dgi-sysadm
Goto Top

DNS-Auflösung eines Smartphones im eigenen WLAN

Liebe Gemeinde ...
... folgendes Problem.

Wir bieten unseren Usern eine SoftPhone-Lösung an. Der dazugehörige Server hat "zwei Beinchen", eines im normalen FirmenLAN, eines im GastLAN/WLAN (GastNetz) und lauscht jeweils auf Port 7225. Firmen- und GastLAN sind getrennt und besitzten unterschiedliche IP-Ranges.

Im FirmenLAN ist alles chic, der Server wird sauber aufgelöst.

Im GastNetz habe ich einen DNS laufen (BIND9 auf Ubuntu), der mit den Telefonie-Server intern auflöst. Der DNS wird per DHCP für das GastNetz propagiert.
Verbindet man sich nun mit einem Laptop in dieses GastNetz und schaut sich mit nslookup um, funktioniert die Namensauflösung wunderbar.

Stellt man allerdings mit einem Android-Smartphone eine Verbindung (zum GastNetz) her, so funktioniert der Aufruf einer Kontrollwebseite (https:/ /TelefonieServerName:7225) nicht. Ersetzt man den TelefonieServerNamen durch dessen IP funktioniert die Anzeige der Webseite.
Schaue ich auf dem Smartphone in die WLAN-Einstellungen (und stelle diese temporär von DHCP auf statisch), dann wird mir dort der korrekte DNS angezeigt und die Namensauflösung und damit auch die Anzeige der o.g. Webseite funktionieren problemlos, sobald ich zurück auf DHCP wechsele wieder nicht.

Untermauern konnte ich das Ganze, in dem ich auf dem Smartphone einen DNS-Changer installiere. Sobald dieser aktiv ist (und auf "meinen" DNS zeigt), funktioniert die Webseite. Ist er deaktiviert, ist wieder Schicht im Schacht.

Nun bin ich leider mit meinem Latein am Ende und hoffe auf eine Erklärung dieses Verhaltens von Android.
Bisher bin ich netzwerktechnisch davon ausgegangen, daß der per DHCP empfange DNS auch befragt wird ... aber man lernt in unserem Job ja nie aus !!!

Content-ID: 7948672890

Url: https://administrator.de/forum/dns-aufloesung-eines-smartphones-im-eigenen-wlan-7948672890.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

bitnarrator
bitnarrator 25.07.2023 um 17:33:58 Uhr
Goto Top
Zufällig IPv6 aktiviert?
DGI-SysAdm
DGI-SysAdm 25.07.2023 um 17:38:31 Uhr
Goto Top
Jupp, aber daran liegt es nicht. Der (mein) DNS reagiert auf IPV4 und IPV6.
Aktiviere ich bei besagtem Laptop IPV6 wird auch normal (und korrekt) aufgelöst.
bitnarrator
bitnarrator 25.07.2023 um 17:41:02 Uhr
Goto Top
Okay, also es wird auch per DHCPv6/RA der DNS verteilt?

Und auch nur der?
DGI-SysAdm
DGI-SysAdm 25.07.2023 um 17:48:04 Uhr
Goto Top
Mein DHCP hat nur die Möglichkeit IPV4-Einträge für DNS zu setzen, folglich wird hier die IPV4 Adresse propagiert.
Und ja, es ist noch ein zweiter (der mit den ganz vielen Achten) DNS im DHCP-Record angegeben.

Das Smartphone erhält im GastNetz eine IPV4 und eine IPV6 Adresse.
mbehrens
mbehrens 25.07.2023 um 17:50:18 Uhr
Goto Top
Zitat von @DGI-SysAdm:

Stellt man allerdings mit einem Android-Smartphone eine Verbindung (zum GastNetz) her, so funktioniert der Aufruf einer Kontrollwebseite (https:/ /TelefonieServerName:7225) nicht. Ersetzt man den TelefonieServerNamen durch dessen IP funktioniert die Anzeige der Webseite.
Schaue ich auf dem Smartphone in die WLAN-Einstellungen (und stelle diese temporär von DHCP auf statisch), dann wird mir dort der korrekte DNS angezeigt und die Namensauflösung und damit auch die Anzeige der o.g. Webseite funktionieren problemlos, sobald ich zurück auf DHCP wechsele wieder nicht.

Gerne versuchen solche Endgeräte direkt mit den Google DNS Servern zu kommunizieren, auch wenn per DHCP etwas anderes angeboten wird.

