Android 10 und mein DNS Server

Mitglied: CyborgWeasel

CyborgWeasel (Level 1) - Jetzt verbinden

16.04.2021 um 13:17 Uhr, 567 Aufrufe, 7 Kommentare

Hallo allesamt,

ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und funktioniert soweit alles prima. Bis ich dann meinen Server (NAS.HomeDomain.local) vom Handy aus aufrufen wollte (LG GS8, Android 9). Hat mich einige Zeit gekostet herauszufinden, dass man den Privaten DNS auf AUS schalten muss um DNS over TLS abzuschalten. Seitdem funktioniert es jetzt auch mit dem LG. Was ich jedoch nicht zum laufen bekomme ist ein Samsung A40, Android 10. Hier habe ich auch die private DNS Funktion abgeschaltet, jedoch klappt die Namensauflösung hier immer noch nicht. Auf dem Synology sehe ich für jede DNS Anfrage immer nur folgende Antwort:

client 192.168.50.115#32847 (www.google.com): query: www.google.com IN A + (192.168.50.200)

Greift hier vielleicht DoH? Kann man dies deaktieren? Habe zu Android 10 und DoH nichts gefunden, außer die Browsereinstellung. Da ich jedoch auch die App Fing benutze um die DNS Auflösung zu testen, sollte das doch auch nicht von der Browsereinstellung abhängen.

Hat hier jemand Erfahrung?

Gruß
Mitglied: StefanKittel
16.04.2021 um 13:49 Uhr
Hallo,

benutze besser zuhause.domain.de.
Das .local führt in verschiedenen Szenarien zu Problemen.

Stefan
Bitte warten ..
Mitglied: CyborgWeasel
16.04.2021 um 15:03 Uhr
Alles klar, ist ja nur zum Spielen :-) face-smile Aber mein Problem löst die .de Domäne aber nicht, oder?
Bitte warten ..
Mitglied: norden
16.04.2021 um 16:18 Uhr
Hallo CyborgWeasel,

.local solltest du besser jetzt als später ändern, das wird von Bonjour / Avahi / Zeroconf genutzt. Eine TLD, egal welche, löst das Problem aber auch nicht. Nimm irgendwas, was nicht registriert ist und auch zukünftig nur unwahrscheinlich registriert wird. Inzwischen sind TLDs ja nicht mehr begrenzt.

Dein DNS-Problem lässt sich mit den spärlichen Infos kaum analysieren. Dass DoH mit Fing nicht greifen dürfte, ist richtig. Aber welche IP hat denn eigentlich dein DNS-Server? Und dein Router? Welche Anfrage genau machst du? Ist der korrekte DNS-Server im Handy eingetragen bzw. per DHCP zugewiesen worden?

Es ist hier gar nicht klar, ob du versucht hast www.google.de ausfzulösen (was ja auch gar keine lokale Adresse wäre) oder ob dein lokaler DNS den als Forwarder bemüht hat.

Ich könnte mir vorstellen, dass es ein Problem damit gibt, ob du einen Hostnamen als solches oder als FQDN abfragst (also mit und ohne Suffix). Das kannst du aber mit dem PC und nslookup oder dig bequemer testen.
Bitte warten ..
Mitglied: CyborgWeasel
16.04.2021, aktualisiert um 19:08 Uhr
Es funktioniert ja mit allen anderen Geräten, daher hab ich jetzt die Config nicht gepostet. Es funktioniert mit Android 10 auch nicht, wenn ich die IP statisch vergebe und als einzigen DNS Server meine Synology eintrage. Auch hier mache ich mit Fing eine Ping-Anfrage und im Server sehe ich nur die oben bezeichnet Anfrage.

Hier zur Konfig:

Router: 192.168.50.1 (= Standardgateway)
Synology-Server: 192.168.50.200 (=DHCP + DNS Server)

DHCP:
Primärer DNS: 192.168.50.200
Sekundärer DNS: 192.168.50.1
Domänenname: HomeDomain.local
Startadresse: 192.168.50.100
Endadresse: 192.168.50.150
Maske: 255.255.255.0
Gateway: 192.168.50.1
keine DHCP-Codes sonst genutzt
Lease: 8Tage

