darfst Du als Versatelkunde nur wenige bzw. keine der T-Com Resolver nutzen.

UM macht das uebrigens auch.
Die 6 UM Resolver funktionieren nur im UM-Netz.
Als Nicht UM-Kunde (=keine UM IP) bekommst Du Timeouts wenn Du die UM Resolver nutzen willst.

Was bei UM funktioniert, ist die Nutzung von frei verfuegbaren Resolvern wie z.B. Google public DNS, OpenDNS und UltraDNS.

addicted
Kabelkopfstation
Beiträge: 3822
Registriert: 15.03.2010, 02:35

Re: Zwangs DNS

Beitrag von addicted » 02.03.2011, 02:37

Im Übrigen: Willkommen im Forum.

Schade, dass Dein erster Beitrag direkt kritisch aufgenommen wird. Als Hinweis für die Zukunft darf ich Dir anbieten, dass sich Fragestellungen immer besser verkaufen als wilde Behauptungen: "Kann es sein, dass UM keine alternativen Resolver zulässt?" statt "UM lässt keine alternativen Resolver zu!" ;)

Wegen Nichterreichbarkeit einer Webseite auf "Routingproblem beim Hoster" zu schließen ist etwas vorschnell. Es gibt genug freie Tools mit denen man auf sowas testen kann, sogar Windows liefert (teils abgespeckte) Versionen mit. Es gibt auch Tools für die Abfrage/Diagnose von Nameservern, welche Dir evtl. bei der Diagnose Deines jetzigen Problems geholfen hätten. Und wie üblich laufen auch hier im Forum Experten mit zuviel Zeit rum, die einem alle möglichen Fragen beantworten, wenn man sich nicht durch die Art der Fragestellung schon disqualifiziert hat.

In dieser Hinsicht mal ein Lob: Nach allerlei Leuten mit scheinbaren Problemen auf Tastaturen mit mehr als 12 Tasten endlich mal wieder ein Neuling mit Satzzeichen (nicht zuwenig und nicht zuviel !!!!!shift1!), Groß- & Kleinschreibung und Absätzen. Danke :)

Cobi
Kabelneuling
Beiträge: 5
Registriert: 01.03.2011, 21:45

Re: Zwangs DNS

Beitrag von Cobi » 02.03.2011, 15:31

Hallo und vielen Dank für die vielen Antworten, welche mir nicht weiter geholfen haben.

Fakt ist, die Namensauflösung klappt, wenn ich das Handy als Modem verwende.
Egal welche DNS Server ich eintrage, über das Netz von Unitymedia klappt die Namensauflösung nicht.
Der Hoster der Seite die ich besuchen wollte ist nicht Unitymedia.

Wie stelle ich fest, ob die Namensauflösung auch wirklich durch den von mir eingetragenen DNS-Server geschieht?
Ich habe doch im Grunde nur die Möglichkeit zu sehen, ob der Server arbeitet, z.B. mit nmap, mit tcptraceroute kann ich zwar die Route zur besuchten Seite, oder auch dem DNS-Server nachvollziehen, was jedoch nichts darüber aussagt, daß meine DNS-Anfragen auch wirklich bei dem eingetragenen DNS-Server ankommen.

Mit DNSSEC habe ich noch keine Erfahrung, welches Tool würde ich hier zur Überprüfung einsetzen?

Vielleicht mag jemand hier ausprobieren, ob er das gleiche Problem hat?
Die gesuchte Domain lautet: http://www.irishspring.de/

Ich würde das Problem gerne lösen und vielleicht habe ich auch irgend eine Eventualität übersehen, für mich jedoch schaut es wirklich so aus, als würde die DNS-Anfrage Verbogen.

Benutzeravatar
Matrix110
Glasfaserstrecke
Beiträge: 2330
Registriert: 20.12.2008, 15:18

Re: Zwangs DNS

Beitrag von Matrix110 » 02.03.2011, 16:09

Wenn du OpenDNS verwendest gibt es eine Seite die dir anzeigt, ob OpenDNS verwendet wird oder nicht(bekommt man beim Anmeldeprozess gesagt). Weiterhin kann man mit OpenDNS eigene Umleitungen erstellen womit man das ganze testen kann.
Wenn du Google Public DNS verwendest bekommst du bei nicht auflösbaren Seiten durch den GoogleDNS eine Fehlerseite angezeigt.

