Frage

Blockiert A1 Zugriff auf die Root-DNS-Server?

M

Hallo zusammen, 

ich habe einen privaten DSL 300/30 Anschluss. Als Modem verwende ich eine Fritzbox (modell hier irrelevant), welche allerdings nur via PPPoE-Passthrough als reines Modem verwendet wird. Die Einwahl übernimmt meine netgate pfsense Firewall. Soweit so gut. 

Die pfsense hat einen vollwertigen DNS-Server (unbound) mit an Board, welcher eben nicht nur als reiner Forwarder DNS-Server fungiert sondern präferiert direkt mit den Internet Root-DNS-Server arbeiten will. Was aus Performance-, Security- und Privacy-Sicht auch absolut zu bevorzugen ist.

Leider bekomm ich das aber so einfach nicht zum Laufen. Es scheint so, als würde A1 die DNS-Kommunikation (UDP/TCP 53) zu den root DNS-Servern einfach blockieren. Im Packet Capture sehe ich die ausgehende Kommunikation, kommend von meinem WAN-Interface. Jedoch kommt niemals eine Antwort zurück (wird vermutlich gedropped). Was dann dazu führt, dass meine interne DNS-Auflösung funktioniert, alles Externe aber in nen Timeout läuft.

Weiß da jemand was dazu? Bei Salzburg AG als Provider funktioniert das wunderbar. Bei meinem speziellen Anschluss nicht, was ich sehr schade finde.

Bevor ich jetzt bei der Hotline anrufe, und ich denen mal wieder nicht klarmachen kann, was ich will, wollte ich mal hier nachfragen ;)

SG
Manuel

13 Antworten

G
Rang
Benutzerebene 7
Abzeichen +8

Könnte nicht auch die Fritte blockieren?

Ehrlich gesagt ist mir das Thema schon zu komplex, aber ich fürchte es hat eher mit dem Passthrough der Fritzbox zu tun. Glaub nicht, daß A1 da was blockieren würde.

Ist dann ja eh völlig sinnbefreit dort einen Fritzbox anzuhängen, kannst nicht ein anderes einfaches Betreibermodem im SU-Mode drantun und damit testen?

cos.renegade
Rang
Benutzerebene 7
Abzeichen +9

was sind root DNS-Server?

Reden wir von Cloudflare, Google, Quad9….?

DNS läuft über Port 53.
Client zu DNS über UDP

DNS zu DNS über TCP

Check vielleicht das mal.

Unsere Demokratie ist in Gefahr - Tu was dagegen und verteidige Managed Democracy: https://www.youtube.com/watch?v=qiD5VStVH9k ....:::: | ::::.... Хай буде з вами Сила! #SlavaUkraini ....:::: | ::::.... For we dive together or not at all.
jo93
Rang
Benutzerebene 7
Abzeichen +8

Es geht vermutlich um diese DNS Server: https://de.wikipedia.org/wiki/Root-Nameserver
Kurzfassung, DNS ist hierachisch und irgendwo ist halt der Null Punkt. Die Root DNS Server wissen, welche DNS Server für .com, .at, .de etc verantwortlich sind.

Ob A1 da etwas blockiert kann ich leider nicht testen. 

 

In diesem Fall würde es tortzdem über UDP laufen, weil es kleine Anfragen sind. Bei größeren Anfragen / Zonen Transfer wird eher TCP verwendet.

Aktuelles Setup: Technicolor CGA4233 mit einer virtualisierten pfSense und einmal virtualiserten OpenWRT für VPN, zwei Unifi AP AC Pro & ein Unifi AP AC Lite für WLAN
M

Hallo zusammen, 

@Grisu Ich bin mir ziemlich sicher, dass die Fritte da dazwischen nix macht. Die wird ja auch nicht als Router verwendet und kommt selbst auch gar nicht ins Internet (klingt komisch, ist aber so :)).

Die PPoE Einwahl macht meine pfsense, diese bekommt somit auch die offizielle IP zugewiesen. Die Fritte wird nur als Modemhardware verwendet und mault vor sich hin, weil sie selbst kein Internet hat. (was works as designed ist)

 

@cos.renegade es ist genau so, wie @jo93 schreibt. Cloudflare, Google, QUAD9 oder die DNS-Server vom Provider sind alles nur Cache-Server, keine echten DNS-Server.

Ich will mit meinem lokalen DNS-Server direkt mit den Root-Nameservern kommunizieren. Bei manchen Providern geht das, bei anderen nicht. Ich habe im Netgate-Forum auch schon A1 Kunden getroffen, bei denen es geht. Es dürfte also nicht ganz konsistent in der Konfiguration bei A1 sein. Bzw. ists vielleicht auch Standort abhängig. 

