Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!

    Scheduled Pinned Locked Moved Deutsch
    13 Posts 4 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      viragomann @n300
      last edited by

      @n300
      Nein, die Idee war, dass die einen externen Server abfragst. Die Annahme ist, das die DNS Requests auf einen anderen Server umgeleitet werden.

      Wenn du den lokalen Resolver im Forwarding Mode betreibst und diesen abfragst, antwortet natürlich dieser. Ob die Anfrage, die er dann selbst an 1.1.1.1 stellt umgebogen wird, würdest du da nicht sehen.

      Du musst direkt einen Public Server abfragen und noch +trace einbauen, damit die abgefragten Server zurückgegeben werden. Also

      dig +trace @1.1.1.1 asdaddcddfsdfasdfasd.info

      Unten in

      ;; Query time: 259 msec
;; SERVER: ::1#53(localhost) (UDP)
;; WHEN: Fri Apr 26 17:15:38 CEST 2024
;; MSG SIZE  rcvd: 63

      wird immer der abgefragte Server angezeigt, weil der Client annimmt, dass sie von diesem kommt.
      Aber wäre interessant, welche Server da sonst als involvierte angezeigt werden.

      N 1 Reply Last reply Reply Quote 0
      • N
        n300 @viragomann
        last edited by

        @viragomann

        Das ist jetzt auch interessant. Sobald ich das +trace flag aktiv habe, bekomm ich von extern gleich nur noch timeouts. Und das direkt auf der pfSense.

        [23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: dig +trace @1.1.1.1 asdfasdf.fritz.box
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out

; <<>> DiG 9.18.16 <<>> +trace @1.1.1.1 asdfasdf.fritz.box
; (1 server found)
;; global options: +cmd
;; no servers could be reached

[23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: dig +trace @1.1.1.1 google.at
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out

; <<>> DiG 9.18.16 <<>> +trace @1.1.1.1 google.at
; (1 server found)
;; global options: +cmd
;; no servers could be reached

        Ich hab ansonsten beim DNS Forwarder mode auch DNS over TLS aktiv. kann es sein, dass Cloudflare gar nichts anderes mehr zulässt?

        V 1 Reply Last reply Reply Quote 0
        • V
          viragomann @n300
          last edited by

          @n300 said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:

          Das ist jetzt auch interessant. Sobald ich das +trace flag aktiv habe, bekomm ich von extern gleich nur noch timeouts.

          Moment, du versuchst jetzt ja gleichzeitig immer einen externen Server abzurufen. Am "+trace" werden die timeouts ja wohl nicht liegen?
          Lasse es mal weg.

          Ich hab ansonsten beim DNS Forwarder mode auch DNS over TLS aktiv. kann es sein, dass Cloudflare gar nichts anderes mehr zulässt?

          Nein, aber hast du vielleicht Port 53 am WAN mit einer Floating Regel blockiert?

          N 1 Reply Last reply Reply Quote 0
          • N
            n300 @viragomann
            last edited by n300

            @viragomann

            [23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: dig @1.1.1.1 fritz.box

; <<>> DiG 9.18.16 <<>> @1.1.1.1 fritz.box
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 912
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;fritz.box.                     IN      A

;; ANSWER SECTION:
fritz.box.              86157   IN      A       45.76.93.104

;; Query time: 15 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
;; WHEN: Fri Apr 26 20:12:10 CEST 2024
;; MSG SIZE  rcvd: 54

[23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: dig +trace  @1.1.1.1 fritz.box
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out

; <<>> DiG 9.18.16 <<>> +trace @1.1.1.1 fritz.box
; (1 server found)
;; global options: +cmd
;; no servers could be reached

            Offenbar geht es nicht mehr, sobald ich +trace aktiv habe
            Und wie man oben wieder schön sehen kann, wird behauptet dass "fritz.box" + alle nicht existenten Subdomains auf diesen ominösen 45.x.x.x Host aufgelöst wird.