Das sind so die "einfachen" Arten zum testen...

Die DNS Abfrage einer Irish Folk Music Seite einzeln abzufangen halte ich jedoch für leicht lächerlich...

addicted
Kabelkopfstation
Beiträge: 3822
Registriert: 15.03.2010, 02:35

Re: Zwangs DNS

Beitrag von addicted » 02.03.2011, 16:56

Unter Windows benutzt man leider nur 'nslookup', was mir regelmäßig nicht genug Infos ausspuckt.
Linux kennt noch das einfache 'host', aber vor allem 'dig' (oft im Paket "bind-tools" oder "bind-utils" enthalten). Damit geht dann sowas:

Code: Alles auswählen

; <<>> DiG 9.7.2-P2 <<>> +trace www.irishspring.de any
;; global options: +cmd
.                       290871  IN      NS      e.root-servers.net.
.                       290871  IN      NS      i.root-servers.net.
.                       290871  IN      NS      m.root-servers.net.
.                       290871  IN      NS      k.root-servers.net.
.                       290871  IN      NS      f.root-servers.net.
.                       290871  IN      NS      d.root-servers.net.
.                       290871  IN      NS      h.root-servers.net.
.                       290871  IN      NS      j.root-servers.net.
.                       290871  IN      NS      a.root-servers.net.
.                       290871  IN      NS      l.root-servers.net.
.                       290871  IN      NS      c.root-servers.net.
.                       290871  IN      NS      g.root-servers.net.
.                       290871  IN      NS      b.root-servers.net.
;; Received 228 bytes from 192.168.xxx.yyy#53(192.168.xxx.yyy) in 1 ms

de.                     172800  IN      NS      a.nic.de.
de.                     172800  IN      NS      f.nic.de.
de.                     172800  IN      NS      l.de.net.
de.                     172800  IN      NS      s.de.net.
de.                     172800  IN      NS      z.nic.de.
;; Received 292 bytes from 2001:7fd::1#53(k.root-servers.net) in 20 ms

irishspring.de.         86400   IN      NS      c.ns14.net.
irishspring.de.         86400   IN      NS      d.ns14.net.
irishspring.de.         86400   IN      NS      a.ns14.net.
irishspring.de.         86400   IN      NS      b.ns14.net.
;; Received 108 bytes from 195.243.137.26#53(s.de.net) in 18 ms

www.irishspring.de.     43200   IN      A       62.116.180.6
;; Received 52 bytes from 83.169.55.5#53(b.ns14.net) in 17 ms
Zeile 1 gibt die Anfrageparameter an. Im Trace-Modus wird der Hostname entlang des Delegierungsbaumes herab verfolgt, man sieht also die einzelnen Stationen, die in der Namensauflösung einer Domain beteiligt sind und kann so feststellen, ob der Fehler wirklich bei den Resolvern des eigenen Providers liegt oder ob z.B. die zuständigen Nameserver der Domain einfach grad nicht antworten. In diesem Fall ist erwartungsgemäß alles in Ordnung. Ich habe die interne IP meines Gateways verschleiert, damit man mich nicht mit Accounts in anderen Foren in Verbindung bringt (es ist nicht 192.168.0.1 *g*).

Wie stelle ich jetzt Manipulation am DNS fest?
Solange ich nur die Anfrageseite sehe (also die Antworten nicht verfizieren kann) ist das leider schwierig. Die Absender-IP des antwortender Nameservers kann gefälscht werden. DNSSEC signierte Antworten könnte der Provider einfach unverändert weiterleiten, das wird bisher noch zu selten verwendet.
Der Nameserver einer angefragten Domain sieht von welchem Rechner eine Anfrage kommt. So stellt OpenDNS fest (siehe Matrix110s Beitrag), ob man deren Nameserver verwendet, und so kann man in der Regel auch feststellen ob der eigene Provider DNS-Anfragen abfängt - dann steht nichtmehr Deine IP als Absender in der Anfrage sondern die des Resolvers beim Provider.
Ein Workaround um dieser Erkennung zu entgehen kostet sehr viel Aufwand, den wohl jeder normale Provider scheut.