Habe auf der pfsense schon mehrere Captures gemacht. Ein nmap auf udp/tcp 53 zu einem Root-Server hab ich mal getestet. Das geht. Aber die echten DNS-Request sehe ich das WAN-Interface zwar verlassen, jedoch kommt niemals nie eine Antwort zurück. Ich kann mir nur vorstellen, dass die A1 hier ne Deep Packet Inspection aktiv hat und “echte” DNS-Requests einfach dropped. Nur wie erkläre ich das dem A1 Support. Es war damals vor der Fritzboxzeit schon eine echte Odyssey denen klar zu machen, dass sie mir den Router auf Modem umstellen sollen. Der normale Support war zwar freundlich, hatte aber keine Ahnung was ich will und verwies mich auf die bezahlpflichtige Guru-Hotline. Die haben mir das dann mit viel Gezeter und Unfreundlichkeit dann missbilligend und gegen Einwurf von Geld dann gemacht. 🤐

 

G
Rang
Benutzerebene 7
Abzeichen +8

Könnte auch unterschiedlich zw. Business und Customer Anschlüssen sein.

M

Könnte auch unterschiedlich zw. Business und Customer Anschlüssen sein.

Das war auch meine erste Idee. Ist lt. dem Anwender aber nicht so. Er ist eben in der Steiermark, ich in Salzburg.

BigR2020
Rang
Benutzerebene 4
Abzeichen +2

DNS Root Server sind da um mit anderen DNS Servern zu kommunizieren. Eventuell ist der DNS Client nicht dafür ausgelegt. Es kann auch sein, dass bestimmte Netzwerkprotokolle nicht ausgeführt werden zB ICMP. Aber das ist pure Spekulation meinerseits.

Gruß von BigR2020
cos.renegade
Rang
Benutzerebene 7
Abzeichen +9

Auf jeden Fall interessanter Beitrag, schon einmal danke dafür!

Unsere Demokratie ist in Gefahr - Tu was dagegen und verteidige Managed Democracy: https://www.youtube.com/watch?v=qiD5VStVH9k ....:::: | ::::.... Хай буде з вами Сила! #SlavaUkraini ....:::: | ::::.... For we dive together or not at all.
M

@BigR2020 

Ja genau, meine pfsense firewall hat ja einen echten DNS-Server drauf (unbound). Dessen präferierte Kommunikation wäre eben DNS zu DNS. Einen Cache-Server zB. von Cloudflare, Google, QUAD9, A1, ...egal zu verwenden ist da eigentlich nur die zweit beste Lösung und in unbound nur die Fallback Lösung. Pingen kann ich ja (ICMP), nmap auf udp/tcp 53 geht auch. Aber nmap ist eben keine echte DNS-Kommunikation, sondern nur eine Art Ping auf einen specifischen Port. Firewalls können auch eine sogenannte DPI (Deep Packet Inspection) machen. In dem die Netzwerkpakete nicht nur anhand des Ports gefiltert werden, sondern in jedes Paket genau reingeschaut wird, was es wirklich ist. Meine These ist, die DPI lässt einfach keine DNS-Kommunikation zu den Root-Servern durch, bzw. dropped die einfach kommentarlos. Denn es kommt keine Reject Meldung zurück auf meine Anfragen. Es kommt einfach gar nichts zurück, wird also verworfen.

BigR2020
Rang
Benutzerebene 4
Abzeichen +2

In den 90ern hatte ich meinen eigenen DNS Server unter Linux (bind) und einen transparenten Proxy (squid). Eingewählt habe ich mich per Modem. Wenn ich mich richtg erinnere habe ich auch ICMP Pakete für den DNS Server gesehen. Aber da kann ich mich auch täuschen. Soviel ich weiß, betreibt A1 ICMP Filtering was für einen großen Provider sinnvoll ist.

Gruß von BigR2020
H

ev. liegt es daran das man DNSSEC einrichten muss um die Rootservern zu reden.

https://www.tecchannel.de/a/umstellung-der-root-server-auf-dnssec-alles-halb-so-wild,2027766

 

 

A1_Wolfgang
Rang
Benutzerebene 7
Abzeichen +9

Lieber @manuel.aigner,

war unter den vielen hilfreichen Kommentaren meiner Vorposter die Antwort bzw. ein Hinweis auf die mögliche Lösung dabei? - Wenn ja wäre es toll, wenn du es als “beste Antwort” markierst!

Vielen Dank,

Wolfgang

M

Hi @A1_Wolfgang 

Es waren auf jeden Fall gute Inputs dabei, ja. Leider hat noch nichts zur Lösung führen können. Fürchte ich muss wohl doch auf die kostenpflichtige Guru-Hotline zurückgreifen. Der normale Support wusste leider überhaupt nicht wovon ich überhaupt rede. 

 

@hwk123  Danke, guter Punkt. Hätte ich ich auch ausprobiert, unbound kann ja DNSSEC und das ist per default auch alles an. 

 

Bei den Tutorials ist das bei der pfsense auch überhaupt kein Aufwand alles einzurichten, geht alles wunderbar über die UI. War auch schon im netgate Forum, dort tippt man auch eher auf eine Blockade seitens des Providers.

 

Antworten


Allgemeine Nutzungsbedingungen