DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!
-
Hi,
also der dig auf der pfsense schaut wie folgt aus:
[23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: dig @localhost asdfasdf.fritz.box ; <<>> DiG 9.18.16 <<>> @localhost asdfasdf.fritz.box ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15523 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1424 ;; QUESTION SECTION: ;asdfasdf.fritz.box. IN A ;; ANSWER SECTION: asdfasdf.fritz.box. 86400 IN A 45.76.93.104 ;; Query time: 259 msec ;; SERVER: ::1#53(localhost) (UDP) ;; WHEN: Fri Apr 26 17:15:38 CEST 2024 ;; MSG SIZE rcvd: 63
es scheint so zu sein, als würde alle was auf *.fritz.box endet auf diese 45er IP auflöst.
Da ich früher ein Fritzbox hatte ist das noch mein primärer DNS-Suffix den ich verwende. Wollte damals nicht alles umbauen.
Die Fritte gibts noch, die ist aber nur noch Modem via PPPOE-Passthrough. Die PFSense macht die Einwahl. -
@n300
Nein, die Idee war, dass die einen externen Server abfragst. Die Annahme ist, das die DNS Requests auf einen anderen Server umgeleitet werden.Wenn du den lokalen Resolver im Forwarding Mode betreibst und diesen abfragst, antwortet natürlich dieser. Ob die Anfrage, die er dann selbst an 1.1.1.1 stellt umgebogen wird, würdest du da nicht sehen.
Du musst direkt einen Public Server abfragen und noch +trace einbauen, damit die abgefragten Server zurückgegeben werden. Also
dig +trace @1.1.1.1 asdaddcddfsdfasdfasd.info
Unten in
;; Query time: 259 msec ;; SERVER: ::1#53(localhost) (UDP) ;; WHEN: Fri Apr 26 17:15:38 CEST 2024 ;; MSG SIZE rcvd: 63
wird immer der abgefragte Server angezeigt, weil der Client annimmt, dass sie von diesem kommt.
Aber wäre interessant, welche Server da sonst als involvierte angezeigt werden. -
Das ist jetzt auch interessant. Sobald ich das +trace flag aktiv habe, bekomm ich von extern gleich nur noch timeouts. Und das direkt auf der pfSense.
[23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: dig +trace @1.1.1.1 asdfasdf.fritz.box ;; communications error to 1.1.1.1#53: timed out ;; communications error to 1.1.1.1#53: timed out ;; communications error to 1.1.1.1#53: timed out ; <<>> DiG 9.18.16 <<>> +trace @1.1.1.1 asdfasdf.fritz.box ; (1 server found) ;; global options: +cmd ;; no servers could be reached [23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: dig +trace @1.1.1.1 google.at ;; communications error to 1.1.1.1#53: timed out ;; communications error to 1.1.1.1#53: timed out ;; communications error to 1.1.1.1#53: timed out ; <<>> DiG 9.18.16 <<>> +trace @1.1.1.1 google.at ; (1 server found) ;; global options: +cmd ;; no servers could be reached
Ich hab ansonsten beim DNS Forwarder mode auch DNS over TLS aktiv. kann es sein, dass Cloudflare gar nichts anderes mehr zulässt?
-
@n300 said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:
Das ist jetzt auch interessant. Sobald ich das +trace flag aktiv habe, bekomm ich von extern gleich nur noch timeouts.
Moment, du versuchst jetzt ja gleichzeitig immer einen externen Server abzurufen. Am "+trace" werden die timeouts ja wohl nicht liegen?
Lasse es mal weg.Ich hab ansonsten beim DNS Forwarder mode auch DNS over TLS aktiv. kann es sein, dass Cloudflare gar nichts anderes mehr zulässt?
Nein, aber hast du vielleicht Port 53 am WAN mit einer Floating Regel blockiert?