Du solltest uns auf jeden Fall glauben, dass UM die Nutzung alternativer Nameserver nicht unterbindet. Dann könnten wir anschließend herausfinden, wieso das bei Dir nicht klappt ;).
Nenne mal einen Nameserver, der bei Dir nicht funktioniert hat.

Cobi
Kabelneuling
Beiträge: 5
Registriert: 01.03.2011, 21:45

Re: Zwangs DNS

Beitrag von Cobi » 02.03.2011, 20:07

Ich habe bis jetzt versucht:
80.69.100.12, 80.69.98.110, 194.25.2.129 (funktioniert gar nicht), 8.8.8.8, 217.79.186.148, 178.63.26.173, 89.16.173.11, 85.214.73.63, 87.118.100.175

Und komischerweise ist die Seite die ganze Zeit über das Smartphone erreichbar.
Ach ja, sobald ich mich mit dem Smartphone ins heimische W-LAN einwähle und somit die Internetverbindung über Unitymedia läuft, komme ich auch damit nicht an die Seite ran, das Smartphone bekommt im W-LAN seine IP dynamisch und dürfte somit vom Router einen DNS-Server von Unitymedia zugewiesen bekommen.

Wenn das mit der freien DNS Wahl definitiv funktioniert und das scheint ja bei allen die bis jetzt geantwortet haben der Fall zu sein, könnte es vielleicht sein, daß die Seite nur über IPv6 erreichbar ist?
Das Handy verwendet beides, je nach Geschmack. Im Router habe ich IPv6 noch nicht konfiguriert.
Dem werde ich jetzt mal nachgehen, vielleicht ist das Problem damit ja schon gelöst.

Benutzeravatar
Matrix110
Glasfaserstrecke
Beiträge: 2330
Registriert: 20.12.2008, 15:18

Re: Zwangs DNS

Beitrag von Matrix110 » 02.03.2011, 21:12

Nein die Seite ist definitiv nicht nur per IPv6 zu erreichen....ich bezweifele das sie überhaupt per ipv6 zu erreichen ist...


Du hast definitiv ein Problem deinen Router zu konfigurieren...

addicted
Kabelkopfstation
Beiträge: 3822
Registriert: 15.03.2010, 02:35

Re: Zwangs DNS

Beitrag von addicted » 02.03.2011, 21:44

Gib bitte mal auf der Eingabeaufforderung Deines Rechners Folgendes ein:

Code: Alles auswählen

tracert 62.116.180.6
Dann kopier uns die Ausgabe.

conscience
Kabelkopfstation
Beiträge: 3732
Registriert: 24.12.2007, 10:16

Re: Zwangs DNS

Beitrag von conscience » 02.03.2011, 21:51

Was sind den das für komische DNS Server bzw.
IP Adressen?
:kratz:

Schon mal die richtigen probiert?

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Zwangs DNS

Beitrag von piotr » 02.03.2011, 21:53

Dann stell auch mal im Router die DNS-Server von festen Werten auf automatisch beziehen um.

Die 80.69.98.110 und 80.69.100.12 sind zwar von UM.
UM hat aber anscheinend vor mittlerweile einigen Jahren die DNS-Aufgaben getrennt.
80.69.98.110 und 80.69.100.12 kennen nur noch die Eintraege, die auf dem Server in den Zonen liegen (authoritative nameserver).

Als Resolver werden von UM automatisch 2 von diesen 6 vergeben:
80.69.100.174 (lt. DNS-Eintrag soll der Server in Neuss stehen)
80.69.100.182 (lt. DNS-Eintrag soll der Server in Duisburg stehen)
80.69.100.198 (lt. DNS-Eintrag soll der Server in Frankfurt/M. stehen)
80.69.100.206 (lt. DNS-Eintrag soll der Server in Kerpen stehen)
80.69.100.214 (lt. DNS-Eintrag soll der Server in Huerth stehen)
80.69.100.230 (lt. DNS-Eintrag soll der Server in Dortmund stehen)

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Zwangs DNS

Beitrag von piotr » 02.03.2011, 22:21

addicted hat geschrieben: ...DNSSEC signierte Antworten könnte der Provider einfach unverändert weiterleiten, das wird bisher noch zu selten verwendet.
...
Die UM Resolver koennen DNSSEC, musst es nur bei Dir lokal z.B. im dig einschalten.
Befrage dazu mal mit dig und der Option +dnssec einen der UM Resolver bei einer Domain einer bereits signierten Top Level Domain. z.B www.whitehouse.gov.