            lt nmap antworter der UDP 53 aber ganz normal

            [23.09.1-RELEASE][admin@pfSense-HW.fritz.box]/root: nmap -p 53 -sU 1.1.1.1
Starting Nmap 7.94 ( https://nmap.org ) at 2024-04-26 20:10 CEST
sendto in send_ip_packet_sd: sendto(4, packet, 40, 0, 1.1.1.1, 16) => Permission denied
Offending packet: TCP 188.23.168.69:43971 > 1.1.1.1:80 A ttl=53 id=35374 iplen=40  seq=0 win=1024
Nmap scan report for one.one.one.one (1.1.1.1)
Host is up (0.012s latency).

PORT   STATE SERVICE
53/udp open  domain

Nmap done: 1 IP address (1 host up) scanned in 0.97 seconds

            @viragomann said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:

            Nein, aber hast du vielleicht Port 53 am WAN mit einer Floating Regel blockiert?

            Also WAN ( bzw. eigentlich definiert in den ganzen LAN Interfaces) ausgehend hab ich IPv4 ANY ANY Rules für meine Trusted Devices. Da ist nix wissentlich blockiert. Die einzige definierte Floating Rule, blockiert momentan dieses 45er Host.

            V 1 Reply Last reply Reply Quote 0
            • V
              viragomann @n300
              last edited by

              @n300
              Gut, ich würde da jetzt zum Testen nicht die lokale Domain abfragen. Aber dennoch sollte es ein Ergebnis liefern, denke ich.

              trace versucht die DNS Server Kette zurück zu verfolgen. D.h. jeder Server in der Kette muss preisgeben, welche Server er abfragt.
              Schaut be mir bspw. bei dieser Domain und 1.1.1.1 so aus:

              ; <<>> DiG 9.18.19 <<>> +trace @1.1.1.1 fritz.box
; (1 server found)
;; global options: +cmd
.			510858	IN	NS	a.root-servers.net.
.			510858	IN	NS	b.root-servers.net.
.			510858	IN	NS	c.root-servers.net.
.			510858	IN	NS	d.root-servers.net.
.			510858	IN	NS	e.root-servers.net.
.			510858	IN	NS	f.root-servers.net.
.			510858	IN	NS	g.root-servers.net.
.			510858	IN	NS	h.root-servers.net.
.			510858	IN	NS	i.root-servers.net.
.			510858	IN	NS	j.root-servers.net.
.			510858	IN	NS	k.root-servers.net.
.			510858	IN	NS	l.root-servers.net.
.			510858	IN	NS	m.root-servers.net.
.			510858	IN	RRSIG	NS 8 0 518400 20240509200000 20240426190000 5613 . dBqOK8+CzObPeo/KLi3AJMp+szfzxbc6freJwwly8VELjBfzo6KmHHFr jTwO8O8WECuGaPfTJszz0O7utpKEEiTtQ6nNWcE6yRuT52h1H5lunRKx IicYyhMyeDiS9lbLiDvVLmaxGi8M4ju0NO0EHYkXjWM138cWC74UelIo bkFmSyrhMwCZdsMHoVpcWo9TAAQ99I1F56l52SvXXgrklOv4W2Q9KwPY aKMp7u4I0CvDB1JMoStDugI8DlIasTFEoT4jOKmPShrVVZtvKi1MaulA iCySFKl4vpR/9NIyVsX5qaiYoJB9MndrAnBbHRB+kBt9v1NvY5qn6Mja RW6Mfw==
;; Received 525 bytes from 1.1.1.1#53(1.1.1.1) in 13 ms