-
[23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: dig @1.1.1.1 fritz.box ; <<>> DiG 9.18.16 <<>> @1.1.1.1 fritz.box ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 912 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ;; QUESTION SECTION: ;fritz.box. IN A ;; ANSWER SECTION: fritz.box. 86157 IN A 45.76.93.104 ;; Query time: 15 msec ;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP) ;; WHEN: Fri Apr 26 20:12:10 CEST 2024 ;; MSG SIZE rcvd: 54 [23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: dig +trace @1.1.1.1 fritz.box ;; communications error to 1.1.1.1#53: timed out ;; communications error to 1.1.1.1#53: timed out ;; communications error to 1.1.1.1#53: timed out ; <<>> DiG 9.18.16 <<>> +trace @1.1.1.1 fritz.box ; (1 server found) ;; global options: +cmd ;; no servers could be reached
Offenbar geht es nicht mehr, sobald ich +trace aktiv habe
Und wie man oben wieder schön sehen kann, wird behauptet dass "fritz.box" + alle nicht existenten Subdomains auf diesen ominösen 45.x.x.x Host aufgelöst wird.lt nmap antworter der UDP 53 aber ganz normal
[23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: nmap -p 53 -sU 1.1.1.1 Starting Nmap 7.94 ( https://nmap.org ) at 2024-04-26 20:10 CEST sendto in send_ip_packet_sd: sendto(4, packet, 40, 0, 1.1.1.1, 16) => Permission denied Offending packet: TCP 188.23.168.69:43971 > 1.1.1.1:80 A ttl=53 id=35374 iplen=40 seq=0 win=1024 Nmap scan report for one.one.one.one (1.1.1.1) Host is up (0.012s latency). PORT STATE SERVICE 53/udp open domain Nmap done: 1 IP address (1 host up) scanned in 0.97 seconds
@viragomann said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:
Nein, aber hast du vielleicht Port 53 am WAN mit einer Floating Regel blockiert?
Also WAN ( bzw. eigentlich definiert in den ganzen LAN Interfaces) ausgehend hab ich IPv4 ANY ANY Rules für meine Trusted Devices. Da ist nix wissentlich blockiert. Die einzige definierte Floating Rule, blockiert momentan dieses 45er Host.
-
@n300
Gut, ich würde da jetzt zum Testen nicht die lokale Domain abfragen. Aber dennoch sollte es ein Ergebnis liefern, denke ich.trace versucht die DNS Server Kette zurück zu verfolgen. D.h. jeder Server in der Kette muss preisgeben, welche Server er abfragt.
Schaut be mir bspw. bei dieser Domain und 1.1.1.1 so aus:; <<>> DiG 9.18.19 <<>> +trace @1.1.1.1 fritz.box ; (1 server found) ;; global options: +cmd . 510858 IN NS a.root-servers.net. . 510858 IN NS b.root-servers.net. . 510858 IN NS c.root-servers.net. . 510858 IN NS d.root-servers.net. . 510858 IN NS e.root-servers.net. . 510858 IN NS f.root-servers.net. . 510858 IN NS g.root-servers.net. . 510858 IN NS h.root-servers.net. . 510858 IN NS i.root-servers.net. . 510858 IN NS j.root-servers.net. . 510858 IN NS k.root-servers.net. . 510858 IN NS l.root-servers.net. . 510858 IN NS m.root-servers.net. . 