Auch die neuen Spielarten in Form von DoT oder DoH könnten eine Rolle spielen.
HansFenner
HansFenner 25.07.2023 um 17:58:29 Uhr
Goto Top
Was sagt denn dein DHCP Server Log? Kommen dort die Anfragen an und wird ein Lease vergeben?
DGI-SysAdm
DGI-SysAdm 25.07.2023 um 17:59:47 Uhr
Goto Top
Gerne versuchen solche Endgeräte direkt mit den Google DNS Servern zu kommunizieren, auch wenn per DHCP etwas anderes angeboten wird.

Aber das kann doch nicht so gewollt sein, oder ?
(Nein, es ist kein Pixel Smartphone face-wink )

Auch die neuen Spielarten in Form von DoT oder DoH könnten eine Rolle spielen.

Du meinst, dass das Smartphone nur "sicheren" DNS machen möchte ?
Ich könnte ja mal versuchen den BIND auf "DNS over TLS" zu konfigurieren, mE steht die dnssec-validation aber auf auto ...
DGI-SysAdm
DGI-SysAdm 25.07.2023 aktualisiert um 18:04:02 Uhr
Goto Top
Was sagt denn dein DHCP Server Log? Kommen dort die Anfragen an und wird ein Lease vergeben?

Ja natürlich, das Smartphone bekommt eine IP und den ganzen Rest (Standardgateway, DNS) aus dem GastNetz ("Schaue ich auf dem Smartphone in die WLAN-Einstellungen (und stelle diese temporär von DHCP auf statisch), dann wird mir dort der korrekte DNS angezeigt").

Auf dem Smartphone kann ich auch über ein Tool direkt eine Anfrage an meinen DNS stellen - die korrekt beantwortet wird.
Lochkartenstanzer
Lochkartenstanzer 25.07.2023 um 18:10:12 Uhr
Goto Top
Zitat von @DGI-SysAdm:

Mein DHCP hat nur die Möglichkeit IPV4-Einträge für DNS zu setzen, folglich wird hier die IPV4 Adresse propagiert.

Moin

Dann ändere das und nimm einen besseren dhcp-server.

lks
aqui
aqui 25.07.2023 aktualisiert um 18:25:01 Uhr
Goto Top
Hast du auch einmal andere Smartphones oder alternativ mal einen Laptop im Gastnetz getestet oder andere Browser auf dem betreffenden Smartphone? Einige Browser haben hardgecodete DoH (oder DoT) DNS Server die dann unabhängig vom System DNS nur den implementierten des Browsers nutzen. Damit umgeht man deinen per System gelernten DNS. Oftmals wird das mit Security Argumenten positiv verkauft.
https://support.mozilla.org/en-US/kb/firefox-dns-over-https

Sinnvoll und üblich wäre gewesen den DNS Traffic des Smartphones einmal mit dem Wireshark Sniffer zu betrachten. Das verrät dann eindeutig welche anderen DNS Server dieses Smartphone oder sein Browser noch befragt. Einfache Idee auf die man als Admin eigentlich auch von selbst kommt. face-wink

Der Einwand des Kollegen @lks ist aber auch richtig. Du solltest natürlich auch kontrollieren sofern IPv6 im Gastnetz zum Einsatz kommt das dort ebenfalls die IPv6 Adresse deines Ubuntu Servers als IPv6 DNS an die Clients propagiert wird. v6 hat bekanntlich immer Priorität vor v4!
nslookup ist hier wie immer dein bester Freund. Eine Tools App wie die bekannten HE.NET Tools sind hier, wie immer, sehr hilfreich!
DGI-SysAdm
DGI-SysAdm 25.07.2023 um 18:19:17 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Dann ändere das und nimm einen besseren dhcp-server.

Könntest Du (mir Unwissendem) bitte deinen Kommentar erläutern?

Du meinst, dass Smartphone hat eine IPV4 und eine IPV6 Adresse und bekommt per per DHCP nur IPV4 Adressen für Standardgateway und DNS und somit im IPV6-Umfeld völlig "kopflos" ?

Komischerweise funktioniert alles bis auf diese eine DNS-Auflösung ...
DGI-SysAdm
DGI-SysAdm 25.07.2023 um 18:27:15 Uhr
Goto Top
Hast du auch einmal andere Smartphones getestet oder andere Browser auf dem betreffenden Smartphone? Einige Browser haben hardgecodete DoH (oder DoT) DNS Server die dann unabhängig vom System DNS nur den implementierten des Browsers nutzen. Damit umgeht man deinen per System gelernten DNS. Oftmals wird das mit Security Argumenten positiv verkauft.

