Unitymedia Fritzbox 6490 und IPv6 Freigaben... Teilweise gehts, teilweise nicht

[nk57xx]

Dafür sollte man evtl. wissen, wie die jetzigen IPv6-Einstellungen in deiner FritzBox sind.

Hier die Einstellungen:

https://www.dropbox.com/s/bj7ga0z7mqtpw7u/Bildschirmfoto%202017-06-06%20um%2019.11.23.png?dl=0
https://www.dropbox.com/s/ojt7n17vlxvshvk/Bildschirmfoto%202017-06-06%20um%2019.11.39.png?dl=0

 

[tq1199]

Hier die Einstellungen:

OK, und wie sind die Einstellungen, die z. B. hier: http://help.avm.de/fritzbox.php?oem=1und1&hardware=&language=de&set=008&topic=hilfe_internet_ipv6_nativ_settings&deviceFeature

beschrieben sind?

 

[nk57xx]

https://www.dropbox.com/s/25xmd979t0o5lhw/Bildschirmfoto%202017-06-07%20um%2013.56.44.png?dl=0

Angesichts der Hilfeseite sollte wohl lieber die Option: Globale Adresse ausschließlich per DHCPv6 beziehen
aktiviert sein.

Ich habe in der Konfiguration nichts vorgenommen, das ist soweit alles Standard durch Unitymedia.

 

[tq1199]

Angesichts der Hilfeseite sollte wohl lieber die Option: Globale Adresse ausschließlich per DHCPv6 beziehen
aktiviert sein.

Ja, versuch mal als Test, mit dieser Konfiguration in deiner FB:

Globale Adresse über DHCPv6 beziehen
Die globale IP-Adresse wird vom DHCPv6-Server des Internetanbieters angefordert. Wählen Sie diese Möglichkeit, wenn Sie mit der FRITZ!Box eine Internetverbindung über den TV-Kabelanschluss nutzen.

 

[nk57xx]

Nach langer Pause, mal wieder ein Lebenszeichen.

Also wenn ich die Option "Globale Adresse ausschließlich per DHCPv6 beziehen" aktiviere, verliert die FritzBox die Internetverbindung. Das IPv6-Präfix ist dann nicht mehr gültig. Die genaue Fehlermeldung kann ich am Sonntag liefern, falls benötigt.
Ein Neustart der FritzBox schafft Abhilfe, wobei nach dem Neustart die Option "Globale Adresse automatisch aushandeln" wieder aktiviert ist.

Find das Verhalten schon sehr seltsam. Anscheinend bin ich der einzige, der das Problem in der Konstellation hat.

 

[johnripper]

Wenn eine eigene Box mit OS 6.83 hast, dann bist du definitiv nicht der Einzige.

Gesendet von meinem SM-G935F mit Tapatalk

 

[nk57xx]

Ist eine Box von UM, keine eigene. Aber interessant, dass das selbst bei eigenen Boxen auftritt. Hatte schon überlegt eine eigene bei routermiete.de zu holen.

 

[johnripper]

Es geht nicht primär darum ob es eine eigene ist sondern darum:
https://www.unitymediaforum.de/viewtopic.php?t=35385

Gesendet von meinem SM-G935F mit Tapatalk

 

[nk57xx]

Ah okay, aber installiert ist aktuell Fritz!OS 6.50

Was aktuell im Log alle 30 Minuten zu sehen ist:

21.06.17
18:04:24 Dynamic DNS-Fehler: Die Dynamic DNS-Aktualisierung war erfolgreich, anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf. [6 Meldungen seit 21.06.17 17:44:23]
21.06.17
17:35:21 Dynamic DNS-Fehler: Der angegebene Domainname kann trotz erfolgreicher Aktualisierung nicht aufgelöst werden.

Ich habe über afraid.org noch einen zusätzlichen Dienst registriert. Dieser lässt sich ebenfalls über meine mobile Internetverbindung aufrufen, aber eben nicht über meinen UM Anschluss mit der Connectbox.

 

[SpaceRat]

Ich habe über afraid.org noch einen zusätzlichen Dienst registriert. Dieser lässt sich ebenfalls über meine mobile Internetverbindung aufrufen, aber eben nicht über meinen UM Anschluss mit der Connectbox.

Trage den oder die bei afraid.org registrierten Hostnames mal in der Fritz!Box unter dem Menüpunkt
Heimnetz -> Netzwerk -> Netzwerkeinstellungen
bei "DNS-Rebind-Schutz" ein.

Hintergrund:
"FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie eine Liste von Domainnamen angeben, für die der DNS-Rebind-Schutz nicht gelten soll."

Bei Privatanwender-IPv4 mit nur einer einzigen oder gar keiner öffentlichen IPv4 ist dieses Verhalten, also keine DNS-Auflösung auf IPv4-Adressen aus einem der privaten IP-Bereiche 10/8, 172.16/12 oder 192.168/16 zuzulassen, immer richtig.