box.			172800	IN	NS	a.nic.box.
box.			172800	IN	NS	b.nic.box.
box.			172800	IN	NS	c.nic.box.
box.			172800	IN	NS	d.nic.box.
box.			86400	IN	DS	62294 8 2 29A911BDBF1FC105D593EA39A619BF1E89CB1BFE73FF70FB7E80B75A B9A7A8B8
box.			86400	IN	DS	63242 8 2 F63250257503CCE60195E71C2E346A2D8BDE06DCBD666B9EE4F860D7 5988702D
box.			86400	IN	RRSIG	DS 8 1 86400 20240510050000 20240427040000 5613 . iVJgOHZg2I5TUT7UR1pWo1WIo+pOyVONJqncUk6yEv8DBXrcQbd4/YWr tVs1NoPOl6qSsoQaCfqgNA7IwYFqwR77ViolX4pQvLjIOe95jhaLSSat P7O+Aubdi7zxTCQ09xn1xRimEhfY+WA0IscNlIwoPmjhcRaNY7O+R0CG zRY8pVG87Y4xZugK30A7YcbnB5uLWhGgxoskVG+mQhLUkxZisALmeNDJ pxzIwZ2mFjhTKpxnpCgUcev87jhkek/L/SAXgEU4u3bBmMBs2NJC7xc3 oxzzFM0NB0SIt46KD8u8sUc/N4vgfdYN7KyAjV3zTIKjjTDqpRhyQTNh bTwqew==
;; Received 665 bytes from 192.203.230.10#53(e.root-servers.net) in 13 ms

;; UDP setup with 2a04:2b00:13ee::139#53(2a04:2b00:13ee::139) for fritz.box failed: host unreachable.
;; UDP setup with 2a04:2b00:13ee::139#53(2a04:2b00:13ee::139) for fritz.box failed: host unreachable.
;; UDP setup with 2a04:2b00:13ee::139#53(2a04:2b00:13ee::139) for fritz.box failed: host unreachable.
fritz.box.		3600	IN	NS	ursns2.viagenie.ca.
fritz.box.		3600	IN	NS	ursns1.viagenie.ca.
fritz.box.		3600	IN	DS	4787 8 2 43350BD0B22E8553948A140DA534EA730202721C551F6E14BF3B4E56 D574476F
fritz.box.		3600	IN	RRSIG	DS 8 2 3600 20240526161909 20240426144909 25033 box. d0LtzQZcFMHFaMRigIVxYHIk9asGHqcMXEDt7KIIQhUD7wtlRxKcGMhg /g0tOvwXmIVCAi1fIq8jcrYMT37Y+WojtdIJZ3SZQo4v36LEjpOUsllW bG/gj6Rkkn8HjZFfPZZW+plaUPQI2zHspS385Q1NFmYKPiw7M1anTZB6 ZIU=
;; Received 330 bytes from 185.24.64.139#53(b.nic.box) in 25 ms

;; UDP setup with 2607:5300:60:408a::96#53(2607:5300:60:408a::96) for fritz.box failed: host unreachable.
;; UDP setup with 2001:19f0:6001:3764:5400:3ff:fe73:8d79#53(2001:19f0:6001:3764:5400:3ff:fe73:8d79) for fritz.box failed: host unreachable.
fritz.box.		86400	IN	A	45.76.93.104
fritz.box.		86400	IN	RRSIG	A 8 2 86400 20240511035119 20240427022119 4787 fritz.box. W1leWhKLv/ucSVTfm9H5wutN+1jBTjamSR0W/5tucZuU/OHgYqmd+BVl 3I/krev9nZlaJ7nnX7DV4/byCbJYD3IirUvYWQ5jxXVKP9lXLCAn4kTr eCf9/ZufAajWKP9WQrku65b9nbAcyF95fZUT8gnjzu9GrqnRee02Ug2x xWu9qMbyTsf50qM/c1rBotqJvkQHB/nbLHuwf9lI05pWUHarQRPRVNm5 A7/nNHfc5cxtPQ3UPscdwa7d6MuDfc3plXqEXgu+S65nzwLwTy+zglsm DzGx/OXDgBqbNYJdx17BbgfMu8TFYb34eBp4Q4H88CsaP1t4u1XA43qn BZTgOQ==
;; Received 351 bytes from 149.248.4.125#53(ursns2.viagenie.ca) in 185 ms

              Die IP für fritz.box ist eben 45.76.93.104.