Was UM allerdings nicht macht, ist die DNSSEC-Validierung.
D.h. Du bekommst dann zwar die Eintraege der verwendeten DNSSEC Keys angezeigt, musst aber selbst pruefen ob die stimmen.

Cobi
Kabelneuling
Beiträge: 5
Registriert: 01.03.2011, 21:45

Problem gelöst

Beitrag von Cobi » 07.03.2011, 14:35

Vielen Dank allen die geantwortet haben für ihre konstruktiven Beiträge (euren Forentroll mal ausgenommen).
Leider haben sie mir nicht weiter geholfen. Nun da das Problem gelöst ist kann ich nur sagen, meine Vermutungen haben sich zwar als die richtige Richtung heraus gestellt, eure Reaktkionen darauf waren daher auch recht plausibel.

Das Problem war ein Firewalleintrag auf der Route zum Webserver der gewünschten Internetseite. Wie meine IP da hin geraten sein könnte ist mir völlig unerklärlich und es konnte auch niemand sagen, wie lange sie schon da drin stand.

Angesichts der Seltenheit der Ursache meines Problems, dürfte wohl der Beitrag für die wenigsten wirklich interessant sein und kann meinetwegen archiviert werden.

An dieser Stelle möchte ich mich auch bei Unitymedia für die unbegründete Verdächtigung einen Zwangs-DNS zu setzen entschuldigen.

MfG, Cobi

addicted
Kabelkopfstation
Beiträge: 3822
Registriert: 15.03.2010, 02:35

Re: Zwangs DNS

Beitrag von addicted » 07.03.2011, 15:59

Vielleicht ein Eintrag wg. Abuse/Spam/Bruteforce. Gibt Scripte dafür, z.B. fain2ban.

Brauchst Dich nicht entschuldigen. Ist ja gut, dass sich mal ein paar Leute mit dem Thema beschäftigt haben, und wir feststellen konnten, dass alles in Ordnung ist. So ist es besser, als wenn es keinen interessiert und der Netzbetreiber deshalb machen kann was er will ;)

Benutzeravatar
FBI01
Kabelexperte
Beiträge: 193
Registriert: 25.04.2008, 13:34

Re: Zwangs DNS

Beitrag von FBI01 » 07.03.2011, 21:31

Habe mir dieses Thema eher zufällig durchgelesen, würde aber gerne noch dies ergänzen:

1. "Zwangs DNS" ist nicht üblich (eher "Zwangs-Proxy"). Da Unitymedia (UM) die IP-Adresse per DHCP zuweist, werden dem Router oder dem direkt angeschlossenen Host (i.d.R.) auch 2 DNS Server als IP-Adresse übergeben. Diese Adressen können jederzeit abgeändert werden. Es kann jedoch sein, dass der selbst gewählte DNS die Abfrage ablehnt (status: REFUSED), wenn diese nicht aus dem eigenen Kundennetz kommen. Dies ist üblich, um Netzlast zu vermeiden.

2. Die DNS Server von Unitymedia werden je nach Standort vom DHCP Server vergeben. Nur wenn der erste DNS nicht erreichbar ist, wird der zweite DNS benutzt. Leider sieht das Konzept von Unitymedia nicht sehr professionell aus: Neben dem tatsächlichen DNS Server (der auch redundant sein kann hinter einem Laod-Balancer usw.) kann auch ein ganzes Netz (80.69.96.0/20, AS20825) ausfallen. Alle Server liegen im selben Netz - dann ist bei einem Ausfall kein DNS mehr erreichbar. Da nützt die Zahl der theoretisch verfügbaren Server leider nichts. Wenn die DNS nicht erreichbar sind, ist das Kundennetz quasi tot - wer trägt schon selbst andere DNS ein ...

3. Eigentlich wollte ich was zu IPv6 suchen: Auf den Seiten von Unitymedia sind die in Google noch gefundenen Texte zu IPv6 leider verschwunden. Aber Unitymedia scheint verfügbare AAA-Records bereits aufzulösen. Gibt es irgendwo schon einen Hinweis von UM, dass IPv6 bereits vollständig im IP-Netz unterstützt wird ? Jedenfalls wird im Browser http://[2a02:2e0:3fe:100::8] bereits aufgelöst und abgefragt.

