Problem mit DNS und IPv6

Alle technischen Themen, Fragen und Diskussionen, für die wir kein Spezialforum haben, passen hier rein.
Antworten
Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Problem mit DNS und IPv6

Beitrag von Sloyment » 4. Aug 2017 03:53

Grüezi Gott,
folgendes merkwürdige Verhalten ist mir aufgefallen.

Ausgangssituation: Die Rechner „c64“ und „sung“ hängen hinter einer von WilhelmTel zur Verfügung gestellten Fritzbox 7390 an einem DSL-Anschluss mit dem Tarif „twin premium 100.000“.

Die Rechner x, y und z haben ihren jeweiligen Internetzugang über andere ISPs, davon x und y mit fester IPv6-Adresse. sung und y sind exakt baugleich in Hard- und Software-Konfiguration.

Versuch 1: Auf Rechner x läuft ein bind9, in welchem die öffentlichen IPv6-Adressen von c64 und sung eingetragen werden. Auch x selber bekommt dort einen Eintrag (@):

Code: Alles auswählen

$TTL 120
$ORIGIN 6.███████████.de.

@    IN SOA ███████████.de. sloyment.███.███. (2017070000 120 120 120 120)
@    IN NS ███████████.de.

@    IN AAAA 2a01:238:████:████:████:████:████:████
c64  IN AAAA 2a02:2028:███:██01:████:████:████:████
sung IN AAAA 2a02:2028:███:██01:████:████:████:████
old  IN AAAA 2001:4dd0:████:████::2
Beobachtung:
Ein ping6 von x, y und z an c64 ist problemlos möglich.
Ein ping6 von c64 an x funktioniert ebenfalls unproblematisch.
Ein ping6 von sung an c64 funktioniert nicht und vice versa: ping6 wartet ewig und gibt keine Meldung aus.
Wenn statt des Namens die IPv6-Adresse von c64 direkt angeping6t wird, funktioniert die Verbindung in allen Fällen. Der Fehler liegt also nicht am IPv6-Routing, sondern in der Namensauflösung.

Nach der täglichen Zwangstrennung zeigt der DNS-Eintrag von c64 auf eine veraltete Adresse; ein ping6 von sung an c64 ergibt jetzt: „From some-ipv6-address.wtnet.de icmp_seq=1 Destination unreachable: Administratively prohibited“.

Versuch 2: Der Rechner c64 bekommt einen DNS-Eintrag beim DynDNS-Anbieter <spdyn.de>.

Beobachtung: Wie zuvor ist c64 über seinen Namen aus dem Netz zu erreichen, nicht jedoch von c64 selbst oder von sung.

Schlussfolgerung:
Immer wenn man vom WilhelmTel-Anschluss aus einen DNS-Eintrag abfragen will, der auf eine IPv6-Adresse zeigt, die im selben Subnet liegt, ist der Namenserver nicht erreichbar. Der Fehler lässt sich mit verschiedenen Namenservern reproduzieren.

Die interessante Frage ist aber: Warum ist das so???

Kann jemand den Fehler bei sich reproduzieren?

Gruß,
Sloyment

fLoo
WT-Technik
WT-Technik
Beiträge: 82
Registriert: 14. Dez 2016 08:09
Kontaktdaten:

Re: Problem mit DNS und IPv6

Beitrag von fLoo » 4. Aug 2017 10:26

some-ipv6-address.wtnet.de gilt nicht nur für eine Adresse, sondern für alle unsere Adressen. Hat Vor- und Nachteile.

Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Re: Problem mit DNS und IPv6

Beitrag von Sloyment » 4. Aug 2017 15:20

Das verstehe ich nicht. Was soll das Reverse-DNS damit zu tun haben, dass der DNS nicht geht?

Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Re: Problem mit DNS und IPv6

Beitrag von Sloyment » 4. Aug 2017 16:20

Also noch ein Versuch:

Ich abe den DNS-Eintrag von <c64.6.███████████.de> aktualisiert. Der Rechner ist jetzt wieder von außen erreichbar, auch von anderen WilhelmTel-Anschlüssen aus! Von dem Rechner am gleichen Anschluss jedoch (gleiches /64-Präfix, aber anderer Interface-Teil) ist c64 nicht über seinen Domainnamen erreichbar, sondern nur über die IPv6-Adresse. Wie kommt das???

GrummelGrumpff
Member
Member
Beiträge: 78
Registriert: 22. Feb 2016 12:56

Re: Problem mit DNS und IPv6

Beitrag von GrummelGrumpff » 5. Aug 2017 03:37

Wenn es IPv4 wäre würde ich sagen es liegt am DNS-Rebind-Schutz.
Bei IPv6 bin ich mir da unsicher.
https://avm.de/service/fritzbox/fritzbo ... -moeglich/

Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Re: Problem mit DNS und IPv6

Beitrag von Sloyment » 5. Aug 2017 13:17

PERFEKT!
Genau das war die Ursache.

Heimnetz→Heimnetzübersicht→Netzwerkeinstellungen→DNS-Rebind-Schutz
„FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz).“

Vielen Dank für die Hilfe! :D

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder