Kein Zugriff im lokalen Netz auf Docker wenn IPv6 (Rebind-Schutz!?)

[Pete0]

Hallo,

Ich nutze eine FritzBox 6690 mit FritzOS 7.50. In meinem Heimnetz habe ich einen unRAID Server auf dem 3 Docker laufen, die aus dem Internet erreichbar sind. Ein DNS Dienst ist konfiguriert und funktioniert. In der Update-URL für den DNS Dienst ist aktuell nur IPv4 konfiguriert.

Soweit funktioniert auch erstmal alles. Alle Docker sind aus dem Internet und innerhalb meines Heimnetzes erreichbar über ihren Domainnamen, keine Probleme, alles gut.

Sobald ich aber in die Update-URL für den DNS den Parameter für IPv6 mit einfüge, sind die Seiten aus dem lokalen Netz nicht mehr erreichbar. Ich lande auf einer FritzBox Fehlerseite: "Der DNS-Rebind-Schutz ihrer Fritz!Box hat die Anfrage aus Sicherheitsgründen abgewiesen."

Also kurz zusammengefasst:
* wenn "ping container.xxx.meindns.de" eine IPv4 zurück liefert, funktioniert alles. Zugriff aus Heimnetz & Zugriff aus dem Internet.
* wenn "ping container.xxx.meindns.de" eine IPv6 zurück liefert, funktioniert nur der Zugriff aus dem Internet.

Ich habe alle Subdomains zu der Ausnahmeliste unter Heimnetz > Netzwerk > DNS-Rebind-Schutz hinzugefügt. Exemplarisch steht da:
container1.xxx.meindns.de
container2.xxx.meindns.de
container3.xxx.meindns.de
xxx.meindns.de

Die stehen dort nun schon seit einer Woche. Die FritzBox wurde seither mehrmals neugestaretet aber es scheint keinerlei Wirkung zu zeigen. Habe ich die Ausnahmen falsch eingetragen? Fehlt was? Syntax?

Damit die Container erreichbar sind und ich mal wieder aufgebe eine Lösung zu finden, entferne ich immer den IPv6 Parameter aus der Update-URL und starte die FritzBox neu.

 

[Spielebernd]

Hy.

Zugegeben nicht ganz so mein Thema aber wenn der DNS-Rebind-Schutz greift und das auch wenn Ausnahmen deklariert sind wird die deklarierte Ausnahme nicht zum eigentlichen Aufruf passen.

Ob man hier pauschal alles für z.B. http://Adresse.de freigeben kann oder strickt für http://Adresse.de/Index.html eventuell noch mit Port gesetzt werden entzieht sich meiner Kenntnis.

Hast du mal den Aufruf den du aus dem internet setzt mal genau so eingetragen? Also mit allem.

 

[Pete0]

Ich werde es mal versuchen. Danke.

Sonst sind mögliche Ideen aktuell noch eher Mau.

Edit: Zumindest der Doku zu Rebind-Schutz muss es wohl nicht so ausführlich sein, die eingetragene Domain.
https://avm.de/service/wissensdaten...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/

 

[Spielebernd]

Hier steht „Domainnamen inklusive Subdomain“ ob das in deinem Fall Relevant ist keine Ahnung. Wie gesagt so wirklich bin ich in dem Thame nicht drin wenn die Ausnahme aber nicht zieht wird der Aufruf anders sein als die Ausnahme.

Sorry mehr kann ich dazu auch nicht sagen.

 

[the other]

Moinsen,
auch wenn ich von Containern und Co so gar keine Ahnung habe...
AFAIK ist bei den IPv6 Geschichten folgende Problematik zu beachten: du bekommst den Präfix (meist dynamisch) vom ISP. Den host-Anteil der IPv6 bildet ein Gerät meist mit SLAAC aus seiner MAC Adresse ab. Da nun aber dadurch die Rückverfolgbarkeit erleichtert wird, argumentieren die Großen der Branche gaaaanz plötzlich mit "Datenschutz" und so haben sich neben der eigentlichen IPv6 noch weitere IPv6 Adressen etabliert, die den host-Anteil zufällig generieren. Die sogenannten Privacy Extensions. Diese ändern zusätzlich den hinteren zufällig generierten host-Anteil in bestimmten zeitlichen Abständen.
Vorteil: deine globale IPv6 Adresse ist nicht nachvollziehbar.
Nachteil: das was du gerade erlebst...unter anderem.

