Hallo zusammen,
ich habe ein seltsames Problem auf das ich mir bisher keinen Reim machen kann. Ich setze PiHole in Verbindung mit einer Fritzbox (Fritz!OS Version 7.57) ein. DHCP wird von der FritzBox erledigt und DNS über das PiHole. PiHole fragt direkt die Quad 9 Server an und die FritzBox gibt PiHole als lokalen DNS an die Clients bekannt. In meinem Netz gibt es zwei Server die ich über eine Portfreigabe aus dem Internet erreichbar gemacht hab. Bei Server A ist Port 222 erreichbar und bei Server B ist Port 80 und 443 erreichbar. Damit ich nicht mit wechselnden IPs kämpfen muss, nutze ich den MyFritz! dynamischen DNS Dienst.
Nun zum Problem: Von außerhalb meines Netzwerk kann ich auf beide Server über die MyFritz Adresse auf ihren jeweiligen Port ohne Probleme zugreifen. Innerhalb meines Netzwerkes kann ich zwar Server A auf Port 222 über die MyFritz! Adresse erreichen aber Server B ist über die MyFritz! Adresse nur von außerhalb erreichbar. Wenn ich aus dem LAN versuche die Adresse aufzurufen, werde ich zur Anmeldeseite der Fritz!Box weitergeleitet. Ich bin mir nicht sicher, ob das ein Problem mit PiHole ist oder ob eine Fehlkonfiguration der Fritz!Box vorliegt.
Hat jemand eine Idee, was da los ist?
Das ist wahrscheinlich ein Problem mit der DynDNS-Konfiguration der FritzBox, das über Installation eines eigenen Clients gelöst werden sollte.
Eventuell kann Pi-hole hier aber helfen, das Problem zu umschiffen.
Ich vermute, Deine FritzBox sitzt an einem Dual-Stack-Anschluss (mit sowohl einer öffentlichen IPv4- als auch IPv6-Adresse), und nicht an DSLite oder reinem IPv4?
Wenn Du Deinen DynDNS-Namen auflöst, z.B. über nslookup <mein.dnyDNS.name.de>, kommt da auch eine IPv6-Adresse zurück?
Falls ja, handelt es sich dabei um die öffentliche IPv6-Adresse Deiner FritzBox, wie in der FritzBox unter Internet | Online-Monitor im Abschnitt 'Internet, IPv6' angezeigt?
Sorry für die späte Antwort. Jap ist ein Dual-Stack-Anschluss. Der nslookup bringt die gleiche IP wie in der Fritz!Box angegeben ist. Kann es sein, dass aus irgendeinem Grund die Fritz!Box auf die Anfrage des lokalen Clients trotz der Verwendung der externen Adresse mit der "lokalen" Antwort versieht? Sprich er liefert die Seite fürs Lan aus obwohl ich über die MyFritz! Adresse anfrage? Und bei Port 222 macht die Fritz!Box das nicht, da sie hier keinen Dienst hat?
Der DynDNS-Dienst der Fritzbox meldet sowohl die öffentliche IPv4- und IPv6-Adresse der Fritzbox(!) an den DynDNS-Dienst.
Für IPv4 erzielt das dank Adressübersetzung (NAT) das gewünschte Ergebnis:
Geräte in Deinem Heimnetz haben keine öffentliche IP-Adresse, daher leitet die FritzBox die auf ihrer öffentlichen IPv4-Adresse an den konfigurierten Port gerichteten Datenpakete an die konfigurierte interne, private IPv4-Adresse und Port durch.
Mit IPv6 ist das anders:
Hier hat jedes Gerät eine eigene öffentliche IPv6-Adresse, unter der es auch aus dem Internet erreichbar ist, sofern der Router eingehende Datenverbindungen zulässt. Im Unterschied zu IPv4 gibt es damit keine Notwendigkeit zur Adressübersetzung.
Die Konfiguration in der FB öffnet diesbezüglich also nur den Port für eingehende Verbindungen.
Damit ein Dienst auf einem Client über einen öffentlichen Namen per IPv6 ansprechbar ist, muss Dein DynDNS-Dienstleister die IPv6-Adresse Deines Clients kennen, und nicht die der Fritzbox.
Wie bereits erwähnt, lässt sich das durch Installation eines DynDNS-Clients auf dem entsprechenden Client bewerkstelligen.
Dieser solllte so konfiguriert werden, dass er nur die IPv6-Adresse an den DynDNS-Dienst meldet.
Das Melden der IPv4-Adresse sollte weiterhin die Fritzbox erledigen - sie darf allerdings auf keinen Fall mehr die IPv6-Adresse melden.
Dir sollte außerdem bewusst sein, dass durch Freigabe der Ports 80, 443 und 222 nicht nur Du auf die Gerät zugreifen kannst, sondern jeder an das Internet angeschlossene Rechner.
Es wäre sicherer, diese Ports zu schliessen und stattdessen ausschließlich authentifizierte, verschlüsselte VPN-Verbíndungen auf Dein Heimnetz zu erlauben.
Danke für deine ausführliche Erklärung und deine Warnung. Nach einer Wartezeit (diese doofe Ungeduld) zeigt die Fritz!Box folgendes Verhalten: Er registriert einfach subdomains für die Portfreigaben. Sprich die Adresse ist gerät.domain.myfritz.net. Damit komm ich auch klar, weil die Subdomain auch aus dem LAN erreichbar ist.
This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.