Fritzbox gibt NXDOMAIN zurück trotz konfiguriertem externen DNS-Server (Pi-hole)

[t.empunkt]

Moin Männer,

ich bin aktuell etwas mit meiner Fritzbox am verzweifeln...

Ich betreibe im Heimnetz einen eigenen DNS-Server (Pi-hole). Die Fritzbox ist so konfiguriert, daß sie diesen DNS-Server als Upstream verwendet (IPv4 und IPv6). Im Heimnetz existiert eine interne Subdomain, die nur intern über Pi-hole auf eine private IP (192.168.178.30) aufgelöst wird. Wenn ich diese Domain direkt gegen Pi-hole auflöse, bekomme ich korrekt die private IP zurück. Wenn ich dieselbe Domain ohne expliziten DNS-Server abfrage (also über fritz.box), bekomme ich jedoch NXDOMAIN („keine A/AAAA-Einträge“). Die Fritzbox scheint die Anfrage nicht an den konfigurierten Upstream-DNS weiterzugeben, sondern beantwortet sie selbst negativ oder cached eine negative Antwort. Ich möchte aber, daß sie alle DNS-Anfragen – auch für nicht öffentlich auflösbare Domains – korrekt an den eingestellten Upstream-DNS weiterleitet.

Zwei Fragen dazu:

- Warum beantwortet die Fritzbox bestimmte Domainanfragen selbst mit NXDOMAIN, obwohl ein externer DNS-Server konfiguriert ist?
- Wie kann ich erreichen, daß die Fritzbox als reiner Forwarder arbeitet und interne Split-DNS-Auflösungen korrekt durchreicht?

Gruß aus Niedersachsen!

 

[t.empunkt]

Ergänzung: Ziel des Ganzen ist es, meine Proxmox-VM über eine eigene Domain erreichbar zu machen...

 

[blurrrr]

Hi,

diesen Artikel schon mal gesehen https://fritz.com/apps/knowledge-ba...hre-Anfrage-aus-Sicherheitsgrunden-abgewiesen?

 

[blurrrr]

Ergänzung

Ich auch: Sinnvoller wäre es, wenn Du direkt den Pi-Hole als Resolver verteilst. Zusätzlich kannst Du ja noch ein conditional forwarding (bedingte Weiterleitung) für die Domain "fritz.box" einrichten, damit die Anfragen diesbezüglich immer zur Fritz!Box gehen. Somit würdest Du Dir den Weg "Fritzbox -> Pi-Hole" bei normalen Abfragen sparen.

 

[t.empunkt]

Hi,

diesen Artikel schon mal gesehen https://fritz.com/apps/knowledge-ba...hre-Anfrage-aus-Sicherheitsgrunden-abgewiesen?

Ja, ABER: Die Fritzbox liefert für die Domain eine NXDOMAIN-Antwort, obwohl im DNS-Upstream Pi-hole einen Eintrag auf interne IP 192.168.178.30 hat. Direkte Abfragen an Pi-hole funktionieren korrekt, aber wenn ich sie ohne explizite DNS-Angabe (nslookup domain) frage, kommt kein Eintrag, obwohl sie Pi-hole als Upstream nutzt.

 

[blurrrr]

Lesen und machen was dort im Artikel steht - nix aber. Wenn nicht klar sein sollte, "warum" es nicht funktioniert: Öffentliche FQDNs haben regulär nichts mit "privaten" IP-Adressen zu tun. FQDN -> private IP -> Nö!

Natürlich funktionieren die Anfragen an den Pi-Hole korrekt, es ist die Fritz!Box mit dem DNS-Rebind-Schutz und in Deinem Konstrukt... naaaaa? Wer fragt den Pi-Hole? Na dann ist ja gut, dass wir darüber gesprochen haben...

