DynDNS-Fehler: Der DynDNS-Anbieter meldet Fehler 0 -

[gooseberry]

Hallo Zäma,
ich verfolge gerade den Artikel oder die Diskussion zu Fritz!Box DynDNS. Muss allerdings sagen, dass ich zunächst mal Schwierigkeiten mit IPv4 habe, da mit in der Fritz!Box das Wording noch unverständlich ist.
Tatsache ist, dass meine Konfiguration in der Fritz!Box 7590 (WAN-Router2Vodafone) o.G. Fehlermeldung vorliegt. - Ereignis: Der DynDNS-Anbieter meldet Fehler 0 -

Meine Konfiguration:
update URL:
https://ddnss.de/upd.php?key=meinUpdateKey&Clara.ddnss.de=Clara.ddnss.de

Domain
Clara.ddnss.de
Username
xyz
Password
Geheim

Das habe ich konfiguriert. Nun verstehe ich allerdings nicht, was in diesem Fall nun der HOST und die Domain ist.
DynDNS sagt

	vHostname : Clara.ddnss.de

Wenn clara.ddnss.de Host-Adresse ist, wer ist dann die Domain? Die meines Providers?
Kann mir jemand das erklären?

Grüße

 

[the other]

Moinsen,
ich nutze zufällig ebenfalls den Anbieter DDNSS sowie eine Fritzbox.
Hier habe ich als update URL (gemäß der Angaben auf deren Website) eingetragen:
https://ip4.ddnss.de/upd.php?user=<username>&pwd=<pass>&host=<domain>&ip=<ipaddr>
Genau so, einfach copy&paste.

Dann dieses in die Fritzbox unter Update-URL einfügen, weiter dann
- den Domainname, so wie er bei ddnss eingetragen ist
- dein Username bei ddnss
- dein Passwort (das zum log-in genutzt wird)

Damit funktioniert es hier...
Hier der link der Anleitung von ddnss: https://ddnss.de/ua/help.php
Versuch das mal, gerne dann ein kurzes Feedback, ob es damit funktioniert hat...

 

[gooseberry]

uppps - d.h. , in der URL sind nur Variable und keine Fix-Werte, darauf muss man erstmal kommen.

update auf ddnss.de war erfolgreich:

1 Hostname wurde mit IP: 2.203.232.159 aktualisiert.

Jetzt sehe ich auch das update in meinem Account. Vorher stand da noch: 85.114.136.161
Dann habe ich mal geguckt, was das denn so ist:

rb@HW101:~> nslookup 85.114.136.161
161.136.114.85.in-addr.arpa name = mail.mc-p.de.

und das hat mich irritiert.

Authoritative answers can be found from:

rb@HW101:~> nslookup 2.203.232.159
159.232.203.2.in-addr.arpa name = dslb-002-203-232-159.002.203.pools.vodafone-ip
.de.

Danke für die Unterstützung, das ist schon mal die Basis für meine VPN Verbindungen aus den USA, die ich in 3 Monaten benötige und konfigurieren möchte.

Aber ich habe noch eine Menge weitere LOP; zunächst nur einen Punkt.

Wozu update Key? Der soll doch user und passwd ersetzen - oder?

Danke nochmal

 

[the other]

Moinsen,
es gibt ja (neben der Fritzbox) durchaus andere Routerhersteller. Die Geschichte mit den Einträgen für DynDNS variiert da auch, manche arbeiten sicherlich auch mit dem Updatekey. Ich benutze den hier nicht, habe mich einfach an die Anleitung (link oben) von ddnss gehalten, auf der Seite siehst du rechts dann die Anleitung für Fritzboxrouter...da ist nix vom Key erwähnt. Auch gibt es da kein eigenes Feld für...ergo hab ich das einfach weggelassen. Ergebnis: arbeitet unauffällig vor sich hin und funktioniert. Ist hier ebenfalls wegen VPN in Gebrauch.
Was genau ist denn (bin nicht so der Abkürzungsheini) mit "LOP" gemeint?
Und: hast du schon eine Idee, wie du VPN umsetzen willst? Auf der Fritzbox? Wireguard? IPsec? Was ganz anderes?
Unter der Forenseite mit den Anleitungen findest du btw auch was zum Einrichten des VPN Servers der Fritzbox (kein Wireguard):
https://www.heimnetz.de/anleitungen...pn-server-fuer-die-client-einwahl-einrichten/
und
https://www.heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-vpn-android-client-einrichten/