Grüße FBI01
FBI01 nutze "Kabelfernsehen" von 1984-2008; heute nur noch einen DOCSIS3-Anschluss mit fester IP, für den Zugriff auf das Internet.

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Zwangs DNS

Beitrag von piotr » 07.03.2011, 23:46

FBI01 hat geschrieben:...
... Leider sieht das Konzept von Unitymedia nicht sehr professionell aus:
Neben dem tatsächlichen DNS Server (der auch redundant sein kann hinter einem Laod-Balancer usw.) kann auch ein ganzes Netz (80.69.96.0/20, AS20825) ausfallen. Alle Server liegen im selben Netz - dann ist bei einem Ausfall kein DNS mehr erreichbar. ...
Du vermischst hier DNS-Aufgaben.

Die vom Provider per DHCP uebermittelten DNS-Server sind idR nur Resolver. Resolver haben bis auf localhost keine weiteren DNS-Zonen drauf. Sie beantworten bei UM ausschliesslich die rekursiven DNS-Anfragen der UM-User.

Wenn hier das Ergebnis der DNS-Anfrage im DNS-Cache verfuegbar ist, dann kommt die DNS-Antwort aus dem schnelleren DNS-Cache.
Wenn die DNS-Anfrage nicht im DNS-Cache ist, ermittelt ein Resolver -falls kein Forward DNS-Server auf dem Resolver konfiguriert ist- interativ (ueber die DNS root Server und weiter bis zu den jeweiligen DNS-Servern) die zustaendigen (authoritative) DNS-Server der gesuchten DNS-Zone und befragt dann einen von den zustaendigen DNS-Servern.

Bei Resolvern ist es egal, ob sie in unterschiedlichen AS stehen.
Denn wenn das Routing zum bzw. innerhalb des Unitymedia-Netzes ausfallen sollte, dann hat Dein UM-Anschluss auf IP-Ebene (Layer3) auch Probleme weil die IPs der User auch im UM-Netz AS20825 sind.

Wenn Du Dir die DNS-Zonen unitymedia.de und unitybox.de mal genauer anschaust, dann siehst Du das neben 2 DNS-Servern aus dem UM-Netz (die unterschiedlich zu den per DHCP vergebenen DNS-Servern sind) noch 3 weitere DNS-Server aus verschiedenen AS fuer diese DNS-Zonen zustaendig sind.
D.h. DNS zu UM DNS-Zonen funktioniert ausserhalb von UM auch dann falls mal deren gesamtes Netz (AS20825) ausfallen sollte.
...Unitymedia scheint verfügbare AAA-Records bereits aufzulösen.
AAAA Resource Records koennen problemlos ueber IPv4 angebundene Resolver aufgeloest werden.
Es ist kein Indiz, dass IPv6 geroutet wird.
Jedenfalls wird im Browser http://[2a02:2e0:3fe:100::8] bereits aufgelöst und abgefragt.
Der HTTP-Zugriff auf die IPv6-Adresse kann ein Indiz sein, dass sich bei UM etwas in Sachen IPv6 tut.
Allerdings auch nur dann, wenn Du auf Deiner Seite nirgends IPv6-Tunnel (z.B 6to4 oder teredo) konfiguriert hast.