              Da habe ich möglicherweise dein Problem falsch verstanden und es betrifft nur die lokale Domain.
              Hast du diese im DNS Resolver als "local-zone" definiert?
              Ich glaube zwar, das macht der Resolver automatisch, doch offenbar nicht. Damit sollte er Abfragen dahin nicht raus schicken.

              1 Reply Last reply Reply Quote 0
              • N
                NOCling
                last edited by NOCling

                Bitte die DNS Anfrage mit einem . am Ende abschließen, dann bekommst du auch etwas anderes als deine eigene WAN IP zurück.

                Dann ist fritz.box zu verwenden, nicht mehr so geil, seit dem .box eine TLD ist und AVM es versäumt hat fritz dort zu registrieren und was auch immer damit zu machen.
                Da läuft gerade ein teardown, weil jemand anderes sich diese Domain gesichert hatte, der nichts mit AVM zu tun hat.

                Vergleiche mal:

                nslookup asdaddcd.fritz.box

                mit:

                nslookup asdaddcd.fritz.box.

                Netgate 6100 & Netgate 2100

                Bob.DigB 1 Reply Last reply Reply Quote 0
                • Bob.DigB
                  Bob.Dig LAYER 8 @NOCling
                  last edited by Bob.Dig

                  @NOCling said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:

                  Da läuft gerade ein teardown, weil jemand anderes sich diese Domain gesichert hatte, der nichts mit AVM zu tun hat.

                  Ich meine gelesen zu haben, dass das bereits gelöst wurde.

                  V 1 Reply Last reply Reply Quote 0
                  • V
                    viragomann @Bob.Dig
                    last edited by

                    @Bob-Dig
                    Ja, aber egal, was da die Lösung ist, eine öffentliche Domain sollte nicht lokal genutzt werden. Das führt zu Konflikten.

                    1 Reply Last reply Reply Quote 0
                    • N
                      NOCling
                      last edited by

                      Wenn es die eigene ist, ist das kein Problem.

                      Aber man sollte keine fremde Domain intern verwenden, schon gar keine TLD.

                      Netgate 6100 & Netgate 2100

                      1 Reply Last reply Reply Quote 0
                      • N
                        n300
                        last edited by n300

                        Hi Leute,

                        vielen Dank für die rege Diskussion.

                        der fehlende Punkt am Ende war schon mal ein guter Hint. Danke dafür und sorry, ich bin in dem DNS-Thema nur so semi-gut drinnen.

                        das Ergebnis schaut dann wie folgt aus für <irgendwas>.fritz.box (ja diese Domain ist die Einzige die mir Probleme macht)

                        ; <<>> DiG 9.18.16 <<>> +trace asdf.fritz.box.
;; global options: +cmd
.                       18658   IN      NS      g.root-servers.net.
.                       18658   IN      NS      h.root-servers.net.
.                       18658   IN      NS      i.root-servers.net.
.                       18658   IN      NS      j.root-servers.net.
.                       18658   IN      NS      k.root-servers.net.
.                       18658   IN      NS      l.root-servers.net.
.                       18658   IN      NS      m.root-servers.net.
.                       18658   IN      NS      a.root-servers.net.
.                       18658   IN      NS      b.root-servers.net.
.                       18658   IN      NS      c.root-servers.net.
.                       18658   IN      NS      d.root-servers.net.
.                       18658   IN      NS      e.root-servers.net.
.                       18658   IN      NS      f.root-servers.net.
.                       18658   IN      RRSIG   NS 8 0 518400 20240509050000 20240426040000 5613 . DAooAQeC5lDRbl3WS6AZmYluWO1iDytu4d5LwgrF5YM/DInY7jruGTGz 8Kg1tVM9miSZuthlD445e1B3o0Jjo8cv3GpQTdziuaFdZ0S5PhZyfO+i kqayFQMomw6qyUaScmsrIvbJHuEo4GT+11SmqC9t9p45e5yllxNuKuFo vWUcGDvOOqJ8Exw/wOqf8DxgQOfzL3v3Tt8CFEL0AX4zcgF/MRVdc670 fLGCe0mG0N9XPPtu3RKlmj99LtG9ssMc2Afvc9xHc6tRDxYkRbSSDXSc Pffh69ahJwVAP078FhraBR1ELY0PHIontpxxaffGoIQw2rUS9j3YypqZ BLCQZw==
;; Received 525 bytes from 127.0.0.1#53(127.0.0.1) in 0 ms