510858 IN RRSIG NS 8 0 518400 20240509200000 20240426190000 5613 . dBqOK8+CzObPeo/KLi3AJMp+szfzxbc6freJwwly8VELjBfzo6KmHHFr jTwO8O8WECuGaPfTJszz0O7utpKEEiTtQ6nNWcE6yRuT52h1H5lunRKx IicYyhMyeDiS9lbLiDvVLmaxGi8M4ju0NO0EHYkXjWM138cWC74UelIo bkFmSyrhMwCZdsMHoVpcWo9TAAQ99I1F56l52SvXXgrklOv4W2Q9KwPY aKMp7u4I0CvDB1JMoStDugI8DlIasTFEoT4jOKmPShrVVZtvKi1MaulA iCySFKl4vpR/9NIyVsX5qaiYoJB9MndrAnBbHRB+kBt9v1NvY5qn6Mja RW6Mfw== ;; Received 525 bytes from 1.1.1.1#53(1.1.1.1) in 13 ms box. 172800 IN NS a.nic.box. box. 172800 IN NS b.nic.box. box. 172800 IN NS c.nic.box. box. 172800 IN NS d.nic.box. box. 86400 IN DS 62294 8 2 29A911BDBF1FC105D593EA39A619BF1E89CB1BFE73FF70FB7E80B75A B9A7A8B8 box. 86400 IN DS 63242 8 2 F63250257503CCE60195E71C2E346A2D8BDE06DCBD666B9EE4F860D7 5988702D box. 86400 IN RRSIG DS 8 1 86400 20240510050000 20240427040000 5613 . iVJgOHZg2I5TUT7UR1pWo1WIo+pOyVONJqncUk6yEv8DBXrcQbd4/YWr tVs1NoPOl6qSsoQaCfqgNA7IwYFqwR77ViolX4pQvLjIOe95jhaLSSat P7O+Aubdi7zxTCQ09xn1xRimEhfY+WA0IscNlIwoPmjhcRaNY7O+R0CG zRY8pVG87Y4xZugK30A7YcbnB5uLWhGgxoskVG+mQhLUkxZisALmeNDJ pxzIwZ2mFjhTKpxnpCgUcev87jhkek/L/SAXgEU4u3bBmMBs2NJC7xc3 oxzzFM0NB0SIt46KD8u8sUc/N4vgfdYN7KyAjV3zTIKjjTDqpRhyQTNh bTwqew== ;; Received 665 bytes from 192.203.230.10#53(e.root-servers.net) in 13 ms ;; UDP setup with 2a04:2b00:13ee::139#53(2a04:2b00:13ee::139) for fritz.box failed: host unreachable. ;; UDP setup with 2a04:2b00:13ee::139#53(2a04:2b00:13ee::139) for fritz.box failed: host unreachable. ;; UDP setup with 2a04:2b00:13ee::139#53(2a04:2b00:13ee::139) for fritz.box failed: host unreachable. fritz.box. 3600 IN NS ursns2.viagenie.ca. fritz.box. 3600 IN NS ursns1.viagenie.ca. fritz.box. 3600 IN DS 4787 8 2 43350BD0B22E8553948A140DA534EA730202721C551F6E14BF3B4E56 D574476F fritz.box. 3600 IN RRSIG DS 8 2 3600 20240526161909 20240426144909 25033 box. d0LtzQZcFMHFaMRigIVxYHIk9asGHqcMXEDt7KIIQhUD7wtlRxKcGMhg /g0tOvwXmIVCAi1fIq8jcrYMT37Y+WojtdIJZ3SZQo4v36LEjpOUsllW bG/gj6Rkkn8HjZFfPZZW+plaUPQI2zHspS385Q1NFmYKPiw7M1anTZB6 ZIU= ;; Received 330 bytes from 185.24.64.139#53(b.nic.box) in 25 ms ;; UDP setup with 2607:5300:60:408a::96#53(2607:5300:60:408a::96) for fritz.box failed: host unreachable. ;; UDP setup with 2001:19f0:6001:3764:5400:3ff:fe73:8d79#53(2001:19f0:6001:3764:5400:3ff:fe73:8d79) for fritz.box failed: host unreachable. fritz.box. 86400 IN A 45.76.93.104 fritz.box. 86400 IN RRSIG A 8 2 86400 20240511035119 20240427022119 4787 fritz.box. W1leWhKLv/ucSVTfm9H5wutN+1jBTjamSR0W/5tucZuU/OHgYqmd+BVl 3I/krev9nZlaJ7nnX7DV4/byCbJYD3IirUvYWQ5jxXVKP9lXLCAn4kTr eCf9/ZufAajWKP9WQrku65b9nbAcyF95fZUT8gnjzu9GrqnRee02Ug2x xWu9qMbyTsf50qM/c1rBotqJvkQHB/nbLHuwf9lI05pWUHarQRPRVNm5 A7/nNHfc5cxtPQ3UPscdwa7d6MuDfc3plXqEXgu+S65nzwLwTy+zglsm DzGx/OXDgBqbNYJdx17BbgfMu8TFYb34eBp4Q4H88CsaP1t4u1XA43qn BZTgOQ== ;; Received 351 bytes from 149.248.4.125#53(ursns2.viagenie.ca) in 185 ms
Die IP für fritz.box ist eben 45.76.93.104.
Da habe ich möglicherweise dein Problem falsch verstanden und es betrifft nur die lokale Domain.
Hast du diese im DNS Resolver als "local-zone" definiert?
Ich glaube zwar, das macht der Resolver automatisch, doch offenbar nicht. Damit sollte er Abfragen dahin nicht raus schicken. -
Bitte die DNS Anfrage mit einem . am Ende abschließen, dann bekommst du auch etwas anderes als deine eigene WAN IP zurück.
Dann ist fritz.box zu verwenden, nicht mehr so geil, seit dem .box eine TLD ist und AVM es versäumt hat fritz dort zu registrieren und was auch immer damit zu machen.
Da läuft gerade ein teardown, weil jemand anderes sich diese Domain gesichert hatte, der nichts mit AVM zu tun hat.Vergleiche mal:
nslookup asdaddcd.fritz.box
mit:
nslookup asdaddcd.fritz.box.
-
@NOCling said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:
Da läuft gerade ein teardown, weil jemand anderes sich diese Domain gesichert hatte, der nichts mit AVM zu tun hat.