Damit wäre nämlich folgender Angriff machbar:
Eine Webseite enthält nachzuladende Ressourcen unter einer URL, deren IP aber nicht ins Internet sondern in Dein Heimnetz auf einen Server zeigt, der gar nicht freigegeben ist. Dein Browser lädt diese Ressourcen nun brav nach, denn er kommt ja über's Heimnetz an diese Ressource dran.
Weitere Anweisungen fordern Deinen Browser auf, die soeben nachgeladenen Inhalte zu einem anderen Server - im Internet - hochzuladen. Über Deinen Browser hätte man somit Zugriff von außen auf eigentlich nicht freigegebene Ressourcen Deines Heimnetzes!

Bei IPv6 ist dieses Verhalten teilweise unerwünscht:
Prinzipiell ist derselbe Angriff denkbar, ein DNS-Rebind-Schutz also durchaus nicht sinnlos!
Aber da alle Geräte im Heimnetz eine öffentliche IPv6 haben, kann man bei IPv6 die Rebind-Attacke nicht anhand des Adressbereiches "privat vs. public" erkennen. Deshalb duldet die Fritz!Box bei Verwendung von IPv6 auch solche Antworten nicht, die zwar eine öffentliche IPv6 zurückmelden, die aber aus dem eigenen Netzwerk stammt.
Deshalb müssen solche Adressen leider vorab einmal in der Fritz!Box an der o.g. Stelle freigegeben werden. Ausgenommen sind nur solche Adressen, die die Fritz!Box selber aktualisiert (MyFritz-Adressen und den in der Fritz!Box eingetragenen DynDNS-Host).
Hostnames, die auf andere Weise - z.B. auf dem Server selber per Script - aktualisiert werden, kennt die Fritz!Box eben nicht.
Cleverer wäre es, wenn die Fritz!Box automatisch die IPv6-Adressen whitelisten würde, für die es auch Freigaben in der Fritz!Box gibt.

 

[addicted]

Bei Privatanwender-IPv4 [...] ist dieses Verhalten, also keine DNS-Auflösung auf IPv4-Adressen aus einem der privaten IP-Bereiche 10/8, 172.16/12 oder 192.168/16 zuzulassen, immer richtig.

Für unbedarfte Endanwender, die keinerlei Inhalte im lokalen Netz hosten, ist das sicherlich eine sinnvolle Einschränkung.

Im Allgemeinen würde ich den Angriff eher über korrekte Konfiguration abblocken. Das erzeugt deutlich weniger Fehler und Probleme, und greift nicht ins DNS ein, was man vielleicht aus anderen Gründen immer korrekt haben will.

 

[SpaceRat]

Bei Privatanwender-IPv4 [...] ist dieses Verhalten, also keine DNS-Auflösung auf IPv4-Adressen aus einem der privaten IP-Bereiche 10/8, 172.16/12 oder 192.168/16 zuzulassen, immer richtig.

Für unbedarfte Endanwender, die keinerlei Inhalte im lokalen Netz hosten, ist das sicherlich eine sinnvolle Einschränkung.

Das Gegenteil ist der Fall:
Es ist für unbedarfte Endanwender, die sehr wohl Inhalte im lokalen Netz hosten, eine sinnvolle "Einschränkung", da genau diese lokalen Inhalte auf diesem Wege ins öffentliche Netz "leaken" könnten.

Und auch der "bedarfte" Anwender wird sie nicht ohne weiteres aufheben:
Da die Fritz!Boxen NAT-Loopback unterstützen, gibt es keinen ernsthaften Grund, für einen "öffentlichen" Hostname eine private IPv4-Adresse zurückzumelden.

Im Allgemeinen würde ich den Angriff eher über korrekte Konfiguration abblocken. Das erzeugt deutlich weniger Fehler und Probleme, und greift nicht ins DNS ein, was man vielleicht aus anderen Gründen immer korrekt haben will.

Du widersprichst Dir da ein wenig ...
... bei korrekter Konfiguration wird weder für www.google.com noch für mein.dyn.org oder blubber.no-ip.com jemals eine private IPv4-Adresse zurückgemeldet werden.
Man greift also nicht in in dem Sinne in die DNS-Namensauflösung ein, sondern verhindert vielmehr Eingriffe durch Dritte.
Und Schutzmaßnahmen gegen DNS-Rebinding werden üblicherweise auch bei Nutzung von BIND, Unbound, DNSMasq, usw. konfiguriert.

Außerdem:
Wie soll Dein Schutz aussehen?