;; UDP setup with 2001:500:9f::42#53(2001:500:9f::42) for asdf.fritz.box. failed: host unreachable.
;; UDP setup with 2001:500:9f::42#53(2001:500:9f::42) for asdf.fritz.box. failed: host unreachable.
;; UDP setup with 2001:500:9f::42#53(2001:500:9f::42) for asdf.fritz.box. failed: host unreachable.
box.                    172800  IN      NS      a.nic.box.
box.                    172800  IN      NS      d.nic.box.
box.                    172800  IN      NS      c.nic.box.
box.                    172800  IN      NS      b.nic.box.
box.                    86400   IN      DS      63242 8 2 F63250257503CCE60195E71C2E346A2D8BDE06DCBD666B9EE4F860D7 5988702D
box.                    86400   IN      DS      62294 8 2 29A911BDBF1FC105D593EA39A619BF1E89CB1BFE73FF70FB7E80B75A B9A7A8B8
box.                    86400   IN      RRSIG   DS 8 1 86400 20240510050000 20240427040000 5613 . iVJgOHZg2I5TUT7UR1pWo1WIo+pOyVONJqncUk6yEv8DBXrcQbd4/YWr tVs1NoPOl6qSsoQaCfqgNA7IwYFqwR77ViolX4pQvLjIOe95jhaLSSat P7O+Aubdi7zxTCQ09xn1xRimEhfY+WA0IscNlIwoPmjhcRaNY7O+R0CG zRY8pVG87Y4xZugK30A7YcbnB5uLWhGgxoskVG+mQhLUkxZisALmeNDJ pxzIwZ2mFjhTKpxnpCgUcev87jhkek/L/SAXgEU4u3bBmMBs2NJC7xc3 oxzzFM0NB0SIt46KD8u8sUc/N4vgfdYN7KyAjV3zTIKjjTDqpRhyQTNh bTwqew==
;; Received 676 bytes from 202.12.27.33#53(m.root-servers.net) in 37 ms

;; UDP setup with 2a04:2b00:13ee::139#53(2a04:2b00:13ee::139) for asdf.fritz.box. failed: host unreachable.
fritz.box.              3600    IN      NS      ursns1.viagenie.ca.
fritz.box.              3600    IN      NS      ursns2.viagenie.ca.
fritz.box.              3600    IN      DS      4787 8 2 43350BD0B22E8553948A140DA534EA730202721C551F6E14BF3B4E56 D574476F
fritz.box.              3600    IN      RRSIG   DS 8 2 3600 20240527090539 20240427073539 25033 box. HbPEwxd8s/saXGrxzydCVTeGmGGlIZZDqDPcMcnq0rg6ZnuoTbCLVoZa j5Vb4JcWgDWLc8WNdr8B/aJvo8A+9nfp0KJAYPk4FK00NmoVFsHtW71S NZsXn1ePV+2PQDM0TYXGWSPhxS98h1yxcjN7xH5clGMC7kvO2QlyAMdA ByA=
;; Received 335 bytes from 185.24.64.139#53(b.nic.box) in 29 ms