Also - FQDN bei der Fritz!Box bei den Rebind-Schutz-Ausnahmen hinterlegen (s. Artikel), dann sollte das auch funktionieren. Du hast ja selbst schon festgestellt, dass der Pi-Hole hier anscheinend nicht das Problem ist. Mach einfach mal, wie im o.g. Artikel beschrieben, lösch den DNS-Cache (Geräte ggf. einfach kurz neustarten) und dann teste nochmal

EDIT: Das Problem hättest Du übrigens auch nicht, wenn Du einfach den Pi-Hole als DNS-Resolver an die Clients verteilen würdest.

 

[Barungar]

Was heißt für Dich, dass Du Deinen PiHole als Upstream-DNS eingetragen hast?
Wo hast Du ihn in der FritzBox eingetragen? ggf. Screenshots.

 

[t.empunkt]

1/2

Aaaaaalsoooooo.... (Nachricht in 1 & 2 aufgeteilt wegen max. 5 Dateianhängen)








Im DNS-Rebind-Schutz sind alle einzelnen Subdomains (z.B. "paperless.meine-domain.de") sowie die gesamte ("*.meine-domain.de") und zusätzlich noch die Domain selbst freigegeben.

Nun Pihole:

 

[t.empunkt]

2/2

Caddy-Proxy:





Ich lasse mich auch gerne als blind oder doof bezeichnen, aber wenn irgendjemand einen Fehler in der Konstruktion erkennen kann, wäre ich mehr als dankbar!

@Barungar @blurrrr

 

[t.empunkt]

Der Vollständigkeit halber:

 

[Barungar]

Du hast in der FritzBox ZWEI DNS-Server konfiguriert. So kannst Du nicht sicherstellen, dass sie Deinen PiHole fragt.
Schmeiß die 1.1.1.1 raus.
Und was die IPv6 angeht.... ich bin mir nicht sicher, ob es schlau ist die GA des PiHole zu nutzen oder hast Du ein statisches IPv6-Prefix?
Normal geben Provider nur ein dynamisches Prefix raus, in diesem Fälle wäre eine ULA besser.

 

[t.empunkt]

Du hast in der FritzBox ZWEI DNS-Server konfiguriert. So kannst Du nicht sicherstellen, dass sie Deinen PiHole fragt.
Schmeiß die 1.1.1.1 raus.

Ehm ja gut... die Fritzbox wollte noch eine alternative Adresse haben



Aber nachdem ich die gleiche wie beim DNSv4-Server eingetragen habe, funktionierte es dann.

Und was die IPv6 angeht.... ich bin mir nicht sicher, ob es schlau ist die GA des PiHole zu nutzen oder hast Du ein statisches IPv6-Prefix?
Normal geben Provider nur ein dynamisches Prefix raus, in diesem Fälle wäre eine ULA besser.

Und diesbezüglich: Mir fällt da auch nichts besseres ein. Eigentlich sollen sämtliche Proxmox-bezogenen Anfragen über die IPv4- und der Rest der normalen Anfragen (z.B. google.de) über IPv6 beantwortet werden.

 

[Barungar]

Und diesbezüglich: Mir fällt da auch nichts besseres ein. Eigentlich sollen sämtliche Proxmox-bezogenen Anfragen über die IPv4- und der Rest der normalen Anfragen (z.B. google.de) über IPv6 beantwortet werden.

Ich habe doch geschrieben... nimm die ULA nicht die GA.

 

[t.empunkt]

Ich habe doch geschrieben... nimm die ULA nicht die GA.

Ist doch schon?!

 

[t.empunkt]

Ich habe doch geschrieben... nimm die ULA nicht die GA.

Ach Moment, ich muß ja die ULA von Pihole im DNSv6-Server hinterlegen... nevermind

 

[Barungar]

Wobei die ULA im Interface-Anteil der GA entsprechen dürfte. Du musst nur den Prefix austauschen... Also aus
2a02:8108:8a94:df00:be24:11ff:fec0:122f --> fdce:21e6:12c8:0:be24:11ff:fec0:122f machen