Lokaler DNS Resolver wird von Vodafone Station akt...

fukunishi · ‎27.05.2021

Hallo zusammen,

ich habe hinter meiner VF-Station einen eigenen Router (IP 192.168.0.13 an der VF-Station) geschaltet und dort läuft ein Pi-Hole als DNS-Resolver (per Port-Weiterleitung) mit, den meine Clients auch brav nutzen (können):

Internet --> VF-Station (192.168.0.0/24 Netz) --> Router 192.168.0.13 (192.168.42.0/24 Netz) - dort läuft ein Pi-Hole, der direkt und auch per per Port-Weiterleitung über 192.168.0.13 für alle Geräte im 42-er Netz erreichbar ist.

Die VF-Station scheint aber keinen anderen DNS-Resolver zuzulassen,

denn zum Einen finde ich in der GUI keinen Menüpunkt, um meinen Clients, die sich direkt mit der VF-Station verbinden, (m)einen DNS-Resolver mitzugeben,
was auch zum anderen schlecht wäre, weil die VF-Station DNS-Anfragen in diesem Netz irgendwie zu blocken scheint?!

Denn wenn ich aus meinem 42-er Netz hinter der VF-Station meinen Pi-Hole/Router direkt oder auch über die Port-Weiterleitung (192.168.0.13) abfrage klappt alles super:

🦎🖥  thomas@merz-nimbus:~ [0/2375]
11:11 $ ip a|grep 192
    inet 192.168.42.241/24 brd 192.168.42.255 scope global eth1
    inet 192.168.42.5/24 brd 192.168.42.255 scope global secondary eth1:dns
🦎🖥  thomas@merz-nimbus:~ [0/2376]
11:11 $ nslookup
> server
Default server: 127.0.0.1
Address: 127.0.0.1#53
> web.de
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
Name:	web.de
Address: 82.165.229.138
Name:	web.de
Address: 82.165.230.17

> server 192.168.0.1
Default server: 192.168.0.1
Address: 192.168.0.1#53
> web.de
Server:		192.168.0.1
Address:	192.168.0.1#53

Non-authoritative answer:
Name:	web.de
Address: 82.165.230.17
Name:	web.de
Address: 82.165.229.138

> server 192.168.0.13
Default server: 192.168.0.13
Address: 192.168.0.13#53
> web.de
Server:		192.168.0.13
Address:	192.168.0.13#53

Non-authoritative answer:
Name:	web.de
Address: 82.165.230.17
Name:	web.de
Address: 82.165.229.138
>

Aber sobald ein Client im Netz der VF-Station den DNS-Resolver über die Port-Weiterleitung benutzen möchte, timed es aus:

🍏 ✔ [59%] ▅ 🐝 Thomas.Merz@dm-C02CGH01MD6M:~ [ttys005/563]
10:47 $ nslookup
> web.de
Server:		2a02:8071:3eb4:2500:d63f:cbff:fe83:d057
Address:	2a02:8071:3eb4:2500:d63f:cbff:fe83:d057#53

Non-authoritative answer:
Name:	web.de
Address: 82.165.230.17
Name:	web.de
Address: 82.165.229.138

> server 192.168.0.1
Default server: 192.168.0.1
Address: 192.168.0.1#53
> web.de
Server:		192.168.0.1
Address:	192.168.0.1#53

Non-authoritative answer:
Name:	web.de
Address: 82.165.229.138
Name:	web.de
Address: 82.165.230.17

> server 192.168.0.13
Default server: 192.168.0.13
Address: 192.168.0.13#53
> web.de
;; connection timed out; no servers could be reached
> ^D
🍏 ✔ [53%] ▄ 🐝 Thomas.Merz@dm-C02CGH01MD6M:~ [ttys005/563]

Ist das "works as designed" oder übersehe ich das nur irgendwas?

Danke und Grüße

Fukunishi

reneromann · ‎27.05.2021

Dein Problem wird deine Port-Weiterleitung auf dem nachgeschalteten Router sein - denn der kann nicht einerseits selbst als DNS-Server tätig sein (und das sind die Router alle) und andererseits von extern Port 53 weiterleiten.

Und ein anderer Grund könnte der PiHole sein, der ggfs. Verbindungsversuche aus anderen Netzen nicht zulässt und daher selbst die Anfragen blockiert.

fukunishi · ‎30.05.2021

Doch das kann er - siehe oben. Wenn der Client im selben Netz wie die VF-Station ist, dann geht es nicht. Und ich bin mir ziemlich sicher, dass das monatelang mal genau so ging und seit kurzem eben nicht mehr. 😮

fukunishi · ‎12.11.2021

Also folgendes Verhalten finde ich auch sehr komisch bzw. geht eigentlich gar nicht - da werden alle DNS-Anfragen (Port 53, UDP) egal wohin von der VF-Station einfach so geblockt. Hey, hallo, geht's noch? 😞

🍏 ✔ [46%] ▄ 🍂 Thomas.Merz@dm-C02CGH01MD6M:~ [ttys003/1716]
23:20 $ dig spiegel.de @8.8.8.8 +time=2

; <<>> DiG 9.10.6 <<>> spiegel.de @8.8.8.8 +time=2
;; global options: +cmd
;; connection timed out; no servers could be reached
──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
🍎 ✘ [46%] ▄ 🍂 Thomas.Merz@dm-C02CGH01MD6M:~ [ttys003/1717]
23:21 $ dig spiegel.de @1.1.1.1 +time=2

; <<>> DiG 9.10.6 <<>> spiegel.de @1.1.1.1 +time=2
;; global options: +cmd
;; connection timed out; no servers could be reached
──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
🍎 ✘ [46%] ▄ 🍂 Thomas.Merz@dm-C02CGH01MD6M:~ [ttys003/1718]
23:21 $ dig spiegel.de @192.168.0.13 +time=2

; <<>> DiG 9.10.6 <<>> spiegel.de @192.168.0.13 +time=2
;; global options: +cmd
;; connection timed out; no servers could be reached
──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
🍎 ✘ [44%] ▄ 🍂 Thomas.Merz@dm-C02CGH01MD6M:~ [ttys003/1719]
23:21 $ dig spiegel.de @192.168.0.1 +time=2

; <<>> DiG 9.10.6 <<>> spiegel.de @192.168.0.1 +time=2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22982
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;spiegel.de.			IN	A

;; ANSWER SECTION:
spiegel.de.		18	IN	A	128.65.210.8

;; Query time: 51 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Fri Nov 12 23:21:51 CET 2021
;; MSG SIZE  rcvd: 55

Wie man sowas auf seiner Fritzbox selber einrichten kann, ist hier beschrieben. Aber dass das die VF-Station so ungefragt macht und dass man das auch selbst im sog. "Expertenmodus" wieder abschalten kann, finde ich gelinde gesagt eine Mega*Unverschämtheit* und Gängelung. Das Deaktivieren der Firewall (wovon die VF-Station natürlich abrät) ändert leider gar nichts an dem Verhalten - dieses Abschaltung betrifft wohl wirklich nur die FW nach/von draussen…