Fritzbox 7590
PI-Hole als DNS
Synology DS720+, auf welcher ein Reverse-Proxy für drei Ziele konfiguriert ist:
ds.example.de / Synology 192.168.5.2:5001 fb.example.de / Fritzbox 192.168.5.1 bw.example.de / Bitwarden Safe, liegt in einem Docker Container auf der Synology 192.168.5.2:5555
Für die Subdomains ist beim Domainanbieter jeweils ein CNAME Record auf meine .myfritz.net Adresse hinterlegt da ich keine feste IP habe.
Die Subdomains sind jeweils über Lets Encrypt Zertifikate abgesichert und der Aufruf von Extern funktioniert ohne Probleme.
Wenn ich aber von intern auf genau diese Subdomains zugreifen möchte, griff im ersten Schritt der DNS Rebind Schutz der Fritzbox.
Also alle drei Subdomains als Ausnahme in der Fritzbox hinterlegt -> Aufruf von intern möglich, allerdings mit zwei Problemen:
Ich lande immer auf der Fritzbox, unabhängig ob ich ds. / fb. / oder bw.example.de eingebe
Die Browser zeigen die Verbindungen als unsicher an.
Das Pihole wirft die lokale IP aus (da ich einen lokalen DNS Record gesetzt habe).
Die Fritzbox wirft meine .myfritz Adresse zusammen mit der öffentlichen IP aus.
Spielt letzten Endes leider keine Rolle, da das Fehlerbild (komme immer bei der Fritzbox raus) jeweils identisch ist, auch wenn ich das Pihole komplett aus der Konstellation rausnehme wie ich nun leider feststellen musste.
Und welche IP wird ohne Angabe eines DNS-Servers zurückgegeben? An welchen DNS-Server geht dann die Anfrage?
Stell uns bitte ein Debug Token zur Verfügung.
Das Token generierst Du über
pihole -d
wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche: Tools > Generate Debug Log
und poste hier anschliessend nur das Token.
Ohne Angabe eines bestimmten DNS wirft er mir (derzeit) die lokale IP, da ich im Pihole lokale DNS Records zu den drei Subdomains angelegt habe.
Aber nochmal: Wenn ich entweder die Records oder aber das Pihole komplett rausnehme, bekomme ich die öffentliche IP zurück und das Fehlerbild ist exakt das selbe
Was Pi-hole betrifft, sieht das soweit ok aus:
Pi-hole ist bei Dir dafür konfiguriert, die Subdomänen in interne Adressen aufzulösen, und liefert bei direkter Anfrage auch die korrekte lokale IP.
Auffällig ist, dass der Rebind-Schutz anspricht, wenn interne Clients DNS über Pi-hole auflösen. Ist Pi-hole auch der Upstream-DNS-Server Deiner Fritzbox (neben der Einstellung als lokaler DNS-Server via DHCP?
Der DNS-Rebind-Schutz der FB greift normalerweise dann, wenn die FB selbst eine DNS-Antwort erhält, die auf eine interne Adresse verweist.
Nach Deinen Angaben und Debug Log kommt die Fritzbox als DNS für die Subdomänen überhaupt nicht ins Spiel. Wenn Pi-hole befragt wird, kommt korrekt die private Adresse zurück.
Über welche URL greifst Du auf die Subdomänen zu? Funktioniert ggf. der Zugriff auf die Subdomänen-URLs mit expliziter Angabe des Zielports?
Das Pihole ist nicht der Upstream DNS der Fritzbox, das ist der Provider-DNS drin. Sollte man dort auch das Pi-Hole eintragen?
Würde, wenn das Pihole der Upstream DNS wäre, die Fritzbox nicht erst recht meckern bei der Auflösung lokaler IPs, weil die ja fest im Pihole hinterlegt sind als local DNS?
Was mich übrigens noch stutzig macht ist, dass meine Fritzbox laut Pi-Hole Statistik noch immer für ca. 5% der DNS Abfragen verantwortlich ist.
Mittlerweile hat sich der Fehler übrigens dahingehend geändert, ich ich von außen auf die ds.example und bw.example.de komme aber sich plötzlich der Rebind Schutz der Fritzbox auch meldet, wenn ich von extern auf fb.example.de kommen möchte.
