Rebind Schutz der Fritz Box

IPv64.net - Services DynDNS2
1

Hallo ins Forum,

ich benötige dringend Eure Hilfe. Ich würde gern die DynDNS von IPV64 nutzen und hatte bis jetzt einen anderen Anbieter.

Das Problem: Wenn ich in meiner Fritz Box den Schlüssel von IPV64 eintrage funktioniert alles prima. Aber: ich mache viele meiner Geräte über NGINX Proxy von außen erreichbar. Mit dem vorherigen Anbieter war alles bestens. Mit der DynDNS von Dennis schlägt sofort der Rebind Schutz der Fritz Box zu. Ich habe viel probiert, die Ausnahmen in der Fritz Box eingetragen, dann lande ich aber auf der Fritz Box Anmeldemaske. Bei AMV angerufen aber der Kundendienst konnte mir auch nicht helfen.

Gestern hatte ich die zündende Idee und habe in meiner Fritz Box die IPV6 Unterstützung deaktiviert, und siehe da es funktioniert!! IPV6 wieder eingeschaltet und das Problem ist wieder da. Nun könnte ich so damit leben, aber möchte mein IPV6 Unterstützung auch nicht dauerhaft ausschalten.

Ich habe einen Kabel Anbieter, habe mir aber eine native IPV 4 erkämpft. Damit läuft alles super. Wenn ich dazu IPV6 aktiviere ———> Rebind Schutz der Fritz Box.

Ich arbeite mit Proxmox und viele meiner Geräte müssen einfach von außen erreichbar sein.

Ich hoffe mir kann einer aus dem Forum Helfen und wäre sehr dankbar.

Besten Dank und schönes Wochenende

Grüße Roland.

2

Moin Roland,

deine Fehlerbeschreibung lässt vermuten, dass du IPv6 noch nicht so richtig verstanden und daher falsch konfiguriert hast. Bei IPv6 bekommt jedes Gerät eine eigene GUA. Offenbar aktualisierst du aber die GUA deiner Fritteuse statt der GUA deines NGINX Proxy, den du erreichen willst.

Allerdings werden bei IPv6 auch gar keine Proxy benötigt. Stattdessen sollten die GUA eines jeden Services, der per IPv6 erreicht werden soll, einzeln aktualisiert werden.

Eigne dir das erforderliche Grundlagenwissen an.

3

Hallo The Eagle,

erstmal danke für die schnelle Antwort. Ja Du hast Recht, obwohl ich am Computer ( Mac und Windows) kein Anfänger bin, kenne ich mit IPV6 überhaupt nicht aus. Wie soll ich jetzt vorgehen, soll jedes meiner Geräte eine eindeutige IPV6 bekommen ? Und wie aktualisiere ich den NGINX und nicht die Fritteuse ? Bis jetzt habe ich die Account Aktualisierung für die DynDNS in meiner Fritz Box eingetragen weiter nix. und wie gesagt mit IPV4 funktioniert das dann auch.

Ich suche mir das gerne alles selber raus, hast Du einen Tipp wo ich genaueres über IPV6 in diesem Zusammenhang lesen kann.
Danke
Grüße Roland.

4

Ich vermute, @mirodd leitet den Verkehr über einen NPM, der den Verkehr intern verteilt. Dazu braucht er IPv6 (GUA) des NPM-Hosts im DNS, nicht die IPv6 der Fritzbox.

Leg dir am Besten einen AAAA-Record mit Präfix „npm“ an, trag dort den Interface-Identifier der GUA deines NPM-Hosts fest ein, der Prefix (fettgedruckter Teil) kommt durch das Prefix-Update mit dazu.
image
So kannst du dir Namen für die IPv6 aller deiner Hosts zusammenbasteln, die du irgendwie auflösen möchtest. Trag beim Rebind-Schutz der Fritte aber den Namen deiner Domain ein, sonst löst die dir diese Namen nicht auf.

DDNS-Update dann mit https://....&ip=<ipaddr>&ip6=<ip6addr>&ip6lanprefix=<ip6lanprefix>
Die Hauptdomain löst dann weiter auf die IPv6 der Fritte auf, aber npm.deinedomain.ipv64.net auf die IPv6 deines NPM-Hosts.

5

Hallo Benares,

danke für die Antwort, das scheint für mich ein gengbarer Weg zu sein. Ich gehe das alles mal durch und melde mich wieder. Danke

6

Das was @Benares ist zwar machbar aber nicht sinnvoll.

Du hättest dann (machst du es so wie von @Benares vorgeschlagen unterschiedliche Domains für IPv6 und IPv4. Für

das ist wenig praktikabel.