Ich meine gelesen zu haben, dass das bereits gelöst wurde.
-
@Bob-Dig
Ja, aber egal, was da die Lösung ist, eine öffentliche Domain sollte nicht lokal genutzt werden. Das führt zu Konflikten. -
Wenn es die eigene ist, ist das kein Problem.
Aber man sollte keine fremde Domain intern verwenden, schon gar keine TLD.
-
Hi Leute,
vielen Dank für die rege Diskussion.
der fehlende Punkt am Ende war schon mal ein guter Hint. Danke dafür und sorry, ich bin in dem DNS-Thema nur so semi-gut drinnen.
das Ergebnis schaut dann wie folgt aus für <irgendwas>.fritz.box (ja diese Domain ist die Einzige die mir Probleme macht)
; <<>> DiG 9.18.16 <<>> +trace asdf.fritz.box. ;; global options: +cmd . 18658 IN NS g.root-servers.net. . 18658 IN NS h.root-servers.net. . 18658 IN NS i.root-servers.net. . 18658 IN NS j.root-servers.net. . 18658 IN NS k.root-servers.net. . 18658 IN NS l.root-servers.net. . 18658 IN NS m.root-servers.net. . 18658 IN NS a.root-servers.net. . 18658 IN NS b.root-servers.net. . 18658 IN NS c.root-servers.net. . 18658 IN NS d.root-servers.net. . 18658 IN NS e.root-servers.net. . 18658 IN NS f.root-servers.net. . 18658 IN RRSIG NS 8 0 518400 20240509050000 20240426040000 5613 . DAooAQeC5lDRbl3WS6AZmYluWO1iDytu4d5LwgrF5YM/DInY7jruGTGz 8Kg1tVM9miSZuthlD445e1B3o0Jjo8cv3GpQTdziuaFdZ0S5PhZyfO+i kqayFQMomw6qyUaScmsrIvbJHuEo4GT+11SmqC9t9p45e5yllxNuKuFo vWUcGDvOOqJ8Exw/wOqf8DxgQOfzL3v3Tt8CFEL0AX4zcgF/MRVdc670 fLGCe0mG0N9XPPtu3RKlmj99LtG9ssMc2Afvc9xHc6tRDxYkRbSSDXSc Pffh69ahJwVAP078FhraBR1ELY0PHIontpxxaffGoIQw2rUS9j3YypqZ BLCQZw== ;; Received 525 bytes from 127.0.0.1#53(127.0.0.1) in 0 ms ;; UDP setup with 2001:500:9f::42#53(2001:500:9f::42) for asdf.fritz.box. failed: host unreachable. ;; UDP setup with 2001:500:9f::42#53(2001:500:9f::42) for asdf.fritz.box. failed: host unreachable. ;; UDP setup with 2001:500:9f::42#53(2001:500:9f::42) for asdf.fritz.box. failed: host unreachable. box. 172800 IN NS a.nic.box. box. 172800 IN NS d.nic.box. box. 172800 IN NS c.nic.box. box. 172800 IN NS b.nic.box. box. 86400 IN DS 63242 8 2 F63250257503CCE60195E71C2E346A2D8BDE06DCBD666B9EE4F860D7 5988702D box. 86400 IN DS 62294 8 2 29A911BDBF1FC105D593EA39A619BF1E89CB1BFE73FF70FB7E80B75A B9A7A8B8 box. 86400 IN RRSIG DS 8 1 86400 20240510050000 20240427040000 5613 . iVJgOHZg2I5TUT7UR1pWo1WIo+pOyVONJqncUk6yEv8DBXrcQbd4/YWr tVs1NoPOl6qSsoQaCfqgNA7IwYFqwR77ViolX4pQvLjIOe95jhaLSSat P7O+Aubdi7zxTCQ09xn1xRimEhfY+WA0IscNlIwoPmjhcRaNY7O+R0CG zRY8pVG87Y4xZugK30A7YcbnB5uLWhGgxoskVG+mQhLUkxZisALmeNDJ pxzIwZ2mFjhTKpxnpCgUcev87jhkek/L/SAXgEU4u3bBmMBs2NJC7xc3 oxzzFM0NB0SIt46KD8u8sUc/N4vgfdYN7KyAjV3zTIKjjTDqpRhyQTNh bTwqew== ;; Received 676 bytes from 202.12.27.33#53(m.root-servers.net) in 37 ms ;; UDP setup with 2a04:2b00:13ee::139#53(2a04:2b00:13ee::139) for asdf.fritz.box. failed: host