DNS-Rebind Schutz der FritzBox schlägt zu

[androidin]

Hallo, Erstmal mein Heimnetzwerk-Setup:

• Ich habe Nextcloud auf meinem Raspberry Pi installiert. Dort läuft auch Pi-hole.
• In der entsprechenden Apache-Konfiguration von Nextcloud werden Anfragen von Port 80 auf Port 443 weitergeleitet
• Nextcloud ist unter https://cloud.xyz.de erreichbar, weil der DNS-Eintrag (Host=cloud, Typ=CNAME, Ziel=xyz.dyndns.info) auf eine DynDNS-Adresse (xyz.dyndns.info) in meiner FritzBox verweist.
• Die FritzBox ist so konfiguriert, dass sie einen Adguard-DNS-Server in den Einstellungen "Internet > DNS-Server" über TLS nutzt.
• Im Heimnetzwerk-Bereich der FritzBox wiederum ist eingestellt, dass sie einen lokalen DNS-Server verwendet, nämlich den bereits erwähnten Raspberry Pi mit Pi-hole.
• Pi-hole leitet die Anfragen dann an die FritzBox weiter, die sie wiederum per TLS an den Adguard-DNS-Server sendet.
• Für die Adresse cloud.xyz.de habe ich in Pi-hole eine Ausnahme definiert, sodass die IP-Adresse des Raspberry Pi (192.168.178.19) direkt zurückgegeben wird, um den DNS-Rebinding-Schutz der FritzBox zu umgehen.

Dann mein Smartphone-Setup:

• Ich habe netguard installiert. Netguard ist ein lokaler VPN-Tunnel unter Android, der den gesamten DNS-Verkehr durch diesen Tunnel leitet.
• Netguard filtert zuerst unerwünschte DNS-Zugriffe
• Die Option Private-DNS in Android steht bei mir mit der Netguard-Nutzung auf AUS. Netguard erlaubt kein Konfigurieren eines DNS-Servers. Deswegen habe ich den nächsten Punkt gemacht:
• In den Netguard-Einstellungen habe ich zwei DNS-Server eingestellt, die genutzt werden sollen nach der Filterung. 1. dnsforge und 2. adguard
• Der Entwickler von Netguard meinte, dass die beiden DNS-Server an Android übergeben werden, die die Namensauflösung durchführen

Was funktioniert:

• Innerhalb meines Heimnetzwerks kann ich auf Nextcloud unter Windows zugreifen, indem ich cloud.bernd-dotterweich.de aufrufe
• AUSSERHALB meines Heimnetzwerkes mit meinem Smartphone kann ich auf die Nextcloud zugreifen, indem ich cloud.xyz.de aufrufe

Was funktioniert nicht:

• Innerhhalb meines Heimnetzwerkes mit dem Smartphone kann ich NICHT auf die Nextcloud zugreifen

Fehlerauswirkung:

• Es wird mir auf dem Smartphone eine unsichere Webseite angezeigt, weise ich den Browser an, mir die Seite trotzdem zu zeigen, so wird mir die DNS Rrebind Seite der Fritz Box angezeigt

Warum ist das problematisch:

• Ich synchronisiere alle meine Kontakte und Kalender mit der Nextcloud und bin auf die Synchronisation angewiesen

Lösungsansätze und Nachteile:

• Netguard komplett abschalten -> Nextcloud funktioniert -> es werden so viele Zugriffe durch netguard geblockt, ein Abschalten ist keine Option für mich.
• Netguard im Heimnetz abschalten -> Nextcloud funktioniert -> das würde ein ständiges Ein- und Ausschalten von Netguard bedeuten. Wäre unhandlich und durch pihole werden nicht so viele Zugriffe geblockt wie durch netguard
• Netguard DNS Adressen abschalten -> Nextcloud funktioniert -> das hat zur Folge, dass im mobilen Netz der Telekom-DNS-Server verwendet wird. Da bin ich Tracking ausgesetzt und das wollte ich vermeiden
• DNS-Rebind-Ausnahme in der Fritz-Box definieren, nämlich die Adresse cloud.xyz.de -> dies hat zur Folge, dass ich auf die Startseite der FritzBox geleitet werde. Keine Ahnung warum
• Wenn mein Smartphone, das ebenfalls über WLAN mit demselben Heimnetzwerk verbunden ist, zeigt der Aufruf von cloud.xyz.de eine unsichere Adresse an.

