Ich habe eine Fritzbox 4050 als Router und dahinter einen Reverse-Proxy mit diversen Diensten, die ich über eine öffentliche Domain (mydomain.de) mit Subdomains erreichen will - einige aus dem Internet und LAN, einige nur aus dem LAN. Eingehende Verbindungen aus dem Internet gehen nur über IPv6, für die entsprechenden Subdomains (z.B. photos.mydomain.de) habe ich also AAAA Einträge gemacht beim Domain-Hoster, die auf die öffentliche IPv6 vom Reverse-Proxy verweisen. Andere Subdomains sollen nur intern erreichbar sein (z.b. nas.mydomain.de), für diese habe ich A Einträge mit der privante IPv4-Adresse des Reverse-Proxy gemacht (192.168.10.2).
Die DNS-Auflösung über einen externen Dienst wie 1.1.1.1 funktioniert problemlos, also "nslookup nas.mydomain.de 1.1.1.1" liefert die private IPv4-Adresse und die (öffentlichen) IPv6-Subdomains gehen auch. Bei der DNS-Auflösung über die Fritzbox im LAN macht allerdings der Rebind-Schutz Probleme. Bei den Ausnahmen für den Rebind-Schutz habe ich "mydomain.de" eingetragen und damit werden die IPv6-Subdomains korrekt aufgelöst (ohne die Ausnahme gibts keine Antwort), aber für die IPv4-Subdomains bekomme ich "*** No internal type for both IPv4 and IPv6 Addresses (A+AAAA) records available for nas.mydomain.de". Die Haupt-Domain bei der Rebind-Schutz Ausnahme sollte als Wildcard für alle Subdomains fungieren, aber selbst wenn ich die Subdomains explizit eintrage, bekomme ich das gleiche Verhalten (und man muss offenbar den DHCP-Server neustarten, damit die Ausnahmen sofort übernommen werden). Und wenn ich für eine Subdomain IPv4 und IPv6-Einträge mache (A+AAAA), wird nur der IPv6-Eintrag aufgelöst.
Ist es "by design", dass der Rebind-Schutz nur für IPv6 deaktiviert werden kann? Kann ich mir schwer vorstellen... Gibt es eine Möglichkeit, den Rebind-Schutz für private IPv4-Adressen zu deaktivieren? Ich würde ungern nur deswegen einen separaten DNS-Server im LAN aufsetzen müssen. Vielleicht geht das auch über "myfritz" als Weiterleitung, aber das ist dann ein weiterer externer Dienst.
Die DNS-Auflösung über einen externen Dienst wie 1.1.1.1 funktioniert problemlos, also "nslookup nas.mydomain.de 1.1.1.1" liefert die private IPv4-Adresse und die (öffentlichen) IPv6-Subdomains gehen auch. Bei der DNS-Auflösung über die Fritzbox im LAN macht allerdings der Rebind-Schutz Probleme. Bei den Ausnahmen für den Rebind-Schutz habe ich "mydomain.de" eingetragen und damit werden die IPv6-Subdomains korrekt aufgelöst (ohne die Ausnahme gibts keine Antwort), aber für die IPv4-Subdomains bekomme ich "*** No internal type for both IPv4 and IPv6 Addresses (A+AAAA) records available for nas.mydomain.de". Die Haupt-Domain bei der Rebind-Schutz Ausnahme sollte als Wildcard für alle Subdomains fungieren, aber selbst wenn ich die Subdomains explizit eintrage, bekomme ich das gleiche Verhalten (und man muss offenbar den DHCP-Server neustarten, damit die Ausnahmen sofort übernommen werden). Und wenn ich für eine Subdomain IPv4 und IPv6-Einträge mache (A+AAAA), wird nur der IPv6-Eintrag aufgelöst.
Ist es "by design", dass der Rebind-Schutz nur für IPv6 deaktiviert werden kann? Kann ich mir schwer vorstellen... Gibt es eine Möglichkeit, den Rebind-Schutz für private IPv4-Adressen zu deaktivieren? Ich würde ungern nur deswegen einen separaten DNS-Server im LAN aufsetzen müssen. Vielleicht geht das auch über "myfritz" als Weiterleitung, aber das ist dann ein weiterer externer Dienst.