DNS:
Zonen-ID: HomeDomain.local
Domänenname: HomeDomain.local
Typ: Master, aktiv
Serielles Format: Ganze Zahl
Zonentransfer einschränken: aktiv (Standard vorgegeben)
Zonenaktualisierung einschränken: aktiv (Standard vorgegeben)
DNS Eintrag (typ NS): HomeDomain.local, TTL 86400, Info: ns.HomeDomain.local
DNS Eintrag (typ A): HomeDomain.local, TTL 86400, Info: 192.168.50.200
DNS Eintrag (typ A): NAS.HomeDomain.local, TTL 86400, Info: 192.168.50.200
Forwarder aktiviert: Forwarder 1: 192.168.50.1, Forwarder 2: 8.8.8.8
Weiterleitungsrichtlinie: Zuerst Weiterleiten (Standard vorgegeben)

[edit]
noch den Rest deiner Fragen vergessen, sorry :-) face-smile

Welche Anfrage genau machst du?

wie oben geschrieben: NAS.HomeDomain.local

Ist der korrekte DNS-Server im Handy eingetragen bzw. per DHCP zugewiesen worden?

sollte. Leider habe ich auf dem Handy keine Möglichkeit gefunden dies zu checken. Termux Terminal und der Befehl getprop scheinen unter Android 10 nicht mehr den DNS Eintrag aufzulisten (übrigens auch mein Android 9 Handy zeigt hier nichts mehr an). Unter Windows funktioniert DHCP mit dem korrekten DNS-Eintrag. Wie oben geschrieben habe ich den DNS Eintrag auch schon statisch festgelegt, ebenfalls keine Änderung. Und noch etwas: Wenn ich die Private-DNS-Funktion von Android aktiviere (also auf "Automatisch" setze, wenn ich das richtig herausgefunden habe, handelt es sich hierbei um DoT), dann sehe ich keine DNS Anfragen auf dem Server. Nur wenn diese Option auf "AUS" steht kommt, egal welche Anfrage ich tätige (auch www.tagesschau.de) immer eine einzige Anfrage nach oben dem Schema, immer www.google.com.

Es ist hier gar nicht klar, ob du versucht hast www.google.de ausfzulösen (was ja auch gar keine lokale Adresse wäre) oder ob dein lokaler DNS den als Forwarder bemüht hat

Nein, ich habe NAS.HomeDomain.local versucht. Das Protokoll sind die Querys an meine Synology, der Forwarder ist auf IPs eingestellt (einmal Fritzbox ...50.1 und einmal google 8.8.8.8. Wenn dann sollte er höchstens an die IP forwarden, nicht an die Domäne, oder?)

Ich könnte mir vorstellen, dass es ein Problem damit gibt, ob du einen Hostnamen als solches oder als FQDN abfragst (also mit und ohne Suffix). Das kannst du aber mit dem PC und nslookup oder dig bequemer testen.

Habe ich, funktioniert beides...
[/edit]

Ich tippe auf ein Problem / eine Neuerung bei Android 10, lasse mich aber gerne korrigieren. Windows PC funktioniert, Android 9 funktioniert, Linux könnte ich noch testen, hab irgendo noch eine VM...

Danke für euer Feedback!
Bitte warten ..
Mitglied: norden
LÖSUNG 16.04.2021, aktualisiert um 22:11 Uhr
Ich will nicht ausschließen, dass Android 10 da ein "Feature" eingebaut hat, aber wenn im Log deines DNS-Servers ein Eintrag auftaucht, wird der auch angefragt. Insofern gehe ich über diese Brücke noch nicht, sondern würde erstmal gucken, dass alles sauber eingerichtet ist.

Das Problem ist ja auch, dass unter Windows und Linux durchaus unterschiedliche Ergebnisse kommen können, je nachdem, wie das Domänensuffix eingerichtet ist und ob man die Anfrage als FQDN macht oder nicht.

Der Forwarder ist in Ordnung und ja, es ist eine IP - immer. Ansonsten hätte man ein Henne-Ei-Problem.

Wie gesagt, wenn das NAS antwortet, aber nicht die erwartete Antwort liefert, ist der Fehler dort zu suchen. Dennoch solltest du den Secondary DNS herausnehmen, weil sonst ggf. das Standardgateway antwortet und das kennt deinen lokalen DNS nicht. Es wird häufig missverstanden, dass es sich bei Primary und Secondary um ein Round-Robin-Verfahren mit Gewichtung handelt. Das ist kein "Probier den ersten und wenn der nicht geht, den zweiten". Landest du aus welchem Grund auch immer auf dem zweiten, bleibt das bis zum nächsten Timeout auch so.

Falls dein NAS tcpdump beherrscht, könnte man sich genau ansehen, was passiert.