Um ehrlich zu sein, verstehe ich nicht, warum überhaupt der DNS-Rebind-Schutz zuschlägt. Kann mir das jemand erklären oder hat vielleicht sogar eine Lösung für dieses Problem?

 

[Barungar]

DNS-Rebind-Ausnahme in der Fritz-Box definieren, nämlich die Adresse cloud.bernd-dotterweich.de -> dies hat zur Folge, dass ich auf die Startseite der FritzBox geleitet werde. Keine Ahnung warum

Weil Dein DynDNS-Record falsch ist... der zeigt mit IPv4 und IPv6 auf die FritzBox. Für IPv4 fällt das nicht auf, weil hier dieses unsägliche Portforwarding greift. Aber bei einer IPv6-Verbindung, die von modernen Betriebsystemen bevorzugt, wird geht das so mit Portforwarding nicht. Also landest Du vollkommen korrekt auf der FritzBox.

Besser wäre es den cloud-Record nicht als CNAME auf den bernd-Record zeigen zu lassen. Sondern diesen dynamisch vom Raspberry setzen zu lassen, so dass die korrekte IPv4 und IPv6 dort eingetragen würden.

 

[androidin]

Besser wäre es den cloud-Record nicht als CNAME auf den bernd-Record zeigen zu lassen. Sondern diesen dynamisch vom Raspberry setzen zu lassen, so dass die korrekte IPv4 und IPv6 dort eingetragen würden.

Aha, wie soll das genau gehen? Oder wäre es eine Möglichkeit, IPv6 in der FB einfach zu deaktivieren?

 

[tschaefer]

IPv6 zu deaktivieren, sollte das letzte sein, woran du denkst! Mach DNS richtig und gut ist!

 

[Barungar]

IPv6 in der FB einfach zu deaktivieren

Falsches Stichwort, ich kann Dir erklären, wie man es ordentlich macht; aber IPv6-Deaktivierung mag ich nicht.

Aha, wie soll das genau gehen?

Es gibt grundsätzlich zwei Wege... a) myfritz.net nutzen oder b) DynDNS auf dem Raspberry einrichten

Der deutlich einfachere Weg ist a) myfritz.net nutzen!

Hierfür richtest Du dir, falls Du es noch nicht hast ein MyFritz!-Konto in Deiner FritzBox ein. MyFritz ist unter anderem ein DynDNS-Dienst den AVM anbietet. MyFritz hat den großen, großen Vorteil, dass er korrekte DynDNS-Einträge sowohl für dir FritzBox selbst als auch für die daran angeschlossenen Geräte generiert.

Dabei ist der DynDNS-Name der FritzBox selbst <kryptische Zeichenfolge>.myfritz.net und der DynDNS-Name eines Geräte im Heimnetz ist <Name des Gerätes in der Fritzbox>.<kryptische Zeichenfolge>.myfritz.net

Das Einrichten des MyFritz geht in wenigen Klicks. Direkt in der Oberfläche der FritzBox, anschließend erstellst Du eine MyFritz-Freigabe für HTTP und HTTPS auf Deinen Raspberry. Für den schöneren Namen, kann Du dann noch Deinen cloud.xxxxxx FQDN, den Du bisher falsch per CNAME auf die FritzBox selbst zeigen lässt auf den nun korrekten MyFritz-DynDNS des Raspberry zeigen lassen.

Anschließend sollte alles funktionieren.


Der komplexere Weg wäre b) DynDNS auf dem Raspberry einrichten

Hier musst Du den passenden DynDNS-Client oder die passende API-URL für Deinen DynDNS-Anbieter ermitteln. Anschließend baut man sich auf Basis des DynDNS-Clients oder der API-URL ein Shell-Script, dass die Anpassungen des DynDNS-Records macht. Das bindest Du in Deine crontab ein und lässt es zyklisch laufen.

