DNS-Auflösung eines Smartphones im eigenen WLAN
Liebe Gemeinde ...
... folgendes Problem.
Wir bieten unseren Usern eine SoftPhone-Lösung an. Der dazugehörige Server hat "zwei Beinchen", eines im normalen FirmenLAN, eines im GastLAN/WLAN (GastNetz) und lauscht jeweils auf Port 7225. Firmen- und GastLAN sind getrennt und besitzten unterschiedliche IP-Ranges.
Im FirmenLAN ist alles chic, der Server wird sauber aufgelöst.
Im GastNetz habe ich einen DNS laufen (BIND9 auf Ubuntu), der mit den Telefonie-Server intern auflöst. Der DNS wird per DHCP für das GastNetz propagiert.
Verbindet man sich nun mit einem Laptop in dieses GastNetz und schaut sich mit nslookup um, funktioniert die Namensauflösung wunderbar.
Stellt man allerdings mit einem Android-Smartphone eine Verbindung (zum GastNetz) her, so funktioniert der Aufruf einer Kontrollwebseite (https:/ /TelefonieServerName:7225) nicht. Ersetzt man den TelefonieServerNamen durch dessen IP funktioniert die Anzeige der Webseite.
Schaue ich auf dem Smartphone in die WLAN-Einstellungen (und stelle diese temporär von DHCP auf statisch), dann wird mir dort der korrekte DNS angezeigt und die Namensauflösung und damit auch die Anzeige der o.g. Webseite funktionieren problemlos, sobald ich zurück auf DHCP wechsele wieder nicht.
Untermauern konnte ich das Ganze, in dem ich auf dem Smartphone einen DNS-Changer installiere. Sobald dieser aktiv ist (und auf "meinen" DNS zeigt), funktioniert die Webseite. Ist er deaktiviert, ist wieder Schicht im Schacht.
Nun bin ich leider mit meinem Latein am Ende und hoffe auf eine Erklärung dieses Verhaltens von Android.
Bisher bin ich netzwerktechnisch davon ausgegangen, daß der per DHCP empfange DNS auch befragt wird ... aber man lernt in unserem Job ja nie aus !!!
... folgendes Problem.
Wir bieten unseren Usern eine SoftPhone-Lösung an. Der dazugehörige Server hat "zwei Beinchen", eines im normalen FirmenLAN, eines im GastLAN/WLAN (GastNetz) und lauscht jeweils auf Port 7225. Firmen- und GastLAN sind getrennt und besitzten unterschiedliche IP-Ranges.
Im FirmenLAN ist alles chic, der Server wird sauber aufgelöst.
Im GastNetz habe ich einen DNS laufen (BIND9 auf Ubuntu), der mit den Telefonie-Server intern auflöst. Der DNS wird per DHCP für das GastNetz propagiert.
Verbindet man sich nun mit einem Laptop in dieses GastNetz und schaut sich mit nslookup um, funktioniert die Namensauflösung wunderbar.
Stellt man allerdings mit einem Android-Smartphone eine Verbindung (zum GastNetz) her, so funktioniert der Aufruf einer Kontrollwebseite (https:/ /TelefonieServerName:7225) nicht. Ersetzt man den TelefonieServerNamen durch dessen IP funktioniert die Anzeige der Webseite.
Schaue ich auf dem Smartphone in die WLAN-Einstellungen (und stelle diese temporär von DHCP auf statisch), dann wird mir dort der korrekte DNS angezeigt und die Namensauflösung und damit auch die Anzeige der o.g. Webseite funktionieren problemlos, sobald ich zurück auf DHCP wechsele wieder nicht.
Untermauern konnte ich das Ganze, in dem ich auf dem Smartphone einen DNS-Changer installiere. Sobald dieser aktiv ist (und auf "meinen" DNS zeigt), funktioniert die Webseite. Ist er deaktiviert, ist wieder Schicht im Schacht.
Nun bin ich leider mit meinem Latein am Ende und hoffe auf eine Erklärung dieses Verhaltens von Android.
Bisher bin ich netzwerktechnisch davon ausgegangen, daß der per DHCP empfange DNS auch befragt wird ... aber man lernt in unserem Job ja nie aus !!!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7948672890
Url: https://administrator.de/forum/dns-aufloesung-eines-smartphones-im-eigenen-wlan-7948672890.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
30 Kommentare
Neuester Kommentar
Zitat von @DGI-SysAdm:
Stellt man allerdings mit einem Android-Smartphone eine Verbindung (zum GastNetz) her, so funktioniert der Aufruf einer Kontrollwebseite (https:/ /TelefonieServerName:7225) nicht. Ersetzt man den TelefonieServerNamen durch dessen IP funktioniert die Anzeige der Webseite.