asdf.fritz.box.         86400   IN      A       45.76.93.104
asdf.fritz.box.         86400   IN      RRSIG   A 8 2 86400 20240511035119 20240427022119 4787 fritz.box. b7MOKfzmkmXavMm+JPDBXxPwn4lCjMQvV7W9B1At7e/+aimChnIBUzfH QUD6GQZKoRg6W5tBdqw5RCQ7krxmwl4w5AFv605D1O2UYECCTg/YdE7M 9lu4eeUMQw11ibHYCjtTmSVKYmaTCh5grl+gLnBrf4ixXqWL1x3HVoES EqTrrX4Y3I3REvUs43K2NJU2W3dhqy+2IttLuO6HdDEgQjSdsN4f1Gnm YkQJgG0mtzR80kJQxYXYqTu76gkU8r9SpyCZrgCupL01zw9YMnLQ/Ecr ilp5tutIiDKi3O+B+2fkly20ljdmv1KMWtCiRi1ttDrcc6ialMiz+sFk KXpBIA==
*.fritz.box.            3600    IN      NSEC    fritz.box. A AAAA RRSIG NSEC
*.fritz.box.            3600    IN      RRSIG   NSEC 8 2 3600 20240510203043 20240426190043 4787 fritz.box. jyTptBuczaB4MPUeAUhImWmPGADjiWRNMP85Qq2qSJLu/FRlaBJFuc9v ZNmlcV+ZwcmgvRTmzLyBJ2S3yG5GGQmfvJaexK54Q+lZPJ9uOAhEUA7y 4515YMDWD9WcIckQ9g/lg58IvZD6ncrPI4IeLSF+SfZguQS9xwj7SaBv lEVgi8MEdB+rGhaBaYfic+ptBZwm41ucJY/XVbm4yVpIy4qj3RWwsspd xZ9p+/46haANG+2rLjJJ5WuqkbFEDTpM3Py5O05PTlEjaXXSqSxpKzSt oAk6sWK4Bk33icEWFCjDvy16MKGNGuLLSsY8IU0sanPcHdMahMh5Aus8 AzMPoA==
;; Received 686 bytes from 54.39.222.96#53(ursns1.viagenie.ca) in 110 ms

                        Es stimmt natürlich mit dem domain-suffix "fritz.box" und für dessen lokale Verwendung. Dieser ist der default, wenn man ne Fritzbox als Router verwendet. Ich hatte früher eine und leider ist das Teil historisch nun an 100 Ecken irgendwo hardcoded in der Homeautomation drinnen. Wenn das probleme macht muss ich das doch mal angehen (auweh, das wird lustig).

                        Haben wir irgend einen Trick in unbound parat, der mir diese ganze "fritz.box" ausschließlich lokal hält?
                        zB mit

                        local-zone: fritz.box

                        @NOCling said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:

                        Aber man sollte keine fremde Domain intern verwenden, schon gar keine TLD.

                        Wie gesagt, das war bislang nicht ein Problem. Aber muss ich mittelfristig wohl mal fixen.

                        EDIT:
                        @viragomann said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!:

                        Hast du diese im DNS Resolver als "local-zone" definiert?

                        Das hast du ja sogar schon vorgeschlagen. Ich sollte mal genauer lesen 🤦
                        Dann probier ich das gleich mal.

                        EDIT2:
                        Das hier wars ->
                        24930b87-45bb-40bb-96f7-bf374f066f24-image.png

                        Das ist per default auf "Transparent" gestellt. Hab das auf "Redirect" gestellt. Somit leitet er nun alles auf lokal um was an Subdomains unbekannt ist.

                        15fbad91-c666-4b1b-965c-4f4795fb1f76-image.png

                        EDIT3:

                        Hab den Local Zone Type nochmal geändert von Redirect auf Static. Sonst spinnt die lokale Auflösung komplett.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.