 

[gooseberry]

LOP - List of open points;

Was VPN USA angeht; so ist meine Idee; einen VPN-Tunnel von meinem Tablet u. LINUX Desktop - ich denke IPsec; openVPN - zu meinem WAN-Router (7590) aufzubauen; ergo Fritz!Box ist ein VPN-Server.
Steht der Tunnel:

1. dann soll dort eine/meine Internet-NextCloud (Rasperry pi4) für mich zu Verfugung stehen.
2. Einen Internet-Zugang, ggf. über meinen Provider.

Das ist der Plan; kann das so funktionieren; in welchem Netz hängt dann meine Cloud - Guest-IP-Adress?

Danke für die Informationen.

 

[the other]

Moinsen,
ja, das sollte funktionieren...
Du kannst ein IPsec VPN (kein openVPN, das kann die Fritzbox nicht) recht schnell einrichten (siehe link zur Anleitung zuvor). Die Fritzbox ist natürlich eher etwas schwach, für ab und zu Dinge auf den Raspi-Nextcloud-Server schieben oder syncen oder downloaden sollte es aber reichen...
Das Konstrukt wäre dann:

DU (U!S!A!)----------------->dynDNS der Fritzbox-------->deren VPN Server Funktion---------------->freier Zugriff auf dein LAN (Heimatland)
Wichtig wäre dabei, dass sich die IP Bereiche USA und Heimatland unterscheiden. Daher immer der Tip, das default Netzwerk der Fritzbox abzuändern...welche IP Adressbereiche für den privaten Gebrauch zur Verfügung stehen siehst du hier:
https://www.heimnetz.de/anleitungen...-adressen-und-adressbereiche-im-heimnetzwerk/

Also nicht, dass du in den Staaten dann den IP Bereich 192.168.178.0/24 hast und daheim, wo dein VPN Server steht ebenfalls 192.168.178.0/24...
Du kannst es so einrichten, dass der gesamte Datenverkehr durch den VPN-Tunnel geht (also immer Umweg über deine Heimat) oder eben nicht...
Deine Heimnetzgeräte hinter der heimatlichen Fritzbox hängen dann weiterhin in deinem LAN, da ändert sich nix, auch deren IPs oder hostnames oder domainnames bleiben wie gewohnt (das ist ja das schöne), dein Client, mit welchem du via VPN zugreifst, bekommt dann eine IP aus dem Adressbereich des VPN Tunnels. Dieser muss ebenfalls unterschiedlich sein, also nicht 192.168.178.0/24...
Ergo: am Besten mit drei unterschiedlichen Bereichen arbeiten, den Bereich in den USA kannst du ggf. nur bedingt ändern (wenn fremder Router im Hotel o.ä.), daher beim Einrichten direkt darauf achten, hier etwas eher exotisches zu nehmen...

Wenn es dann soweit ist (das Einrichten, nicht die Reise ), mal in Ruhe ausprobieren...und bei Bedarf gerne melden.
Achso: es KANN manchmal vorkommen, dass ein fremdes Netz (aus dem du auf deinen VPN Server zugreifen willst) die benötigten Ports sperrt. Das ist dann doof.
Alternativ kannst du aber auf einem Raspi auch einen openVPN Server einrichten. Dieser funktioniert auch mit dem Port 443, welcher idR nicht gesperrt wird > Stichwort ssl-VPN (oder neuer: TLS-VPN), guckst du hier: https://de.wikipedia.org/wiki/SSL-VPN
Das dann ggf. als fall back Lösung...

 

[gooseberry]

Hallo Zäma, Moin

also ich muss sagen, das hier ist ein erstklassiger Service - Chapeau - Danke recht herzlich.
Das mit den IP-Adressen habe ich auch schon gelesen und es ist in der Tat so, dass 80% der Kunden-WAN-Router (WHG, Camping, Hotel, etc.) den 192.168.178.0/24 benützen, und was hat meine Box? - Richtig - ich schaue mir mal die Konfiguration an der Fritz!Box an, ob das so einfach umzukonfigurieren ist.