Also könntest du entweder das gesamte Netz im Router freigeben oder die Privacy Extensions deaktivieren. Falls das geht (geht nicht bei Android)...
hier (wenn auch anderer ddns Anbieter) nochmal erklärt:
https://www.variomedia.de/faq/Welche-Besonderheiten-sind-bei-IPv6-zu-beachten/article/299

 

[Pete0]

Eingetragen habe ich alle. Alle Subdomains (z. B. nextcloud.xxx.meindnsdienst.de) und die DNS Domain (meindnsdienst.de).

Aktuell sieht die Fehlermeldung etwas anders aus:

 

[the other]

Moinsen und Nachschlag...ähhh, Nachtrag:
mit einem Aufruf im Terminal/Konsole kannst du dir alle IPv6 und v4 Adressen ansehen:
windows
ipconfig /all

linux
ifconfig -a
oder
ip a



Und hier noch was zum Abschalten: https://wiki.ubuntuusers.de/IPv6/Privacy_Extensions/
für zB Ubuntu...oder eben für windows:
https://docs.bwipv6.de/docs/cheatsheets/windows-10-client/

Ich habe hier noch kurzem Ausprobieren überall wo es geht die PEs deaktiviert. Ist auch für den internen Datenverkehr praktischer. Insgesamt aus meiner Sicht eine falsch gedachte Servicemaßnahme der Hersteller, allein auf die IP kommt es bei den heutigen Möglichkeiten des Datensammelns und -auswertens eh nicht mehr an. Da gibt es ganz andere Möglichkeiten. So wird es den interessierten Menschen jedenfalls nicht schmackhafter gemacht, sich mit IPv6 auseinander zu setzen. Plus eine vermeintliche Privatsphäre vorgegaukelt. Tja.
Ist aber nur meine Meinung...

 

[Pete0]

Ich habe das mal geprüft.

In der Fritzbox habe ich die Portfreitabe aktiv, die bei HTTP und HTTPS Protokoll eben an den unRAID Server weiterleitet.
Im unRAID Server habe ich gerade gesehen, dass bei IPv6 eine adresse steht, die mit 2a02 beginnt. Kann das richtig sein?
In der Fritzbox habe ich den ULA Prefix manuell auf fddd....usw. festgelegt. Ich hätte jetzt eigentlich erwartet, dass der unRAID Server eine IP Adresse mit dem gleichen Prefix hat.

Brauche ich im unRAID Server überhaupt IPv6? Vielleicht dumme Frage aber die FritzBox weiß ja die IPv4 und IPv6 des Servers. Wenn der Server jetzt kein IPv6 unterstützen würde, würde die FritzBox die Anfragen nicht auf die IPv4 weiterleiten?

 

[the other]

Moinsen,
tja...brauchen - nicht brauchen...

Es braucht kein IPv6. Funktioniert doch alles.
Könnte mensch denken, tut es ja zu Hause auch meist.
Frage ist eben nur: wie lange noch bei der Knappheit der IPv4 Adressmöglichkeiten.
Also muss irgendwann die Alternative IPv6 her.
Ob du dich also heute schon ganz entspannt im echten DualStack damit auseinandersetzen willst...deine Entscheidung. Für deinen Alltag brauchst du das also eher nicht. Für die Zukunft aber vermutlich schon (bald?).

Du kannst auch alle DNS Anfragen via IPv4 laufen lassen.
Da ich mit der Fritzbox nicht so viel mache: keine Ahnung.

 

[the other]

Moinsen,
zu deiner IP...
https://findipv6.com/ipv6-whois

Der erste Block wird da eben zugeteilt...kannst ja im link mal mit deiner IP spielen und nachschauen...
Die diversen IPv6 Test Seiten sind zum schnellen Check auch oft ganz ok. So als reiner Ersteindruck.

 

[Barungar]

Ist denn im DNS auch die korrekte IPv6 der Container eingetragen? Oder steht da aus versehen die IPv6 der FritzBox drin?!
Wenn man nämlich "alles richtig macht" ist das selbst mit einer FritzBox "0 Problem".

Wichtig ist halt nur... IPv4 arbeitet mit NAT, also steht bei allen Containern die IPv4 der FritzBox drin und die hat Portweiterleitungen.
Bei IPv6 muss aber zwingend die IPv6 des Containers drinstehen, blos nicht die der FrtizBox.

Die Fehlermeldung "Die angegebene URL wurde nicht gefunden. Sie werden..." kommt nämlich nur dann, wenn die FritzBox selbst aufgerufen wird. Das deutet draufhin, dass die falsche IP im AAAA Record steht.