EDIT: Nimm anstatt Fing mal die App Ping & Net. Die zeigt dir viel mehr Infos an.
Bitte warten ..
Mitglied: CyborgWeasel
17.04.2021 um 09:11 Uhr
Wie gesagt, wenn das NAS antwortet, aber nicht die erwartete Antwort liefert, ist der Fehler dort zu suchen

Eigentlich ist es ja anders herum, der NAS wird nach www.google.com gefragt, die Antwort sehe ich in seinem Protokoll nicht. Das macht mich ja so stutzig.

Dennoch solltest du den Secondary DNS herausnehmen, weil sonst ggf. das Standardgateway antwortet und das kennt deinen lokalen DNS nicht. Es wird häufig missverstanden, dass es sich bei Primary und Secondary um ein Round-Robin-Verfahren mit Gewichtung handelt. Das ist kein "Probier den ersten und wenn der nicht geht, den zweiten". Landest du aus welchem Grund auch immer auf dem zweiten, bleibt das bis zum nächsten Timeout auch so

Oha, das wusste ich tatsächlich auch nicht. Dh. man sollte also wenn dann nur einen 2ten identisch konfigurierten DNS nehmen, niemals den nachgelagerten? In meinem Falle also immer nur ein DNS, keine Alternative?

Falls dein NAS tcpdump beherrscht, könnte man sich genau ansehen, was passiert.

Das war jetzt ein gutes Stichwort, mal wieder nicht auf das "einfachste" gekommen. Ich hab mir gerade auf meinem Switch mal schnell einen Mirror-Port zu meinem Accesspoint definiert und mit Wireshark reingesehen. Tadaaa, die DNS Anfragen vom Android-Handy gingen alle via IPv6 raus und da ich in meinem Netzwerk IPv6 sträflich vernachlässige, läuft auf meinem NAS/DNS natürlich auch kein IPv6. Ergo antwortet hier der Router. Im Router IPv6 DHCP deaktiviert und voila, es funktioniert :-) face-smile

Wo jetzt der www.google.com Eintrag auf dem NAS herkommt ist mir jetzt allerdings immer noch schleierhaft.

Mit IPv6 bewege ich mich immer noch auf dünnem Eis was meine Kenntnisse angeht, aber sollten DNS Anfragen nicht immer auf beiden Protokollen laufen? Bzw. wenn man über IPv6 nichts findet nochmal IPv4 versuchen? Warum wurde dann eine www.google.com Anfrage über IPv4 abgesetzt und der rest über IPv6?

Vielen Dank für deine Hilfe!!

Gruß
Bitte warten ..
Mitglied: norden
17.04.2021 um 12:22 Uhr
Zitat von @CyborgWeasel:
man sollte also wenn dann nur einen 2ten identisch konfigurierten DNS nehmen, niemals den nachgelagerten? In meinem Falle also immer nur ein DNS, keine Alternative?
Korrekt. Kommt aber dennoch auf das erwartete Ergebnis an. Wenn du sicherstellen willst, dass das Internet ohne NAS erreichbar bleibt, kann deine Lösung dazu betragen. Sie kann aber auch dazu führen, dass intern nichts mehr aufgelöst werden kann, selbst wenn keine Störung vorliegt. Wo der Secondary DNS Sinn ergibt ist klassischerweise bei zwei DCs, über die auch DNS läuft. Diese sind ja per se synchron.

Falls dein NAS tcpdump beherrscht, könnte man sich genau ansehen, was passiert.
Ich hab mir gerade auf meinem Switch mal schnell einen Mirror-Port zu meinem Accesspoint definiert
Oder so. :-) face-smile

Mit IPv6 bewege ich mich immer noch auf dünnem Eis was meine Kenntnisse angeht, aber sollten DNS Anfragen nicht immer auf beiden Protokollen laufen?
Da ist das Eis bei mir nicht dicker. Es gibt aber meines Wissens keinen Standard, der besagt, dass immer beides abgefragt werden muss oder soll. Zudem ist ja immer implementationsabhängig, wie eine Anfrage gestellt wird. Die Funktion gethostbyname() in Python gibt z.B. ausschließlich eine IPv4-Adresse zurück. Im Heimnetz brauchst du sicherlich kein IPv6 und damit auch die Abfrage nicht. Im Internet kann das schon anders aussehen.

Vielen Dank für deine Hilfe!!
Gerne doch.

Gruß
N
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 22 StundenAllgemeinOff Topic35 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 12 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows 10
Was ist zu wenig
ukulele-7Vor 8 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...