Unitymedia DNS Probleme mit eigener Domain

[Nachtschatten]

Hallo Leute,
Ich versuche aktuell eine eigene Domain bzw. einen eigenen Nextcloud-Cloud Server (er soll bei mir zu hause stehen) aufzusetzen.
Ich habe mir bei ddnss.de die domain darkphoenix.ddnss.de registriert und (m)eine IPv6 Adresse, nicht aber (m)eine IPv4 Addresse eingetragen.
http://ping.eu/nslookup/ findet die passende IPv6 addresse zu darkphoenix.ddnss.de (2a02:8070:a28c:4d00:8f9:2654:78ad:cc71). Meine PC's haben damit allerdings ein Problem:

sh-4.3$ host darkphoenix.ddnss.de
;; connection timed out; no servers could be reached
sh-4.3$ host -t AAAA darkphoenix.ddnss.de
;; connection timed out; no servers could be reached
sh-4.3$ ping darkphoenix.ddnss.de
ping: darkphoenix.ddnss.de: Name or service not known
Der Opera sagt: Die DNS-Adresse des Servers von darkphoenix.ddnss.de wurde nicht gefunden.

Ipv6 funktioniert allerdings:
host ipv6.l.google.com
ipv6.l.google.com has IPv6 address 2a00:1450:4001:819::200e
sh-4.3$ ping ipv6.google.com
PING ipv6.google.com(fra15s16-in-x0e.1e100.net (2a00:1450:4001:81b::200e)) 56 data bytes
64 bytes from fra15s16-in-x0e.1e100.net (2a00:1450:4001:81b::200e): icmp_seq=1 ttl=55 time=18.5 ms

Die FritzBox zeigt im online-Monitor folgendes bei DNS an
2a02:908:2:a ::1 (aktuell genutzt für Standardanfragen)
2a02:908:2:b ::1

Meines wissens sind keinerlei besonderen Firewalls etc. auf der FritzBox oder auf meinem PC aktiv.


Hat jemand ne Idee woran das liegen könnte und wie man das fixed oder hat jemand nen workaround dafür?

 

[addicted]

DNS Auflösung von aussen geht, kann ich bestätigen.
Ob Du das von innen auflösen kannst, hängt ja auch von Deinem Resolver ab:

cat /etc/resolv.conf

dig +trace darkphoenix.ddnss.de aaaa

 

[Nachtschatten]

DNS Auflösung von aussen geht, kann ich bestätigen.

Bei dir geht host darkphoenix.ddnss.de ? Das ist schon mal sehr gut.

Meine resolv.conf

# Generated by NetworkManager
search fritz.box
nameserver 192.168.178.1
nameserver fd00::3681:c4ff:fed5:1318

Kannst du mir erklären wieso alle anderen ipv6-seiten bei meinem PC gehen nur nicht meine eigene? Und wieso alle meine eigen Seite resolven können nur ich nicht?

Das Ende der Ausgabe von $ dig +trace darkphoenix.ddnss.de aaaa

;; Received 726 bytes from 195.243.137.26#53(s.de.net) in 35 ms
darkphoenix.ddnss.de.	10	IN	AAAA	2a02:8070:a28c:4d00:8f9:2654:78ad:cc71
ddnss.de.	3600	IN	NS	ns1.ddnss.de.
ddnss.de.	3600	IN	NS	ns2.ddnss.de.
ddnss.de.	3600	IN	NS	ns3.ddnss.de.
;; Received 263 bytes from 2001:4ba0:cafe:15a2::1#53(ns3.ddnss.de) in 32 ms

Scheint so als würde er so das ganze finden, über $ host darkphoenix.ddnss.de findet er das aber immer noch nicht

 

[addicted]

dig @192.168.178.1 darkphoenix.ddnss.de any

dig @fd00::3681:c4ff:fed5:1318 darkphoenix.ddnss.de any

 

[Leseratte10]

Dämlicher DNS-Rebind-Schutz in der Fritzbox nicht abgeschaltet eventuell?

 

[Nachtschatten]

$ dig @192.168.178.1 darkphoenix.ddnss.de any
; <<>> DiG 9.10.4-P8-RedHat-9.10.4-5.P8.fc25 <<>> @192.168.178.1 darkphoenix.ddnss.de any
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

dig @fd00::3681:c4ff:fed5:1318 darkphoenix.ddnss.de any
; <<>> DiG 9.10.4-P8-RedHat-9.10.4-5.P8.fc25 <<>> @fd00::3681:c4ff:fed5:1318 darkphoenix.ddnss.de any
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

<i>
</i>$ dig +trace darkphoenix.ddnss.de aaaa
... Ganz viel Zeug ...
;; Received 726 bytes from 2a02:568:0:2::53#53(f.nic.de) in 23 ms
darkphoenix.ddnss.de.	10	IN	AAAA	2a02:8070:a28c:4d00:8f9:2654:78ad:cc71
ddnss.de.	3600	IN	NS	ns3.ddnss.de.
ddnss.de.	3600	IN	NS	ns1.ddnss.de.
ddnss.de.	3600	IN	NS	ns2.ddnss.de.
;; Received 263 bytes from 2001:4ba0:ffff:88::1#53(ns1.ddnss.de) in 28 ms

Dämlicher DNS-Rebind-Schutz in der Fritzbox nicht abgeschaltet eventuell?

Könnte sein dass es daran liegt. Kann man eine Ausnahmeregel im DNS-Rebind-Schutz erstellen?

 

[Nachtschatten]

ES TUT!
Ich habe darkphoenix.ddnss.de als DNS-Rebind ausnahme eingetragen und jetzt funktioniert es:

sh-4.3$ host darkphoenix.ddnss.de
darkphoenix.ddnss.de has IPv6 address 2a02:8070:a28c:4d00:8f9:2654:78ad:cc71
sh-4.3$ ping darkphoenix.ddnss.de
PING darkphoenix.ddnss.de(MSI.fritz.box (2a02:8070:a28c:4d00:8f9:2654:78ad:cc71)) 56 data bytes
64 bytes from MSI.fritz.box (2a02:8070:a28c:4d00:8f9:2654:78ad:cc71): icmp_seq=1 ttl=64 time=0.108 ms

Können durch die DNS-Rebind ausnahme sicherheitslücken entstehen?

 

[Leseratte10]

Nicht wirklich.

Hier ist ein Artikel über die Angriffsmethode, die der Rebind-Schutz verhindern soll, aber das ist meiner Meinung nach ein sehr konstruiertes Beispiel was wohl kaum so in freier Wildbah auftreten wird: https://www.heise.de/security/artikel/Angepinnt-271004.html

Der Schutz stammt meines Wissens noch aus IPv4-Zeiten, wo es zu keinem Zeitpunkt nötig war, diesen abzuschalten - da hat es also nicht geschadet, den aktiv zu lassen. Bei IPv6 verhindert er aber halt die korrekte Auflösung.