Android 10 und mein DNS Server

Mitglied: CyborgWeasel

CyborgWeasel (Level 1) - Jetzt verbinden

16.04.2021 um 13:17 Uhr, 591 Aufrufe, 7 Kommentare

Hallo allesamt,

ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und funktioniert soweit alles prima. Bis ich dann meinen Server (NAS.HomeDomain.local) vom Handy aus aufrufen wollte (LG GS8, Android 9). Hat mich einige Zeit gekostet herauszufinden, dass man den Privaten DNS auf AUS schalten muss um DNS over TLS abzuschalten. Seitdem funktioniert es jetzt auch mit dem LG. Was ich jedoch nicht zum laufen bekomme ist ein Samsung A40, Android 10. Hier habe ich auch die private DNS Funktion abgeschaltet, jedoch klappt die Namensauflösung hier immer noch nicht. Auf dem Synology sehe ich für jede DNS Anfrage immer nur folgende Antwort:

client 192.168.50.115#32847 (www.google.com): query: www.google.com IN A + (192.168.50.200)

Greift hier vielleicht DoH? Kann man dies deaktieren? Habe zu Android 10 und DoH nichts gefunden, außer die Browsereinstellung. Da ich jedoch auch die App Fing benutze um die DNS Auflösung zu testen, sollte das doch auch nicht von der Browsereinstellung abhängen.

Hat hier jemand Erfahrung?

Gruß
Mitglied: StefanKittel
16.04.2021 um 13:49 Uhr
Hallo,

benutze besser zuhause.domain.de.
Das .local führt in verschiedenen Szenarien zu Problemen.

Stefan
Bitte warten ..
Mitglied: CyborgWeasel
16.04.2021 um 15:03 Uhr
Alles klar, ist ja nur zum Spielen :-) face-smile Aber mein Problem löst die .de Domäne aber nicht, oder?
Bitte warten ..
Mitglied: norden
16.04.2021 um 16:18 Uhr
Hallo CyborgWeasel,

.local solltest du besser jetzt als später ändern, das wird von Bonjour / Avahi / Zeroconf genutzt. Eine TLD, egal welche, löst das Problem aber auch nicht. Nimm irgendwas, was nicht registriert ist und auch zukünftig nur unwahrscheinlich registriert wird. Inzwischen sind TLDs ja nicht mehr begrenzt.

Dein DNS-Problem lässt sich mit den spärlichen Infos kaum analysieren. Dass DoH mit Fing nicht greifen dürfte, ist richtig. Aber welche IP hat denn eigentlich dein DNS-Server? Und dein Router? Welche Anfrage genau machst du? Ist der korrekte DNS-Server im Handy eingetragen bzw. per DHCP zugewiesen worden?

Es ist hier gar nicht klar, ob du versucht hast www.google.de ausfzulösen (was ja auch gar keine lokale Adresse wäre) oder ob dein lokaler DNS den als Forwarder bemüht hat.

Ich könnte mir vorstellen, dass es ein Problem damit gibt, ob du einen Hostnamen als solches oder als FQDN abfragst (also mit und ohne Suffix). Das kannst du aber mit dem PC und nslookup oder dig bequemer testen.
Bitte warten ..
Mitglied: CyborgWeasel
16.04.2021, aktualisiert um 19:08 Uhr
Es funktioniert ja mit allen anderen Geräten, daher hab ich jetzt die Config nicht gepostet. Es funktioniert mit Android 10 auch nicht, wenn ich die IP statisch vergebe und als einzigen DNS Server meine Synology eintrage. Auch hier mache ich mit Fing eine Ping-Anfrage und im Server sehe ich nur die oben bezeichnet Anfrage.

Hier zur Konfig:

Router: 192.168.50.1 (= Standardgateway)
Synology-Server: 192.168.50.200 (=DHCP + DNS Server)

DHCP:
Primärer DNS: 192.168.50.200
Sekundärer DNS: 192.168.50.1
Domänenname: HomeDomain.local
Startadresse: 192.168.50.100
Endadresse: 192.168.50.150
Maske: 255.255.255.0
Gateway: 192.168.50.1
keine DHCP-Codes sonst genutzt
Lease: 8Tage

DNS:
Zonen-ID: HomeDomain.local
Domänenname: HomeDomain.local
Typ: Master, aktiv
Serielles Format: Ganze Zahl
Zonentransfer einschränken: aktiv (Standard vorgegeben)
Zonenaktualisierung einschränken: aktiv (Standard vorgegeben)
DNS Eintrag (typ NS): HomeDomain.local, TTL 86400, Info: ns.HomeDomain.local
DNS Eintrag (typ A): HomeDomain.local, TTL 86400, Info: 192.168.50.200
DNS Eintrag (typ A): NAS.HomeDomain.local, TTL 86400, Info: 192.168.50.200
Forwarder aktiviert: Forwarder 1: 192.168.50.1, Forwarder 2: 8.8.8.8
Weiterleitungsrichtlinie: Zuerst Weiterleiten (Standard vorgegeben)