Schaue ich auf dem Smartphone in die WLAN-Einstellungen (und stelle diese temporär von DHCP auf statisch), dann wird mir dort der korrekte DNS angezeigt und die Namensauflösung und damit auch die Anzeige der o.g. Webseite funktionieren problemlos, sobald ich zurück auf DHCP wechsele wieder nicht.
Schaue ich auf dem Smartphone in die WLAN-Einstellungen (und stelle diese temporär von DHCP auf statisch), dann wird mir dort der korrekte DNS angezeigt und die Namensauflösung und damit auch die Anzeige der o.g. Webseite funktionieren problemlos, sobald ich zurück auf DHCP wechsele wieder nicht.
Gerne versuchen solche Endgeräte direkt mit den Google DNS Servern zu kommunizieren, auch wenn per DHCP etwas anderes angeboten wird.
Auch die neuen Spielarten in Form von DoT oder DoH könnten eine Rolle spielen.
Zitat von @DGI-SysAdm:
Mein DHCP hat nur die Möglichkeit IPV4-Einträge für DNS zu setzen, folglich wird hier die IPV4 Adresse propagiert.
Mein DHCP hat nur die Möglichkeit IPV4-Einträge für DNS zu setzen, folglich wird hier die IPV4 Adresse propagiert.
Moin
Dann ändere das und nimm einen besseren dhcp-server.
lks
Hast du auch einmal andere Smartphones oder alternativ mal einen Laptop im Gastnetz getestet oder andere Browser auf dem betreffenden Smartphone? Einige Browser haben hardgecodete DoH (oder DoT) DNS Server die dann unabhängig vom System DNS nur den implementierten des Browsers nutzen. Damit umgeht man deinen per System gelernten DNS. Oftmals wird das mit Security Argumenten positiv verkauft.
https://support.mozilla.org/en-US/kb/firefox-dns-over-https
Sinnvoll und üblich wäre gewesen den DNS Traffic des Smartphones einmal mit dem Wireshark Sniffer zu betrachten. Das verrät dann eindeutig welche anderen DNS Server dieses Smartphone oder sein Browser noch befragt. Einfache Idee auf die man als Admin eigentlich auch von selbst kommt.
Der Einwand des Kollegen @lks ist aber auch richtig. Du solltest natürlich auch kontrollieren sofern IPv6 im Gastnetz zum Einsatz kommt das dort ebenfalls die IPv6 Adresse deines Ubuntu Servers als IPv6 DNS an die Clients propagiert wird. v6 hat bekanntlich immer Priorität vor v4!
nslookup ist hier wie immer dein bester Freund. Eine Tools App wie die bekannten HE.NET Tools sind hier, wie immer, sehr hilfreich!
https://support.mozilla.org/en-US/kb/firefox-dns-over-https
Sinnvoll und üblich wäre gewesen den DNS Traffic des Smartphones einmal mit dem Wireshark Sniffer zu betrachten. Das verrät dann eindeutig welche anderen DNS Server dieses Smartphone oder sein Browser noch befragt. Einfache Idee auf die man als Admin eigentlich auch von selbst kommt.
Der Einwand des Kollegen @lks ist aber auch richtig. Du solltest natürlich auch kontrollieren sofern IPv6 im Gastnetz zum Einsatz kommt das dort ebenfalls die IPv6 Adresse deines Ubuntu Servers als IPv6 DNS an die Clients propagiert wird. v6 hat bekanntlich immer Priorität vor v4!
nslookup ist hier wie immer dein bester Freund. Eine Tools App wie die bekannten HE.NET Tools sind hier, wie immer, sehr hilfreich!
Zitat von @DGI-SysAdm:
Aber das kann doch nicht so gewollt sein, oder ?
(Nein, es ist kein Pixel Smartphone )
Gerne versuchen solche Endgeräte direkt mit den Google DNS Servern zu kommunizieren, auch wenn per DHCP etwas anderes angeboten wird.
Aber das kann doch nicht so gewollt sein, oder ?
(Nein, es ist kein Pixel Smartphone )
Warum nicht, auch solche Daten haben ihren Wert
Auch die neuen Spielarten in Form von DoT oder DoH könnten eine Rolle spielen.
Du meinst, dass das Smartphone nur "sicheren" DNS machen möchte ?