 

[androidin]

Das hört sich so an, als ob das für mich auch umsetzbar ist. Vielen Dank, ich versuche das und melde mich wieder

 

[androidin]

Hier der aktuelle Stand:

• Myfritz hatte ich schon installiert und konfiguriert.
• Die Portfreigaben auf den Raspi waren vorher schon gesetzt (80 und 443, allerdings frage ich mich, ob ich 80 brauche)
• Das heisst, ich müsste ohne irgendetwas zu tun in der Fritzbox über <Name des Gerätes in der Fritzbox>.<kryptische Zeichenfolge>.myfritz.net auf die nextcloud zugreifen können -> tut es aber nicht. Es kommt:

Seite wurde nicht gefunden​

Die Verbindung mit dem Server raspberrypi.XXXXXXXXXXXk3arof.myfritz.net schlug fehl.

Ich habe alles doppelt und dreifach überprüft, auch das myFritz-Konto temporär deaktiviert und gleich wieder aktiviert. Ich komme über diese Adresse leider nicht auf meinen Raspi: raspberrypi.XXXXXXXXXXXk3arof.myfritz.net/

Edit: gerade bemerkt, dass ich über XXXXXXXXXXXk3arof.myfritz.net/ auf die Cloud zugreifen kann. Da greift wahrscheinlich das Portforwarding, richtig?

 

[tschaefer]

Ohne "irgendetwas zu tun" geht es nicht. Du musst schon eine "myfritz-Freigabe" auch für das Gerät machen.

Im Moment deine Fritzbox nur über ipv4 auf.

 

[androidin]

Ah ok. Habe die Portweiterleitung nochmal gelöscht und neu eingerichtet mit MyFritz!-Freigaben. Komischerweise sind dann die IPv6-Verbindungen ausgegraut und ich kann sie nicht aktivieren. Ich weiss nicht, ob das so sein muss. Ein Aufruf von raspberrypi.XXXXXXXXXXXk3arof.myfritz.net/ bringt jetzt

Dies ist keine sichere Verbindung​

Angreifer könnten versuchen, deine Informationen von raspberrypi.XXXXXXXXXXXk3arof.myfritz.net zu stehlen, etwa Passwörter, Nachrichten.... und weiter unten heisst es: Dieser Server konnte nicht beweisen, dass er raspberrypi.XXXXXXXXXXXk3arof.myfritz.net ist. Sein Sicherheitszertifikat stammt von cloud.xyz.de. Mögliche Gründe sind eine fehlerhafte Konfiguration oder ein Angreifer, der deine Verbindung abfängt.

 

[Barungar]

Das kommt aber nur, weil Du den cloud-CNAME noch nicht auf das MyFritz des Raspi umgezogen hast.
Ändere mal den CNAME "cloud"... warte ein paar Minuten und greif mal darüber zu.
Bei den grauen IPv6 hilft es manchmal, noch mal auf Bearbeiten zu gehen, die IPv6 Freigabe zu deaktivieren und dann wieder zu aktivieren.

Auch wenn die IPv6 ausgegraut sind, ist trotzdem der DynDNS-Record "richtig", weil dort ist gerade keine IPv6-Adresse gesetzt. Was ja "ausgegraut" entspricht.

Auf dem myfritz für Deine FritzBox ist auch kein IPv6 Rekord gesetzt... eventuell die Box mal neustarten. Auf jeden Fall hat das Myfritz keine IPv6 registriert.

 

[androidin]

Juhu, alles läuft wieder. Vielen Dank für eure Hilfe, das hätte ich so nicht hinbekommen. BTW: Die grünen Lampen wurde nicht angezeigt, weil IPv6 komplett deaktiviert war (hatte ich vorhin gemacht bevor ihr mich getadelt habt, das nicht zu tun). Danke für eure Hilfe. Kann ich etwas spenden?

 

[-Seth-]

Guten Tag,
Schön, dass du Dank der netten Mitforisten zu einer Lösung gekommen bist.
Das Forum lebt hauptsächlich von diesem aktiven Austausch. Fühl dich also eingeladen, hier auch anderen mit deinem know-how, deinen Projektideen und -berichten und zukünftigen Fragen zu helfen.
Natürlich kostet sowas im Hintergrund auch Geld: Hardware, Software, Lizenzen...die Mühe der Forumsbetreibenden mal aussen vorgelassen...daher gibt es den gelben Spenden Button unter forum.heimnetz.de.
Weiter viel Erfolg.