[edit]
noch den Rest deiner Fragen vergessen, sorry :-) face-smile

Welche Anfrage genau machst du?

wie oben geschrieben: NAS.HomeDomain.local

Ist der korrekte DNS-Server im Handy eingetragen bzw. per DHCP zugewiesen worden?

sollte. Leider habe ich auf dem Handy keine Möglichkeit gefunden dies zu checken. Termux Terminal und der Befehl getprop scheinen unter Android 10 nicht mehr den DNS Eintrag aufzulisten (übrigens auch mein Android 9 Handy zeigt hier nichts mehr an). Unter Windows funktioniert DHCP mit dem korrekten DNS-Eintrag. Wie oben geschrieben habe ich den DNS Eintrag auch schon statisch festgelegt, ebenfalls keine Änderung. Und noch etwas: Wenn ich die Private-DNS-Funktion von Android aktiviere (also auf "Automatisch" setze, wenn ich das richtig herausgefunden habe, handelt es sich hierbei um DoT), dann sehe ich keine DNS Anfragen auf dem Server. Nur wenn diese Option auf "AUS" steht kommt, egal welche Anfrage ich tätige (auch www.tagesschau.de) immer eine einzige Anfrage nach oben dem Schema, immer www.google.com.

Es ist hier gar nicht klar, ob du versucht hast www.google.de ausfzulösen (was ja auch gar keine lokale Adresse wäre) oder ob dein lokaler DNS den als Forwarder bemüht hat

Nein, ich habe NAS.HomeDomain.local versucht. Das Protokoll sind die Querys an meine Synology, der Forwarder ist auf IPs eingestellt (einmal Fritzbox ...50.1 und einmal google 8.8.8.8. Wenn dann sollte er höchstens an die IP forwarden, nicht an die Domäne, oder?)

Ich könnte mir vorstellen, dass es ein Problem damit gibt, ob du einen Hostnamen als solches oder als FQDN abfragst (also mit und ohne Suffix). Das kannst du aber mit dem PC und nslookup oder dig bequemer testen.

Habe ich, funktioniert beides...
[/edit]

Ich tippe auf ein Problem / eine Neuerung bei Android 10, lasse mich aber gerne korrigieren. Windows PC funktioniert, Android 9 funktioniert, Linux könnte ich noch testen, hab irgendo noch eine VM...

Danke für euer Feedback!
Bitte warten ..
Mitglied: norden
LÖSUNG 16.04.2021, aktualisiert um 22:11 Uhr
Ich will nicht ausschließen, dass Android 10 da ein "Feature" eingebaut hat, aber wenn im Log deines DNS-Servers ein Eintrag auftaucht, wird der auch angefragt. Insofern gehe ich über diese Brücke noch nicht, sondern würde erstmal gucken, dass alles sauber eingerichtet ist.

Das Problem ist ja auch, dass unter Windows und Linux durchaus unterschiedliche Ergebnisse kommen können, je nachdem, wie das Domänensuffix eingerichtet ist und ob man die Anfrage als FQDN macht oder nicht.

Der Forwarder ist in Ordnung und ja, es ist eine IP - immer. Ansonsten hätte man ein Henne-Ei-Problem.

Wie gesagt, wenn das NAS antwortet, aber nicht die erwartete Antwort liefert, ist der Fehler dort zu suchen. Dennoch solltest du den Secondary DNS herausnehmen, weil sonst ggf. das Standardgateway antwortet und das kennt deinen lokalen DNS nicht. Es wird häufig missverstanden, dass es sich bei Primary und Secondary um ein Round-Robin-Verfahren mit Gewichtung handelt. Das ist kein "Probier den ersten und wenn der nicht geht, den zweiten". Landest du aus welchem Grund auch immer auf dem zweiten, bleibt das bis zum nächsten Timeout auch so.

Falls dein NAS tcpdump beherrscht, könnte man sich genau ansehen, was passiert.

EDIT: Nimm anstatt Fing mal die App Ping & Net. Die zeigt dir viel mehr Infos an.
Bitte warten ..
Mitglied: CyborgWeasel
17.04.2021 um 09:11 Uhr
Wie gesagt, wenn das NAS antwortet, aber nicht die erwartete Antwort liefert, ist der Fehler dort zu suchen

Eigentlich ist es ja anders herum, der NAS wird nach www.google.com gefragt, die Antwort sehe ich in seinem Protokoll nicht. Das macht mich ja so stutzig.