Okay, das mit den 192.168.178.0/24 liegt aber auch daran, dass mich das gar nicht interessierte, da ich eine etwas andere LAN-Infrastruktur habe und den Tunnel zu meiner IPfire aufbauen wollte - hatte ich mal testweise aufgebaut. Dazu muss ich die Infrastruktur ständig unter Strom halten. Deshalb u.a. die etwas andere Lösung.
Ich möchte eigentlich den Tunnel am WAN-Router enden lassen.

Ich möchte zu meiner Person sagen, dass ich schon lange nicht mehr im Business bin (war auch nie Administrator) und meine IT-Kenntnis immer weiter schrumpfen, deshalb bin ich froh, wenn nach dem neuesten IT-Standard Lösungsvorschläge kommen.
Meine lokale Infrastruktur (kurz)

7950 --> IPfire <--> 4040 - myLAN

und nun soll an der 7950 ein Pi4 (NextCloud) hängen; ergo unter Strom sind dann PI4 und 7950.

Danke

 

[gooseberry]

Sorry für die Störung, aber was ist das
http://192.168.178.1/help/help.lua?sid=c0832e17451e9733&helppage=hilfe_syslog_115.html
17.01.24 15:45:07
DynDNS-Fehler: Die DynDNS-Aktualisierung war erfolgreich, anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf.
http://192.168.178.1/help/help.lua?sid=c0832e17451e9733&helppage=hilfe_syslog_115.html
Gruß
http://192.168.178.1/help/help.lua?sid=c0832e17451e9733&helppage=hilfe_syslog_115.html

 

[blurrrr]

Das mit den IP-Adressen habe ich auch schon gelesen und es ist in der Tat so, dass 80% der Kunden-WAN-Router (WHG, Camping, Hotel, etc.) den 192.168.178.0/24 benützen

Naja, das ist etwas verallgemeinert... Prinzipiell geht es um die Default-Einstellungen der "üblichen Verdächtigen", dazu gehören 0,1,2,178,179 (letzteres als Fritzbox-Gast-Netz), ggf. noch 255. Vielleicht sind die anderen Hersteller bzgl. Gast-Netz auch schon nachgezogen, keine Ahnung. Also am besten Abstand von allen Netzen nehmen, die irgendwo als "Default" genutzt werden. Ist natürlich keine Garantie, aber die Chancen eine Netz-Überschneidung zu vermeiden sind doch schon wesentlich höher.

und das hat mich irritiert.

Das passiert, wenn die PTR-Records nicht aufgeräumt bzw. an die neuen Gegebenheiten angepasst werden, oder das System noch für anderweitige Dinge genutzt wird - im Falle eines "typischen" Hosting-Servers dürfte das Web+Mail+DNS sein und das Ding stellt ja auch eine Website zur Verfügung, da kann man das Thema Mail auch noch direkt mit erledigen (so wie es die Aufgabe eines solchen Hosts ist).

DynDNS-Fehler: Die DynDNS-Aktualisierung war erfolgreich, anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf.

Najo, sowas "kann" schon mal vorkommen... Im Prinzip läuft es ja so:

1) Deine Fritzbox bekommt eine neue IP
2) Deine Fritzbox gibt die neue IP an den DynDNS-Dienst weiter
3) Der DynDNS-Dienst vermerkt bei sich die neue IP zum dazugehörigen DNS-Record (ggf. auf einem internen Nameserver)
4) Der neu eingetragene DNS-Record wird auf weitere öffentliche DNS-Server repliziert
5) Entweder werden die öffentlichen DNS-Server "direkt" gefragt, oder es sitzt ggf. noch ein Loadbalancer davor (ggf. mit Cache)

So oder so beträgt die TTL der meisten DDNS-Records 60 Sekunden. Geht man also hin und aktualisiert den Eintrag, fragt direkt nach dem Eintrag und landet ggf. bei einem System, welches den alten Eintrag noch im Cache hat, kriegt man mitunter eine falsche (veraltete) Antwort, da der Inhalt im Cache bis zu 60 Sekunden gültig ist.

Stör Dich mal nicht an den ganzen AVM-Artikeln... Kontrolliere einfach, wie die aktuelle WAN-IP ist und eine Minute später (oder so) prüfst Du einfach mal via "nslookup deineadresse.ddnss.de", ob sich da entsprechend was getan hat und ob die DDNS-IP der aktuellen IP des WAN-Interfaces entspricht.