Solange du kaum Ahnung von IPv6 hast würde ich anders vorgehen:

  • aktualisiere über die Fritteuse nur die IPv4-Adresse.
  • aktiviere in ipv6-Domainverwaltung Ignore IPv6
  • lass das mit dem Domain-Präfix
  • in der Fritteuse kann die IPv6-Unterstützung aber aktiv bleiben

im Ergebnis wird deine Domain bei ipv64 dann nur zu einer IPv4 Adresse aufgelöst und daher keine IPv6-Adresse an DNS-Server ausgeliefert werden. Du bist dann weiterhin für die Domains, die auf den NPM zeigen nur per IPv4 erreichbar.

Dank der weiterhin aktiven IPv6-Unterstützung in der Fritteuse kannst du dir eine weitere Domain zulegen (ipv64 erlaubt insgesamt drei DynDNS-Domains, selbst für Free DynDNS-User) und mit dieser zweiten Domain dann in IPv6 einarbeiten.

Erst wenn du sicher im Umgang mit IPv6 bist stellst du dann die produktive Domain auf IPv6 und IPv4 um.

Lektüre für den Einstieg in IPv6: Elektronik-Kompendium: IPv6 - Internet Protocol Version 6

7

Hallo The Eagle

danke auch Dir für die zweite ausführliche Antwort und den Link. Wie es aussieht hab ich jetzt erst einmal genügend Arbeit :slight_smile:

Aber das mit der" “ Ignore IPv6”, hatte ich glaube ich schon vor einem Monat probiert und in der Fritz Box Ipv6 aktiviert gelassen und ich denke es hatte nicht funktioniert. Aber ich werde alles nochmal durchgehen u. berichte.

Danke und schönes WE Euch Beiden.

8

Ich denke, wenn du auf „Ignore IPv6“ umstellst, und es existiert schon ein AAAA-Record für deine Domain, musst du den löschen.

9

Du musst dann auch in der Fritteuse die Update URL anpassen. von:
https://ipv64.net/nic/update?key=1234567890abcdefgh&ip=<ipaddr>&ip6=<ip6addr> in
https://ipv64.net/nic/update?key=1234567890abcdefgh&ip=<ipaddr>
da ansonsten die Fritteuse ja vermutlich am Versuch die Doimain auch zur Ipv6-Adresse hin aufzulösen scheitern wird. Gibt dann wohl bei Fritteusen eine Fehlermeldung wie:
DynDNS-Fehler: Der angegebene Domainname kann trotz erfolgreicher Aktualisierung nicht aufgelöst werden.

10

Hallo an Euch Beide,

die zwei letzten Tipps haben zum Erfolg geführt, so dass ich über den NPM erst mal „nur“ per IPv4 alle Geräte im Heimnetz erreichen kann.

  • Einstellung bei IPV64: Ignore IPv6
  • AAAA Record für die Domain gelöscht
  • Update URL in der Fritz Box für die IPv4 Domain angepasst (war wichtig!)
  • IPv6 Unterstützung in der Fritz Box kann aktiviert bleiben
  • und es läuft wie gewünscht, Rebind Schutz ist besiegt !

Jetzt kann ich in Ruhe studieren, wie ich alles auf IPv6 umstellen und meinen „Wissenstand“ erweitern kann. :slight_smile:

Vielen Dank Euch Beiden
Es grüßt
@mirodd

11

Gratulation!
Mit dem DNS-Rebind-Schutz hat das alles aber wenig zu tun. Der verhindert doch, grobgesagt, nur, dass die Fritzbox selbst externe Namen auf interne IPs auflöst, wenn man da keine Ausnahme einträgt. Bei IPv4 ist da keine Ausnahme erforderlich, ist ja die externe IPv4, bei IPv6 aber schon.

12

Der „Trick“ der bei dir nun wirkt ist im Grunde ganz einfach. Ein nslookup auf deine Domain wird nun eben vom prinzip her aussehen wie das auf GitHub.com auch:

nslookup GitHub.com
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
Name:	GitHub.com
Address: 140.82.121.3

DNS-Server geben nur noch eine IPv4-Adresse zurück und damit ist die Domain per IPv6 einfach nicht mehr erreichbar und daher kann auch nichts an der „falschen IPv6-Adresse“ (die der Fritteuse) landen.

Prinzipiell geht das natürlich auch umgekehrt. Also so, dass man nur noch die IPv6-Adressen aktualisiert und per DNS aufgelöst werden. Notwendig bei CG-NAT & DS-Lite. Ein Beispiel ist:

nslookup game.flyingpenguintech.org
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
Name:	game.flyingpenguintech.org
Address: 2600:3c03:e001:600::1
13

Danke für alles, ich werde mich nun in das Thema IPv6 einarbeiten und ich denke ich bekomme das hin. Ungeachtet dessen bin ich aber sehr froh, dass der “Trick” mir erst mal geholfen hat hier normal weiter zu arbeiten und die DynDNS von Dennis benutzen kann, wo es ja noch andere schöne Sachen gibt, mehr als bei manch anderem Anbieter.

Schön dass man hier im Forum geholfen bekommt, auch wenn man noch zu den “Unwissenden” zählt, wie Dennis immer so schön sagt.

Danke.

@mirodd