Benutzeravatar
FBI01
Kabelexperte
Beiträge: 193
Registriert: 25.04.2008, 13:34

Re: Zwangs DNS

Beitrag von FBI01 » 08.03.2011, 20:50

Du vermischst hier DNS-Aufgaben.
Nö.
Die vom Provider per DHCP uebermittelten DNS-Server sind idR nur Resolver. Resolver haben bis auf localhost keine weiteren DNS-Zonen drauf. Sie beantworten bei UM ausschliesslich die rekursiven DNS-Anfragen der UM-User.
Habe nicht behauptet, dass UM in seinen DNS kein allgemeines Zonen-Forwarding macht. Was meinst Du mit "Resolver" ? Kenne ich gar nicht im Bereich DNS auf der Server-Seite ...
Wenn hier das Ergebnis der DNS-Anfrage im DNS-Cache verfuegbar ist, dann kommt die DNS-Antwort aus dem schnelleren DNS-Cache. (...)
Wenn ein DNS nicht mehr erreichbar ist, dann ist dieser Umstand nicht relevant.
Denn wenn das Routing zum bzw. innerhalb des Unitymedia-Netzes ausfallen sollte, dann hat Dein UM-Anschluss auf IP-Ebene (Layer3) auch Probleme weil die IPs der User auch im UM-Netz AS20825 sind.
Das stimmt natürlich. Ich erkenne aber auf der Kundenseite nur ein Netz für die DNS. Die Kunden sind ja in ganz unterschiedlichen Netzen, die sich sicher mit den DHCP Server auch gegenseitig absichern. Ab und zu erhält man ja auch mal eine IP aus einem ganz anderen Adressbereich (zufällig oder auch nicht). Auf die AS muss man da noch gar nicht schauen, hatte ich auch nur der Vollständigkeit halber mit angegeben. Wenn das Netz der DNS futsch ist, dann sind die Kunden ohne Namensauflösung.
Wenn Du Dir die DNS-Zonen unitymedia.de und unitybox.de mal genauer anschaust, dann siehst Du das neben 2 DNS-Servern aus dem UM-Netz (die unterschiedlich zu den per DHCP vergebenen DNS-Servern sind) noch 3 weitere DNS-Server aus verschiedenen AS fuer diese DNS-Zonen zustaendig sind.
D.h. DNS zu UM DNS-Zonen funktioniert ausserhalb von UM auch dann falls mal deren gesamtes Netz (AS20825) ausfallen sollte.
Die UM Domains sind völlig uninteressant. Fallen diese Domains aus, weil die eigenen DNS Server Services (Hosts) aus dem UM-Zonen nicht mehr korrekt bekannt machen, dann hat UM ein Teilproblem, aber insgesamt fällt der Zugriff auf das Internet nicht aus ...
AAAA Resource Records koennen problemlos ueber IPv4 angebundene Resolver aufgeloest werden.
Es ist kein Indiz, dass IPv6 geroutet wird.
AAA > AAAA - sorry, Tippfehler! Stimmt, das ist kein Indiz.
Der HTTP-Zugriff auf die IPv6-Adresse kann ein Indiz sein, dass sich bei UM etwas in Sachen IPv6 tut.
Allerdings auch nur dann, wenn Du auf Deiner Seite nirgends IPv6-Tunnel (z.B 6to4 oder teredo) konfiguriert hast.
Nein, keine Tunnel konfiguriert. Die Adresse wird direkt von meinem IPv4/IPv6-Dual-Stack-Client abgefragt und erhält IPv6-Pakete. Steht zumindest so im Log der FW. Wegen der noch fehlenden IPv6-DNS-Adressen (!) bei UM, ist ein reiner IPv6-Betrieb zum Testen ja leider nicht möglich ...

Hast Du denn man die IPv6 Adresse von heise aufgerufen?
FBI01 nutze "Kabelfernsehen" von 1984-2008; heute nur noch einen DOCSIS3-Anschluss mit fester IP, für den Zugriff auf das Internet.

oxygen
Glasfaserstrecke
Beiträge: 1311
Registriert: 30.09.2009, 16:53

Re: Zwangs DNS

Beitrag von oxygen » 08.03.2011, 20:56

Der HTTP-Zugriff auf die IPv6-Adresse kann ein Indiz sein, dass sich bei UM etwas in Sachen IPv6 tut.
Allerdings auch nur dann, wenn Du auf Deiner Seite nirgends IPv6-Tunnel (z.B 6to4 oder teredo) konfiguriert hast.
Nein, keine Tunnel konfiguriert. Die Adresse wird direkt von meinem IPv4/IPv6-Dual-Stack-Client abgefragt und erhält IPv6-Pakete. Steht zumindest so im Log der FW. Wegen der noch fehlenden IPv6-DNS-Adressen (!) bei UM, ist ein reiner IPv6-Betrieb zum Testen ja leider nicht möglich ...
Sicher? Teredo ist unter Windows Vista und Windows 7 standardmäßig aktiviert.