 

[the other]

Moinsen,
den IP Bereich deiner eigenen Fritzbox kannst du recht problemlos ändern:
den DHCP Bereich der Box > https://www.heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-dhcp-bereich-aendern/
die feste IPs zuteilen (wäre für deine Server ggf. interessant) > https://www.heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-feste-ip-adressen-zuweisen/
die interne IP der Fritzbox selber ändern > https://www.heimnetz.de/anleitungen...ritzbox-ip-internet-protocol-adresse-aendern/

Alles kein Hexenwerk...ich war auch nie Administrator (außer im Hobbykeller daheim) und hab rein gar nix beruflich mit IT zu tun.
Die "Fehlermeldungen" hat ja @blurrrr bereits erklärt bzw. etwas dazu gesagt. Neustart / Reboot mal gemacht?
Je nachdem wie "lebenswichtig" dir das Erreichen der Geräte ist: ggf kannst du auch noch über eine USV Lösung nachdenken > https://de.wikipedia.org/wiki/Unterbrechungsfreie_Stromversorgung

 

[gooseberry]

So, ich habe mal einen User und ein IPsec Tunnel eingerichtet, das hat allerdings auch nur dann funktioniert, als ich die 7950 rebootet:

Die letzten drei Bestätigungsversuche wurden abgebrochen oder nicht erfolgreich ausgeführt. Der Bestätigungsvorgang wurde zum Schutz für 60 Minuten gesperrt. Bitte versuchen Sie es später noch einmal.

So, was mich irritiert:
VPN-DatenVPN-Typ: "IPSec" oder "IPSec Xauth PSK"
Serveradresse / Server:
*********.myfritz.net <<<<<<<<< warum myfritz.net und nicht clara.ddnss.de

Nutzeraccount ist aus der Fritz!Box. Ist *********.myfritz.net eine Verknüpfung zur clara.ddnss.de

Was denke ich falsch?

 

[the other]

Moinsen,
die Anleitung bezieht sich noch auf die Fritz OS Version 7.28... aktuell ist es aber so, dass sich da die Dinge im Hintergrund geändert haben.
So kommt es auch darauf an, wie aktuell das zugreifende Gerät ist. IPsec XAUTH PSK zb geht nicht mehr auf Androids die aktueller als Version 12 (oder 12) sind. Da wird das veraltete Verfahren nicht mehr unterstützt.
Für neuere Versionen bietet die Fritzbox in den aktuellen OS Versionen Unterstützung für IKEv2 IPsec. Das ist sicherer und (wenn mit deinem Client kompatibel) daher vorzuziehen... Du kannst es aber eh nicht aktiv auswählen...für die XAUTH benötigst du afaik einen Authentifizierungsserver (RADIUS, FreeRADIUS), bei dem anderen sind die Credentials in der Fritzboxdatenbank hinterlegt (deine User credentials eben).

Hast du denn noch einen Eintrag in der Fritzbox bzgl des myfritz DynDNS Dienstes? Könnte mir vorstellen, dass AVM da ihrem Dienst immer den Vorzug gibt.
Lösung: du musst entweder die Fritzbox aus dem myFritz dienst entfernen (dann musst du dich später mit der registrierten Email wieder anmelden, denn das entfernt die Fritzbox aus dem myfritz Konto). Oder (imho besser) du entfernst den Haken:


Damit wird dann dein ddnss DynDNS angezeigt (ist hier so, eben ausprobiert)...

 

[gooseberry]

Moin, Zäma,

danke für die Information. Nun habe ich mal schnell auf Android 12 (Redme) VPN config auf IKEv2/IPsec PSK umgestellt.
Beim Verbindungsaufbau, der nicht funktioniert, sagt mir mein Smartphone gleich - "ist nicht sicher."
Jetzt habe ich keine Ahnung wie unter Android und auch 7950 vernünftiges loggen geht ; damit ich mal sehen kann, wo der Hase läuft.
Vielleicht mache ich das zunächst alles mal mit meinem openSUSE 15.5 Laptop -- Android ist so eine Geschichte.

Okay, jetzt ist erstmal für 2 Tage Pause - melde mich wieder.

Grüße aus dem Süden

 

[blurrrr]

"ist nicht sicher."