Wenn ich einen komplett offenen HTTP-Server - mal als Beispiel unter der IPv4 192.168.178.5 - im lokalen Netzwerk haben will, eben weil er nur aus dem lokalen Netzwerk erreichbar sein wird, dann gibt es für diesen Server keine Handhabe um zu erkennen, ob der Zugriff von 192.168.178.20 nun vom Benutzer absichtlich ausgeführt wird oder Code auf einer Website das so vom Browser will.
Ohne DNS-Rebind-Schutz bliebe dann bestenfalls ein Schutz wie der durch das NoScript-Addon in Firefox.

Wenn dieser Server wirklich von außen erreichbar sein soll, dann wird dessen Hostname auch die (derzeitige) öffentliche IPv4 zurückmelden, also z.B. 37.113.221.3 und die Fritz!Box wird den Zugriff auf diese IPv4 auch aus dem Heimnetz heraus richtig forwarden, da sie eben NAT-Loopback versteht.

 

[johnripper]

1) Für Plex muss man eine Ausnahme definieren sonst geht es nicht über app.plex.tv. Es gibt also sehr wohl Anwendungen bzw. Use Cases.

2) Ich betreibe für eigene Zwecke eine AD-Domäne und damit eigene DNS Server. Insgesamt an zwei/drei Standorten. Alle Servern und Gateways sind einer mit USV ausgestattet und es unterschiedliche ISPs. Trotzdem erreiche ich einfach nicht die Verfügbarkeit meiner public DNS meiner Domäne (=DNS meines Registrars)*. Deswegen ist als letzter DNS immer ein öffentlicher DNS eingetragen der eben lokale IPs zu server1.ad.example.com (via des DNS meines Registrars) liefert.

Alleine schon deswegen nicht da die FB als DHCP Server nur einen (!!!) DNS ausgeben kann und selbst mur zwei DNS abfragen kann.

Gesendet von meinem SM-G935F mit Tapatalk

 

[addicted]

Da die Fritz!Boxen NAT-Loopback unterstützen, gibt es keinen ernsthaften Grund, für einen "öffentlichen" Hostname eine private IPv4-Adresse zurückzumelden.

Ich musste erstmal rausfinden, was NAT-Loopback sein soll. Das ist in meinen Augen jetzt nicht so ein Sonderfeature, dass es einen eigenen Namen bräuchte, aber hey, wenn's dem Marketing hilft...

Es ist ja super, dass die Fritzbox auch aus dem internen Netz heraus mit ihrer öffentlichen IP erreichbar ist und Portweiterleitungen funktionieren. Meine Suche nach dem Begriff hat aber auch den Eindruck erweckt, dass das nicht überall so ist. Das das nicht geht ist in meinen Augen genau so unsinnig wie die DNS Manipulation, zeigt aber, dass Dein Ansatz, überall nur öffentliche IPs zu verwenden, scheinbar nicht unumstritten ist.

Und was mache ich eigentlich, wenn meine server1.meinedomain.de und server2.meinedomain.de beide grade unter der selben public IP erreichbar sind, und ich jetzt mit einem davon HTTP sprechen will?
Ich kann eigentlich beide durch ihre internen IPs unterscheiden, aber weil es das Sicherheitsempfinden meines Routers stört soll ich mir jetzt für HTTP verschiedene Ports merken? Am besten nur auf der public IP, intern bleibt es Port 80?
Wenn ich das nicht will, bin ich ratz fatz wieder bei Split DNS oder wie die Kids das heute nennen, was aber auch keine Lösung für die unterschiedlichen Ports hat. Oder ich nehme intern komplett andere Zonen und muss dann alles für verschiedene Hostnamen konfigurieren.
Nee, danke, das überzeugt mich hinten und vorne nicht. Wenn das mehr als einen Workaround braucht, dann kann das nicht die beste Lösung sein die man sich ausdenken kann.

Im Allgemeinen würde ich den Angriff eher über korrekte Konfiguration abblocken. Das erzeugt deutlich weniger Fehler und Probleme, und greift nicht ins DNS ein, was man vielleicht aus anderen Gründen immer korrekt haben will.

... bei korrekter Konfiguration wird weder für www.google.com noch für mein.dyn.org oder blubber.no-ip.com jemals eine private IPv4-Adresse zurückgemeldet werden.
Man greift also nicht in in dem Sinne in die DNS-Namensauflösung ein, sondern verhindert vielmehr Eingriffe durch Dritte.

Mit korrekter Konfiguration meinte ich natürlich, dass man dem internen Dienst, der so bereitwillig jedem dahergelaufenen HTTP Request alle Deine wichtigen Daten mitgibt, beibringt genau das nicht zu tun. Dazu später mehr.