Dennoch solltest du den Secondary DNS herausnehmen, weil sonst ggf. das Standardgateway antwortet und das kennt deinen lokalen DNS nicht. Es wird häufig missverstanden, dass es sich bei Primary und Secondary um ein Round-Robin-Verfahren mit Gewichtung handelt. Das ist kein "Probier den ersten und wenn der nicht geht, den zweiten". Landest du aus welchem Grund auch immer auf dem zweiten, bleibt das bis zum nächsten Timeout auch so

Oha, das wusste ich tatsächlich auch nicht. Dh. man sollte also wenn dann nur einen 2ten identisch konfigurierten DNS nehmen, niemals den nachgelagerten? In meinem Falle also immer nur ein DNS, keine Alternative?

Falls dein NAS tcpdump beherrscht, könnte man sich genau ansehen, was passiert.

Das war jetzt ein gutes Stichwort, mal wieder nicht auf das "einfachste" gekommen. Ich hab mir gerade auf meinem Switch mal schnell einen Mirror-Port zu meinem Accesspoint definiert und mit Wireshark reingesehen. Tadaaa, die DNS Anfragen vom Android-Handy gingen alle via IPv6 raus und da ich in meinem Netzwerk IPv6 sträflich vernachlässige, läuft auf meinem NAS/DNS natürlich auch kein IPv6. Ergo antwortet hier der Router. Im Router IPv6 DHCP deaktiviert und voila, es funktioniert :-) face-smile

Wo jetzt der www.google.com Eintrag auf dem NAS herkommt ist mir jetzt allerdings immer noch schleierhaft.

Mit IPv6 bewege ich mich immer noch auf dünnem Eis was meine Kenntnisse angeht, aber sollten DNS Anfragen nicht immer auf beiden Protokollen laufen? Bzw. wenn man über IPv6 nichts findet nochmal IPv4 versuchen? Warum wurde dann eine www.google.com Anfrage über IPv4 abgesetzt und der rest über IPv6?

Vielen Dank für deine Hilfe!!

Gruß
Bitte warten ..
Mitglied: norden
17.04.2021 um 12:22 Uhr
Zitat von @CyborgWeasel:
man sollte also wenn dann nur einen 2ten identisch konfigurierten DNS nehmen, niemals den nachgelagerten? In meinem Falle also immer nur ein DNS, keine Alternative?
Korrekt. Kommt aber dennoch auf das erwartete Ergebnis an. Wenn du sicherstellen willst, dass das Internet ohne NAS erreichbar bleibt, kann deine Lösung dazu betragen. Sie kann aber auch dazu führen, dass intern nichts mehr aufgelöst werden kann, selbst wenn keine Störung vorliegt. Wo der Secondary DNS Sinn ergibt ist klassischerweise bei zwei DCs, über die auch DNS läuft. Diese sind ja per se synchron.

Falls dein NAS tcpdump beherrscht, könnte man sich genau ansehen, was passiert.
Ich hab mir gerade auf meinem Switch mal schnell einen Mirror-Port zu meinem Accesspoint definiert
Oder so. :-) face-smile

Mit IPv6 bewege ich mich immer noch auf dünnem Eis was meine Kenntnisse angeht, aber sollten DNS Anfragen nicht immer auf beiden Protokollen laufen?
Da ist das Eis bei mir nicht dicker. Es gibt aber meines Wissens keinen Standard, der besagt, dass immer beides abgefragt werden muss oder soll. Zudem ist ja immer implementationsabhängig, wie eine Anfrage gestellt wird. Die Funktion gethostbyname() in Python gibt z.B. ausschließlich eine IPv4-Adresse zurück. Im Heimnetz brauchst du sicherlich kein IPv6 und damit auch die Abfrage nicht. Im Internet kann das schon anders aussehen.

Vielen Dank für deine Hilfe!!
Gerne doch.

Gruß
N
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 1 TagFrageRouter & Routing25 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke25 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 21 StundenFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...

Netzwerke
Verständnisfrage pfSense mit Fritzbox, VLAN und Switch
newbie1Vor 1 TagFrageNetzwerke8 Kommentare

Hallo, ich bin kurz davor mir eine pfSense einzurichten via ISO-Image auf einem alten PC. Vorhaben: Fritzbox -> pfSense -> Switch -> Endgeräte Was ...

Exchange Server
Mails fehlen im Exchange-Server 2016
it-basixsVor 22 StundenFrageExchange Server4 Kommentare

Moin, moin zusammen. Ich habe leider ein Problem mit einem Exchange Server 2016 CU20 inkl. aller Patches. Laut Ereignisanzeige von POPcon, werden die Mails ...