rennradler
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Hallo Leute, ich bin über folgende Problematik gestolpert, als ich mich über die aktuellen Fritzboxen schlau gemacht habe. Meine steinalte Fritzbox konnte kein statisches DHCP (eine fest vorgegebene Zuordnung MAC → IP war nicht möglich) und schon gar keine Namensauflösung im lokalen Netzwerk. Daher hab ich mit Freez und dnsmaq nachgeholfen. Nun hieß es von verscheidenen Seiten hier im Forum immer, die aktuellen Fritzboxen können Namensauflösung im lokalen Netz. Das Studium des Handbuches hat mich da zweifeln lassen und in der Tat macht der DNS-Server der Fritzbox keine Namensauflösung im lokalen Netz. Als Grund gibt AVM den Schutz gegen DNS Rebind an: https://avm.de/service/fritzbox/fritzbox-7270/wissensdatenbank/publication/show/663_DNS-Aufloesung-privater-IP-Adressen-nicht-moeglich/ Ok, kann man offensichtlich ausschalten, aber ich frage mich, wie relevant das ganze ist. In jedem größeren lokalen Netzwerk einer Organisation die ich kenne gibt es eine Namensauflösung, i.d.R. in Kombination mit DHCP. Da müßte ja dann auch das Problem mit dem DNS-Rebind-Angriff bestehen. Meint AVM, man soll lokal nur mit IP-Adressen arbeiten?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13892
|
rennradler schrieb: ... und in der Tat macht der DNS-Server der Fritzbox keine Namensauflösung im lokalen Netz. Als Grund gibt AVM den Schutz gegen DNS Rebind an:
Nein, das ist was anderes:
Die DNS-Auflösung für Domainnamen, die auf private IP-Adressen im FRITZ!Box-Heimnetz verweisen, ist über die FRITZ!Box nicht möglich. Meint AVM, man soll lokal nur mit IP-Adressen arbeiten?
Nein, denn der DNS-Server der FB kann DNS im lokalen Netzwerk machen. Z. B.:
:~$ host -t A fritz.box 192.168.178.1
Using domain server:
Name: 192.168.178.1
Address: 192.168.178.1#53
Aliases:
fritz.box has address 192.168.178.1
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
... dann verstehe ich nicht, was AVM meint. Kannst Du mir das erklären?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13892
|
rennradler schrieb: ... dann verstehe ich nicht, was AVM meint. Kannst Du mir das erklären?
Das:
DNS-Auflösung für Domainnamen, die auf private IP-Adressen im FRITZ!Box-Heimnetz
meint AVM.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Ich verstehe es immer noch nicht. Nehmen wir an, ich erfind für mein LAN irgend einen Domainnamen, z.B. weiter.treten. Ist dann weiter.treten kein Domainname, der auf private IP-Adressen im Heimnetz weist?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13892
|
rennradler schrieb: ..., ich erfind für mein LAN irgend einen Domainnamen, z.B. weiter.treten. ...
Kannst Du in der FritzBox, "weiter.treten" für dein (W)LAN konfigurieren? Wenn nicht, dann versuch mit "fritz.box".
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Weiß ich nicht, ob das bei aktuellen Modellen geht. Darum frag ich ja. Ich brauch ja einen neuen Router und will wissen, wie das mit dem dns rebind und der Namensauflösung im lokalen Netzwerk ist.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13892
|
rennradler schrieb: ... will wissen, wie das mit dem dns rebind und der Namensauflösung im lokalen Netzwerk ist.
Die (funktionierende) _lokale_ Domain der FritzBox, ist vom dns-rebind nicht betroffen. Für andere nicht lokale Domainnamen (auch für IPv6), kannst Du in der FritzBox den dns-rebind-Schutz aufheben (... mit Hilfe der Konfiguration der FritzBox).
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Ok, danke! Dann ist alles gut.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Zur Erklärung: AVM meint, dass externe Domains, welche die Fritz.box selbst nicht kennt, die aber auf das interne Netz der Fritz.box auflösen, sperrt. Beispielsweise fritz.misterunknown.de:
$ host fritz.misterunknown.de
fritz.misterunknown.de has address 192.168.178.100 Das wäre ja sonst eine Sicherheitslücke, denn damit könnte ich unter Umständen eine Sicherheitslücke in deinem lokalen Netz ausnutzen.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Ok, danke, jetzt ist es klar. Ich verstehe nur nicht, warum das Handbuch in die Wissensdatenbank so schlecht geschrieben sind.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13892
|
rennradler schrieb: ... die Wissensdatenbank so schlecht geschrieben sind.
Aber das Beispiel in der AVM-Wissensdatenbank ist doch eindeutig:
Beispiel:
Ein Computer im FRITZ!Box-Heimnetz (192.168.178.29) kann nicht auf einen Webserver im gleichen Heimnetz zugreifen, da _die DNS-Anfrage für diesen Webserver (meine_domain.de)_ mit einer IP-Adresse aus dem selben Heimnetz (192.168.178.20) beantwortet wird.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Und was willst du damit beweisen? Was soll man daraus sonst schließen als daß die Namensauflösung im lokalen Netzwerk nicht geht?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13892
|
rennradler schrieb: Und was willst du damit beweisen?
Ich will gar nichts beweisen. rennradler schrieb: Was soll man daraus sonst schließen als daß die Namensauflösung im lokalen Netzwerk nicht geht?
Ich denke Du hast den Unterschied zwischen "Namensauflösung im lokalen Netzwerk" und dns-rebind-Schutz, noch immer nicht verstanden.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Und ich denke, daß alle deine Antworten für die Tonne waren um es mal freundlich zu formulieren. Einzig die Anwort von misterunknown ist präzise und hilfreich. Z.B. beweist die Auflösung fritz.box gar nichts. Das hat schon meine alte Fritzboxen gemacht, die keine Namensauflösung im lokalen Netz konnte. Ich weiß sehr wohl, was DNS rebind ist. Die Beschreibung von AVM ist schlichtweg unpräzise. Ist denn fritz.misterunknown.de kein Domainnamen, der auf eine private IP-Adresse zeigt?
|