Im DNS gibt es ja durchaus verschiedene Ansätze, wie man mit RFC1918 umgeht; es gibt sogar das Argument, dass man seine internen IPs aus Sicherheitsgründen sowieso nicht public machen sollte.
Da wird dann mit verschiedenen Views auf Zonen gearbeitet, oder man verwendet direkt interne Zonen ("host.firma.lan"). Die große Nachteile ist, dass man immer den richtigen DNS Server erreichen können muss, damit das funktioniert, und jedem Host auch beibringt, welchen Server er verwenden soll.
In der Regel kannst Du zwar die Server prinzipiell erreichen, z.B. weil man sich ja eh vorher ins VPN eingewählt hat, aber was machst Du z.B. bei mehreren aktiven (VPN-) Verbindungen - das System kann die Verknüpfung zwischen IP-Netz, DNS-Zone und Server für die DNS Auflösung garnicht abbilden*.
DNS ist kein Fallback-System, in dem ich solange alle Server durchprobiere bis einer meinen Request beantwortet. DNS kennt nur ja oder nein, und die erste Antwort gewinnt.

In meiner Welt sind alle Systeme heutzutage sowieso kontinuierlich in mehreren logischen Netzen unterwegs, und da bleibt mir nichts anderes übrig, als die Eindeutigkeit des DNS zu akzeptieren und dann eben auch so zu nutzen. Wenn ich meinen host "notebook" von überall im DNS finden können will, dann muss er halt notebook.meinedomain.de heissen. Und da der eben nativ eine RFC1918 Adresse hat, steht die dann auch im DNS. Damit ich den Host aus verschiedenen Netzen erreichen kann (das hängt vom Netz ab in dem er grade ist und ob z.B. Weiterleitungen eingerichtet sind oder UPnP erlaubt ist), landen die entsprechenden Infos als SRV im DNS, wo ich die Priorität angeben kann.

Ich würde dazu aber verschiedene Ansätze akzeptieren, das ist in meinen Augen auch eine philosophische Frage und da gibt's ja bekanntlich kein richtig und falsch. Und mit v6 erledigt sich das ja dann hoffentlich sowieso, der ganze RFC1918 Kram ist bei mir auch nur noch legacy.


* mit DNSmasq kann man das bauen, wenn man Linux und root-Rechte hat - womit die Relevanz dieses Workarounds auch direkt klar ist.

Und Schutzmaßnahmen gegen DNS-Rebinding werden üblicherweise auch bei Nutzung von BIND, Unbound, DNSMasq, usw. konfiguriert.

Von DNSmasq abgesehen, der kein DNSSEC kann, sehe ich öfters Konfigurationen mit DNSSEC als mit einem Rebindschutz. Die anderen Resolver (um authoritative Server geht es ja grad nicht) würde ich im Homerouter-Kontext nicht erwarten, daher wundere mich nicht, dass entsprechende Konfigs mir noch nicht untergekommen sind.
DNSSEC und Rebindschutz lässt sich übrigens auch nur deshalb vereinbaren, weil man einem Client nicht zubilligt, die Signaturen selbst zu checken. Zum Glück wird DNSSEC wohl genau so selten verwendet wie RFC1918 im public DNS, dass die Überdeckung wohl vernachlässigbar gering ist und bisher auch noch nichts dadurch kaputt gegangen ist.

Wie soll Dein Schutz aussehen?

- Der Hostname, den der Browser verwendet, steht im HTTP Header (und wird bei TLS zusätzlich noch via SNI übermittelt).
- Der Browser sendet einen Referer, der zumindest ein enger Indikator für "fremde" Requests ist.

Geräte, die Du nicht entsprechend konfigurieren kannst, nehmen wir als Beispiel eine properitäre IP Kamera mit un-/schlecht gesichertem Backend, gehören sowieso hinter einen Proxy oder in ein Managementnetz und sind daher gar nicht direkt erreichbar.


Bevor Du übersiehst, was ich eigentlich kritisiere:
Ich erkenne an, dass es für die meisten Anwender nicht Realität ist, ihre internen IPs ins öffentliche DNS zu legen. Es macht mir daher nichts aus, dass es manche Router entsprechend unterbinden. Ob man das möchte muss jeder selbst wissen, und ich selbst kann dank Endgerätefreiheit entsprechenden Schrott von meinen Netzen fern halten.
Ich widerspreche Deiner Aussage, dass es grundsätzlich richtig sei, RFC1918 aus dem öffentlichen DNS zu filtern.

 

[nk57xx]

Nach langer Abwesenheit mal ein kurzes Feedback:

Hab die DNS Rebind Einträge gemacht und getestet: kein Erfolg.
feste-ip.net mit dem Portmapper funktioniert nach wie vor ohne Probleme.
Andere MyFritz-Portfreigaben auf Geräte im internen Netz sind von außen ohne Probleme erreichbar, nur eben die FritzBox selbst nicht.
Schon sehr sehr seltsam, aber muss wohl damit leben wie es aussieht. Naja, gibt schlimmeres.