Ja, auch andere Android-Smartphones haben das Thema. Der Browser ist nur die Vorstufe. Letztendlich gibt es eine SoftPhoneApp, die genau auf diesen Port schaut - die kann den Namen auch nicht auflösen.
Es scheint, als ob "ganz unten im System" sich einen Dreck um meinen DNS-Eintrag geschert wird face-wink

Sinnvoll und üblich wäre gewesen den DNS Traffic des Smartphones einmal mit dem Wireshark Sniffer zu betrachten. Das verrät dann eindeutig welche anderen DNS Server dieses Smartphone oder sein Browser noch befragt. Einfache Idee auf die man als Admin eigentlich auch von selbst kommt. face-wink

Ja, das ist dann die Tiefenanalyse - ich hatte mit meiner Frage eher auf "Ja, das ist normal, im siebzehnten Untermenü der Einstellungen gibt es eine Option, der bringt das Smartphone auch wirklich dazu den propagierten DNS zu nehmen".
Damit würde ich auch nur rausfinden, daß er NICHT meinen DNS befragt - wäre aber immer noch keine Lösung face-wink
mbehrens
mbehrens 25.07.2023 um 18:44:13 Uhr
Goto Top
Zitat von @DGI-SysAdm:

Gerne versuchen solche Endgeräte direkt mit den Google DNS Servern zu kommunizieren, auch wenn per DHCP etwas anderes angeboten wird.

Aber das kann doch nicht so gewollt sein, oder ?
(Nein, es ist kein Pixel Smartphone face-wink )

Warum nicht, auch solche Daten haben ihren Wert face-wink

Auch die neuen Spielarten in Form von DoT oder DoH könnten eine Rolle spielen.

Du meinst, dass das Smartphone nur "sicheren" DNS machen möchte ?
Ich könnte ja mal versuchen den BIND auf "DNS over TLS" zu konfigurieren, mE steht die dnssec-validation aber auf auto ...

Wireshark dürfte bei beiden Fragen helfen.
aqui
aqui 25.07.2023 aktualisiert um 18:51:48 Uhr
Goto Top
im siebzehnten Untermenü der Einstellungen gibt es eine Option
Die gibt es auch, denn man kann dort auch immer einen Opt Out definieren das im Browser weiter der System DNS verwendet wird. Normalerweise bei seriösen Herstellern wird keiner gezwungen diese Funktion zu nutzen. Im Gegenteil...
In Firmentelefonen wäre das so oder so ein NoGo, denn das aktiviert oder deaktiviert auch DNS Filter je nachdem aus welcher Sicht man das gibt. Aber auch sonst könnte dir ungewollter Content untergeschoben werden. Wer will sowas??
Android ist bekanntlich kein homogenes System wie iOS. Folglich ist es bei dem einen das 17te beim anderen das 12te und bei wieder einem das 5te Menü. Bei einigen chinesischen Herstellern gibt es gar kein Menü, weil man dort sehen möchte WO sich der Besitzer so rumtreibt und welche Inhalte er konsumiert. Das ist bekanntlich der Preis den man bei Android zahlen muss...
wäre aber immer noch keine Lösung
Um zu einer Lösung zu kommen musst du ja erstmal die Ursache kennen. 10 Minuten Wireshark würde zumindestens deutlich mehr Klarheit schaffen für eine mögliche Lösung. Ebenso die Support Hotline des Smartphoneherstellers. Was das mit "Tiefenanalyse" zu tun hat bleibt schleierhaft.
Das oben klingt eher ein bisschen nach hilflosem Kristalkugeln. Nichtmal die IPv6 Thematik konntest du sicher klären. DNS Adressen kommen dort bekanntlich nicht nur vom DHCP.
Strategisches Vorgehen hilft... face-wink
HansFenner
HansFenner 25.07.2023 aktualisiert um 18:55:40 Uhr
Goto Top
Zitat von @DGI-SysAdm:

Du meinst, dass Smartphone hat eine IPV4 und eine IPV6 Adresse und bekommt per per DHCP nur IPV4 Adressen für Standardgateway und DNS und somit im IPV6-Umfeld völlig "kopflos" ?

Könnte man so sagen. Android unterstützt bis heute trotz ewiger Diskussionen kein DHCPv6. Aber hast du überhaupt einen DHCPv6 Server?

DNS für IPv6 akzeptiert Android nur über RA, der Gateway wird sowieso über RA bekannt gemacht.

Wie schaut es bei deinem Bind Server aus? Das Query Log? Ich gehe mal davon aus, dass die Anfragen gar nicht ankommen, aber wer weiss, vielleicht werden Sie nur abgewiesen.