Telekom Entertain IP VDSL50 mit IPv6/IPv4-Dual-Stack Router: Netgear DGNB3800B
Früher: Unitymedia

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Zwangs DNS

Beitrag von piotr » 08.03.2011, 23:52

FBI01 hat geschrieben:...Wenn das Netz der DNS futsch ist, dann sind die Kunden ohne Namensauflösung...
Woher nimmst Du die Gewissheit, das UM die Resolver alle in dasselbe Netz steckt?

Nur weil die Resolver-Adressen 80.69.100.174, 80.69.100.182, 80.69.100.198, 80.69.100.206, 80.69.100.214, 80.69.100.230 in ein gemeinsames Netz passen, heisst es noch lange nicht das UM dieses Netz ohne weitere Unterteilung (Subnetze) verwendet.

addicted
Kabelkopfstation
Beiträge: 3822
Registriert: 15.03.2010, 02:35

Re: Zwangs DNS

Beitrag von addicted » 09.03.2011, 00:49

FBI01 hat geschrieben:
piotr hat geschrieben:Du vermischst hier DNS-Aufgaben.
Nö.
Scheinbar nicht. Andersherum liegst Du aber auch falsch ;)

FBI01 hat geschrieben:Habe nicht behauptet, dass UM in seinen DNS kein allgemeines Zonen-Forwarding macht. Was meinst Du mit "Resolver" ? Kenne ich gar nicht im Bereich DNS auf der Server-Seite ...
Ein Resolver ist ein DNS-Server, welcher für Clients die Namensauflösung beliebiger DNS-Namen durchführt. Die IP-Adressen, welche man in der Netzwerkkonfiguration seines Rechners/Routers einträgt oder via DHCP automatisch erhält führen zu Resolvern.
Im Gegensatz dazu ist ein authoritativer DNS-Server ein solcher, der lediglich Namen aus den bei ihm liegenden Zonen ausliefert. Ein bestimmter DNS-Server kann beide Aufgaben erfüllen. Authoritative DNS-Server werden bei der Registrierung von Domains verwendet und in die TLD-Zonen als verantwortliche DNS-Server eingetragen.

FBI01 hat geschrieben:
piotr hat geschrieben:Denn wenn das Routing zum bzw. innerhalb des Unitymedia-Netzes ausfallen sollte, dann hat Dein UM-Anschluss auf IP-Ebene (Layer3) auch Probleme weil die IPs der User auch im UM-Netz AS20825 sind.
Das stimmt natürlich. Ich erkenne aber auf der Kundenseite nur ein Netz für die DNS.
Bevor ich jetzt komplett die Unterschiede zwischen Inter- und Intra-Domain Routing erkläre und was eigentlich ein AS ist, frage ich einfach mal ins Blaue:
Wie genau "erkennst" Du, dass bei Unitymedia alle Resolver innerhalb eines "Netzes" zu finden sind? Welches Netz soll das sein? Wie genau wäre das Ausfallszenario (konkret bitte!) für dieses "Netz"?

Benutzeravatar
FBI01
Kabelexperte
Beiträge: 193
Registriert: 25.04.2008, 13:34

Re: Zwangs DNS

Beitrag von FBI01 » 11.04.2012, 19:33

piotr hat geschrieben: Wie genau "erkennst" Du, dass bei Unitymedia alle Resolver innerhalb eines "Netzes" zu finden sind? Welches Netz soll das sein? Wie genau wäre das Ausfallszenario (konkret bitte!) für dieses "Netz"?
Sorry, habe den Beitrag ganz lange übersehen und nicht geantwortet. Nein, musst Du nicht weiter erläutern. Ich ging bei der Betrachtung der IP-Adressen davon aus, dass zum Erreichen der DNS ein Routing zuständig ist und die Erreichbarkeit nicht mehr gegeben ist, wenn die Route aus irgendwelchen Gründen "stirbt". Aus diesen Gründen liegen von mir genutzte DNS mit dem Master und Slave in unterschiedlichen Netzen. Ich denke aber heute auch, dass UnityMedia sicher weiss, was sie da treiben und würde das Thema schliessen : )
FBI01 nutze "Kabelfernsehen" von 1984-2008; heute nur noch einen DOCSIS3-Anschluss mit fester IP, für den Zugriff auf das Internet.

Antworten

Wer ist online?

Mitglieder in diesem Forum: Masterdisaster, MaXX, Samsungstory und 10 Gäste