Der Artikel https://at.avm.de/service/wissensda...t-nicht-sichere-VPN-Verbindung-zur-FRITZ-Box/ hilft nicht? Wobei ich den Verweis auf Wireguard schon ein bisschen merkwürdig finde, aber ok...

Hab nur ein Android-Tablet - da nutze ich auch kein VPN - aber ich dachte eigentlich, dass Android 12 IKEv2 supported und bei v1 rummeckert... Nebst dem sollte die Fritzbox doch auch IKEv2 für die Roadwarrior-Config nutzen (glaub nur beim S2S-VPN ging das noch nicht, da ist meines Wissens nach noch IKEv1 angesagt).

 

[the other]

Moinsen,
ich hatte das vor einigen Monaten mal testweise mit IKEv2 und Android 12 angelegt, als Roadwarrior...funktionierte sofort. Seltsam...

edit: kann es auch nicht mehr so nachstellen, weil die Androids entweder beide Android 13 haben, oder aber (ein Oldtimer) noch mit einer gaaaanz alten Version unterwegs sind.

 

[gooseberry]

So, ich habe alles installiert und konfiguriert - was teilweise sehr tricky war, auch, weil die Fehlermeldungen nicht immer verständlich waren.
LINUX nur mit dem Cisco Plugin, vpnc Netzwerkmanager und Android funktioniert unter Huawei mit VS 9, nicht aber das Smartphone Redmi Note 9 pro mit VS 12 !?!

Nachdem ich eine VPN-Verbindung zur Fritz!Box aufbaute und ein ssh Verbindung auf meinen Rechner, der eine IP aus dem Fritz!Box Netz hat, sehe ich auf meinem Pi4 gleich einen Fremdzugriff Versuch. Sehe ich das falsch?

Feb 04 18:58:31 extNextCloud sshd[1654]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rh
ost=85.209.11.254
Feb 04 18:58:32 extNextCloud sshd[1654]: Failed password for invalid user user from 85.209.11.254 port 45632 ssh2
Feb 04 18:58:33 extNextCloud sshd[1654]: Connection closed by invalid user user 85.209.11.254 port 45632 [preauth]
Feb 04 19:00:00 extNextCloud sudo[1651]: pam_unix(sudo:session): session closed for user root

So, damit ist der Fall mal abgeschlossen. Danke an alle.

 

[blurrrr]

Sehe ich das falsch?

Nö, siehst Du richtig... Wenn Du Dich nicht grade in Asien rumtreibst, dürfte das ein fremder Zugriffsversuch sein

 

[Barungar]

Wenn man einen Port 22 (SSH) von außen erreichbar macht, ist das (leider) üblich, dass da ganz viele "anklopfen".
Da diese Zugriffsversuche häufig über Skripte laufen, habe ich bei mir in der Konfiguration des sshd grundsätzlich die Login-Methode "password" deaktiviert und akzeptiere auf Port 22 (wenn von außen erreichbar) nur SSH-Key. Damit lehnt der PAM bereits ab, wenn überhaupt auf passwortbasis versucht wird sich einzuloggen.

 

[gooseberry]

SSH-Key - die Vorgehensweise wäre also
ssh-keygen Generating public/private rsa key pair
usw. ; d.h. ich muss das für jeden Rechner konfigurieren, der ssh-Zugriff auf diesen Rechner benötigt.

Jetzt habe ich versucht, eine GPG key for authentication GPG - key dazu habe ich unter Kwallet ein Key pair angelegt; das was dann schon, weil ich nicht sicher bin, wie ich da weiter kommen. Es ist kein rsa pair.
Ist das die richtige Richtung GPG- key? Oder gibt es hier ein anderes Kochrezept?

Danke für jeden Tipp

​

 

[Barungar]

usw. ; d.h. ich muss das für jeden Rechner konfigurieren, der ssh-Zugriff auf diesen Rechner benötigt.

Jein, man kann die Keys auch kopieren. Die sind normal an einen Benutzer gebunden. Wenn Du auf allen Rechnern den Benutzer "gooseberry" hast, reicht auch ein SSH-Key für den User "gooseberry".

Der private Key bleibt dabei im eigene ~/.sshd/ liegen und der public Key kommt in die authorized_keys (oder so) auf dem Zielsystem, die ebenfalls im ~/.sshd/ liegt.