Ich habe auch das Gefühl, dass verschiedene Browser sich unterschiedlich verhalten. Safari macht irgendwie am meisten Ärger.
Generell ist das für das Heimnetz nicht erforderlich.
Manche Nutzer wollen auch ihr Gastnetz durch Pi-hole filtern lassen, und das geht bei einer FB nur über das Einstellen als Upstream der FB.
Wäre das bei Dir auch der Fall gewesen, hätte das für Clients aus Deinem Gastnetz einen Erklärungsansatz für den Rebind-Schutz geliefert; daher meine Frage.
Immer noch? Die FB selbst würde von sich aus überhaupt keine DNS-Anfragen an Pi-hole stellen (es sei denn, Pi-hole wäre als Usptream konfiguriert).
Wie lange läuft den Pi-hole schon bei Dir?
Die FB verwendet ab Werk ein DHCP-Gültigkeit von 10 Tagen.
Clients, die ihr DHCP-Lease noch nicht erneuert haben, könnten nach wie vor noch die FB als DNS-Server verwenden.
Damit diese Anfragen dann aber in Pi-hole unter der FB-Adresse auftauchen, müsste wiederum Pi-hole als Upstream-DNS-Server der FN eingetragen sein (Internet | Zugangsdaten | DNS-Server).
Unter Umständen greift die FB port-bezogen in den Netzwerkverkehr ein, daher nochmal die Frage: Funktioniert ggf. der Zugriff auf die Subdomänen-URLs mit expliziter Angabe des Zielports?
Und welche Portweiterleitungen sind in der FB eingerichtet?
Genau so verstehe ich es eigentlich auch. Das Pi-Hole läuft schon seit über einem Jahr und wird auch schon seit diesem Zeitpunkt als DNS via DHCP verteilt. Wenn ich in der Pi-Hole Gui meine Netzwerkgeräte anschaue, ist bei wirklich jedem ein Haken bei "uses Pi-Hole" drin.
Das Rätsel hat sich jetzt aber gelöst: Die 5%, die über die Fritzbox aufgelöst werden sind ausschließlich Anfragen an "wpad.fritz.box". Das ist ja meines Wissens diese Proxy-Geschichte. Unschön aber hat jetzt damit nicht zu tun. Für andere Anfragen scheint die Fritze korrekterweise also wirklich nicht benutzt zu werden.
Funktioniert nicht. Vermutlich, weil die Anfragen vom Reverse Proxy der Synology Diskstation bearbeitet werden.
Nur 80 und 443 an die Synology Diskstation. Von dort verteilt dann der Reverse Proxy die Anfragen an interne IPs / Ports weiter.
Komischerweise funktioniert es ja jetzt auch beim Zugriff von innen, nur dass eben bei Zugriffen von außen plötzlich der Rebind Schutz eingreift, aber nur beim Zugriff auf das Fritzbox-Interface. Anfragen an die Synology und den Bitwarden-Safe funktionieren perfekt. Ich könnte natürlich die Fritzbox Subdomain beim Rebind-Schutz eintragen aber ich verstehe nicht, warum die jetzt eine Sonderbehandlung braucht.
Meine Einstellungen nochmal zusammengefasst:
FB verteilt per DHCP das Pihole
DNS der Fritzbox ist der Provider-DNS
Upstream DNS des Pihole ist Google
fb./ds./bw.example.com sind bei local DNS im Pihole eingetragen, jeweils mit ihrer internen IPV4 und IPV6. Auflösung passt auch, ich bekomme die interne Adresse zurück und merke auch dass die Zugriffe über intern gehe, z.B. am Downloadspeed wenn ich eine Datei aus dem DSM Filemanager herunterlade
Conditional Forwarding ist an
Die beiden "never Forward... " Punkte sind aus
Meine .myfritz Adresse und fb.example.com sind als Ausnahmen für den Rebind Schutz hinterlegt. Ersteres zu Testzwecken, weiß nicht ob das was bringt, zweiteres weil sonst beim Zugriff von außen unerklärlicherweise der Rebind-Schutz greift
Die .myfritz Adresse ist als CNAME Ziel der Subdomains beim Domainprovider hinterlegt