Für Android gibt's ja noch viele schöne Apps, wie z.B. Net Analyzer und andere. Die sind manchmal recht hilfreich. Damit kann man auch Ping, Traceroute und DNS Anfragen machen.
LordGurke
LordGurke 25.07.2023 um 21:55:38 Uhr
Goto Top
Darf ich fragen, was du als Domain/TLD verwendest?
Wenn deine Namen auf ".local" enden, wäre das dein Problem.
HansDampf06
Lösung HansDampf06 25.07.2023 um 23:02:17 Uhr
Goto Top
Es ist ja bereits erwähnt worden, dass bei den Browsern durchaus diese DNS-Vorgaben vorhanden sind und man diese manuell deaktivieren muss.

Wenn ich mich dunkel richtig erinnere, könnte es das möglicherweise auch auf der Android-Ebene geben. Vor längerer Zeit hatte ich auch einmal Wunderlichkeiten beim Smartphone mit der DNS-Auflösung, die an einer systeminternen Vorgabe lag. Ich erinnere aber nicht mehr hinreichend, ob es nur der Browser oder Android insgesamt war, wobei ich eher zu letzterem neigen.
Deswegen solltest Du einmal, wie bereits @aqui andeutete, auch auf Android-Systemebene die Netzwerkeinstellungen kontrollieren und, welche DNS-Server in den Systeminformationen benannt werden.

Viele Grüße
HansDampf06
Spirit-of-Eli
Lösung Spirit-of-Eli 25.07.2023, aktualisiert am 26.07.2023 um 09:51:30 Uhr
Goto Top
Moin,

da noch nicht erwähnt schlage ich vor das Feature "Private DNS" unter Android zu deaktivieren.
Dadurch werden ggf. Deine anfragen getunnelt. Wenn das nicht schon per MDM deaktiviert wurde.

Gruß
Spirit
aqui
aqui 26.07.2023 um 09:28:18 Uhr
Goto Top
Wenn deine Namen auf ".local" enden, wäre das dein Problem.
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
DGI-SysAdm
DGI-SysAdm 26.07.2023 um 11:22:20 Uhr
Goto Top
Inzwischen bin ich dank einiger hilfreicher Kommentare einen Schritt weiter ...

  • Out-Of-The-Box kommen beim Smartphone die DNS Anfragen nicht bei meinem DNS an, obwohl der DNS per DHCP an das Smartphone übergeben wird (=> Logs vom BIND)
  • deaktiviere ich den "Private DNS" auf dem Smartphone funktioniert die Anmeldung von SoftPhoneClient (also scheint der Client zumindest den Namen richtig auflösen zu können)
  • aus den Browsern (inzwischen teste ich mit 3 verschiedenen) kann ich aber per https nicht auf den Telefonieserver zugreifen und im Log des BIND ist gähnende Leere und in den Einstellungen der Browser habe ich keinen hinterlegten abweichenden DNS gefunden

Es scheint also ein Zusammenspiel von "Private DNS" und den Browsern zu sein - wenn ich das in der Tiefe ergründet habe, teile ich gerne mein Wissen. Das IPV6 Thema scheidet aber mE erst mal aus ...

Und Nein, natürlich endet die Namen nicht auf ".local" face-wink

Also erst mal einen besonderen Dank an @HansFenner (Anstupser zum BIND-Query-Log) und @Spirit-of-Eli (Private DNS).
Spirit-of-Eli
Spirit-of-Eli 26.07.2023 um 12:00:19 Uhr
Goto Top
Du kannst auch einfach in der Gateway FW alle anderen DNS Verbindungen nach extern blockieren.
Also 53 Inc der ganzen Tunnel Geschichten. Solltet ihr eine APP FW nutzen, kannst du auch DNSoHTTPs blockieren.
DGI-SysAdm
DGI-SysAdm 26.07.2023 um 13:46:27 Uhr
Goto Top
Du kannst auch einfach in der Gateway FW alle anderen DNS Verbindungen nach extern blockieren.
Also 53 Inc der ganzen Tunnel Geschichten. Solltet ihr eine APP FW nutzen, kannst du auch DNSoHTTPs blockieren.

Nunja, wir sprechen von einem Gastnetz, da sind die User mit ihren Privathandys drin .... deshalb auch komplett geschottet und "nur" Internet und nur den einen Port zum SoftPhoneServer auf separatem "Beinchen".
Auf deren Handys möchte ich ehrlich gesagt so wenig wie möglich machen - und die User damit auch nicht überfordern face-wink
Spirit-of-Eli
Spirit-of-Eli 26.07.2023 um 13:49:29 Uhr
Goto Top
Zitat von @DGI-SysAdm:

Du kannst auch einfach in der Gateway FW alle anderen DNS Verbindungen nach extern blockieren.
Also 53 Inc der ganzen Tunnel Geschichten. Solltet ihr eine APP FW nutzen, kannst du auch DNSoHTTPs blockieren.