unreachable. fritz.box. 3600 IN NS ursns1.viagenie.ca. fritz.box. 3600 IN NS ursns2.viagenie.ca. fritz.box. 3600 IN DS 4787 8 2 43350BD0B22E8553948A140DA534EA730202721C551F6E14BF3B4E56 D574476F fritz.box. 3600 IN RRSIG DS 8 2 3600 20240527090539 20240427073539 25033 box. HbPEwxd8s/saXGrxzydCVTeGmGGlIZZDqDPcMcnq0rg6ZnuoTbCLVoZa j5Vb4JcWgDWLc8WNdr8B/aJvo8A+9nfp0KJAYPk4FK00NmoVFsHtW71S NZsXn1ePV+2PQDM0TYXGWSPhxS98h1yxcjN7xH5clGMC7kvO2QlyAMdA ByA= ;; Received 335 bytes from 185.24.64.139#53(b.nic.box) in 29 ms asdf.fritz.box. 86400 IN A 45.76.93.104 asdf.fritz.box. 86400 IN RRSIG A 8 2 86400 20240511035119 20240427022119 4787 fritz.box. b7MOKfzmkmXavMm+JPDBXxPwn4lCjMQvV7W9B1At7e/+aimChnIBUzfH QUD6GQZKoRg6W5tBdqw5RCQ7krxmwl4w5AFv605D1O2UYECCTg/YdE7M 9lu4eeUMQw11ibHYCjtTmSVKYmaTCh5grl+gLnBrf4ixXqWL1x3HVoES EqTrrX4Y3I3REvUs43K2NJU2W3dhqy+2IttLuO6HdDEgQjSdsN4f1Gnm YkQJgG0mtzR80kJQxYXYqTu76gkU8r9SpyCZrgCupL01zw9YMnLQ/Ecr ilp5tutIiDKi3O+B+2fkly20ljdmv1KMWtCiRi1ttDrcc6ialMiz+sFk KXpBIA== *.fritz.box. 3600 IN NSEC fritz.box. A AAAA RRSIG NSEC *.fritz.box. 3600 IN RRSIG NSEC 8 2 3600 20240510203043 20240426190043 4787 fritz.box. jyTptBuczaB4MPUeAUhImWmPGADjiWRNMP85Qq2qSJLu/FRlaBJFuc9v ZNmlcV+ZwcmgvRTmzLyBJ2S3yG5GGQmfvJaexK54Q+lZPJ9uOAhEUA7y 4515YMDWD9WcIckQ9g/lg58IvZD6ncrPI4IeLSF+SfZguQS9xwj7SaBv lEVgi8MEdB+rGhaBaYfic+ptBZwm41ucJY/XVbm4yVpIy4qj3RWwsspd xZ9p+/46haANG+2rLjJJ5WuqkbFEDTpM3Py5O05PTlEjaXXSqSxpKzSt oAk6sWK4Bk33icEWFCjDvy16MKGNGuLLSsY8IU0sanPcHdMahMh5Aus8 AzMPoA== ;; Received 686 bytes from 54.39.222.96#53(ursns1.viagenie.ca) in 110 ms
Es stimmt natürlich mit dem domain-suffix "fritz.box" und für dessen lokale Verwendung. Dieser ist der default, wenn man ne Fritzbox als Router verwendet. Ich hatte früher eine und leider ist das Teil historisch nun an 100 Ecken irgendwo hardcoded in der Homeautomation drinnen. Wenn das probleme macht muss ich das doch mal angehen (auweh, das wird lustig).
Haben wir irgend einen Trick in unbound parat, der mir diese ganze "fritz.box" ausschließlich lokal hält?
zB mitlocal-zone: fritz.box
@NOCling said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:
Aber man sollte keine fremde Domain intern verwenden, schon gar keine TLD.
Wie gesagt, das war bislang nicht ein Problem. Aber muss ich mittelfristig wohl mal fixen.
EDIT:
@viragomann said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:Hast du diese im DNS Resolver als "local-zone" definiert?
Das hast du ja sogar schon vorgeschlagen. Ich sollte mal genauer lesen
Dann probier ich das gleich mal.EDIT2:
Das hier wars ->
Das ist per default auf "Transparent" gestellt. Hab das auf "Redirect" gestellt. Somit leitet er nun alles auf lokal um was an Subdomains unbekannt ist.
EDIT3:
Hab den Local Zone Type nochmal geändert von Redirect auf Static. Sonst spinnt die lokale Auflösung komplett.