Nunja, wir sprechen von einem Gastnetz, da sind die User mit ihren Privathandys drin .... deshalb auch komplett geschottet und "nur" Internet und nur den einen Port zum SoftPhoneServer auf separatem "Beinchen".
Auf deren Handys möchte ich ehrlich gesagt so wenig wie möglich machen - und die User damit auch nicht überfordern face-wink

Wieso auf dem Handy? Ich hoffe du hast die Hoheit über das Netz und der Perimeter Firewall.
Auf dem Handy sollst du nichts ändern. Wobei ich mich schon frage warum Gäste auf eure TK zugreifen können sollen dürfen.
DGI-SysAdm
DGI-SysAdm 26.07.2023 um 14:02:49 Uhr
Goto Top
Nunja, wir sprechen von einem Gastnetz, da sind die User mit ihren Privathandys drin .... deshalb auch komplett geschottet und "nur" Internet und nur den einen Port zum SoftPhoneServer auf separatem "Beinchen".
Auf deren Handys möchte ich ehrlich gesagt so wenig wie möglich machen - und die User damit auch nicht überfordern face-wink

Wieso auf dem Handy? Ich hoffe du hast die Hoheit über das Netz und der Perimeter Firewall.
Auf dem Handy sollst du nichts ändern. Wobei ich mich schon frage warum Gäste auf eure TK zugreifen können sollen dürfen.

Ja habe ich - Gastnetz ist vielleicht verwirrend, dort tummeln sich die Mitarbeiter mit ihren Privatgeräten, wenn sie Internetzugang benötigen (also quasi jeder mit seinem Handy und seinem WhatsApp-Facebook-SonstwasKram).
Gäste haben wir nicht ...

Und ja, das ist von GF so gewollt face-wink

Natürlich läuft das über die FW mit URL- und Contentcheck.
Spirit-of-Eli
Spirit-of-Eli 26.07.2023 um 14:08:32 Uhr
Goto Top
Dann richte einfach eine Regel wie vorgeschlagen ein und lass die Geräte nur noch auf Düren DNS Server.
DGI-SysAdm
DGI-SysAdm 26.07.2023 um 14:13:27 Uhr
Goto Top
Dann richte einfach eine Regel wie vorgeschlagen ein und lass die Geräte nur noch auf Düren DNS Server.

Prinzipiell ne gute Idee, muss ich mal versuchen den 53er für das Netz zu blocken.
Ich befürchte nur, dass die Handys dann gar nix mehr aufgelöst bekommen, da die anfragen ja nicht bei meinem DNS ankommen - aber vielleicht gilt: wenn nicht der Eingebaute erreichbar, dann der erste per DHCP erhaltene DNS.
HansFenner
HansFenner 26.07.2023 um 14:45:27 Uhr
Goto Top
Jetzt wäre natürlich wieder ein Trafficmitschnitt und die nachträgliche Analyse mit Wireshark Gold wert.

Moderne (professionellere) AP, Switches, Router, Firewalls können das und speichern den Mitschnitt als File zum Download ab. Danach kann man das mit Wireshark anschauen und weiss was Sache ist.
aqui
aqui 26.07.2023 aktualisiert um 15:18:52 Uhr
Goto Top
Geht auch mit jedem einfachen Switch und einem Mirrorport das den WLAN AP Port spiegelt. face-wink
https://www.heise.de/select/ct/2020/4/2000808565231407370
aqui
aqui 12.08.2023 um 17:00:39 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
DGI-SysAdm
DGI-SysAdm 24.08.2023 um 13:28:35 Uhr
Goto Top
Hier nun die Quintessenz des Ganzen:

das Problem war die "myPrivatDNS"-Option auf den Smartphones, schaltet man diese aus, werden auch die vom DHCP propagierten DNS-Server angefragt.
Diese Option gibt es auf älteren Smartphones nicht - dort funktioniert der SoftphoneClient "OutOfTheBox".
Da ich auf den "private" Smartphones natürlich so wenig wie möglich konfigurieren möchte, habe ich das Tool "DNS Changer - Lilly" von Aykut Çevik ausgebuddelt.
Dort kann man einen DNS-Server hinterlegen und die User können diese App vor dem Smartphone-Client starten und somit den "lokalen DNS" erzwingen.
Letztendlich ist es ein Workaround.
Eine Doku wie diese "myPrivateDNS"-Option im Setting "Automatisch" funktioniert, habe ich leider nicht gefunden.