Ich könnte ja mal versuchen den BIND auf "DNS over TLS" zu konfigurieren, mE steht die dnssec-validation aber auf auto ...
Wireshark dürfte bei beiden Fragen helfen.
im siebzehnten Untermenü der Einstellungen gibt es eine Option
Die gibt es auch, denn man kann dort auch immer einen Opt Out definieren das im Browser weiter der System DNS verwendet wird. Normalerweise bei seriösen Herstellern wird keiner gezwungen diese Funktion zu nutzen. Im Gegenteil...In Firmentelefonen wäre das so oder so ein NoGo, denn das aktiviert oder deaktiviert auch DNS Filter je nachdem aus welcher Sicht man das gibt. Aber auch sonst könnte dir ungewollter Content untergeschoben werden. Wer will sowas??
Android ist bekanntlich kein homogenes System wie iOS. Folglich ist es bei dem einen das 17te beim anderen das 12te und bei wieder einem das 5te Menü. Bei einigen chinesischen Herstellern gibt es gar kein Menü, weil man dort sehen möchte WO sich der Besitzer so rumtreibt und welche Inhalte er konsumiert. Das ist bekanntlich der Preis den man bei Android zahlen muss...
wäre aber immer noch keine Lösung
Um zu einer Lösung zu kommen musst du ja erstmal die Ursache kennen. 10 Minuten Wireshark würde zumindestens deutlich mehr Klarheit schaffen für eine mögliche Lösung. Ebenso die Support Hotline des Smartphoneherstellers. Was das mit "Tiefenanalyse" zu tun hat bleibt schleierhaft.Das oben klingt eher ein bisschen nach hilflosem Kristalkugeln. Nichtmal die IPv6 Thematik konntest du sicher klären. DNS Adressen kommen dort bekanntlich nicht nur vom DHCP.
Strategisches Vorgehen hilft...
Zitat von @DGI-SysAdm:
Du meinst, dass Smartphone hat eine IPV4 und eine IPV6 Adresse und bekommt per per DHCP nur IPV4 Adressen für Standardgateway und DNS und somit im IPV6-Umfeld völlig "kopflos" ?
Du meinst, dass Smartphone hat eine IPV4 und eine IPV6 Adresse und bekommt per per DHCP nur IPV4 Adressen für Standardgateway und DNS und somit im IPV6-Umfeld völlig "kopflos" ?
Könnte man so sagen. Android unterstützt bis heute trotz ewiger Diskussionen kein DHCPv6. Aber hast du überhaupt einen DHCPv6 Server?
DNS für IPv6 akzeptiert Android nur über RA, der Gateway wird sowieso über RA bekannt gemacht.
Wie schaut es bei deinem Bind Server aus? Das Query Log? Ich gehe mal davon aus, dass die Anfragen gar nicht ankommen, aber wer weiss, vielleicht werden Sie nur abgewiesen.
Für Android gibt's ja noch viele schöne Apps, wie z.B. Net Analyzer und andere. Die sind manchmal recht hilfreich. Damit kann man auch Ping, Traceroute und DNS Anfragen machen.
Es ist ja bereits erwähnt worden, dass bei den Browsern durchaus diese DNS-Vorgaben vorhanden sind und man diese manuell deaktivieren muss.
Wenn ich mich dunkel richtig erinnere, könnte es das möglicherweise auch auf der Android-Ebene geben. Vor längerer Zeit hatte ich auch einmal Wunderlichkeiten beim Smartphone mit der DNS-Auflösung, die an einer systeminternen Vorgabe lag. Ich erinnere aber nicht mehr hinreichend, ob es nur der Browser oder Android insgesamt war, wobei ich eher zu letzterem neigen.
Deswegen solltest Du einmal, wie bereits @aqui andeutete, auch auf Android-Systemebene die Netzwerkeinstellungen kontrollieren und, welche DNS-Server in den Systeminformationen benannt werden.
Viele Grüße
HansDampf06
Wenn ich mich dunkel richtig erinnere, könnte es das möglicherweise auch auf der Android-Ebene geben. Vor längerer Zeit hatte ich auch einmal Wunderlichkeiten beim Smartphone mit der DNS-Auflösung, die an einer systeminternen Vorgabe lag. Ich erinnere aber nicht mehr hinreichend, ob es nur der Browser oder Android insgesamt war, wobei ich eher zu letzterem neigen.
Deswegen solltest Du einmal, wie bereits @aqui andeutete, auch auf Android-Systemebene die Netzwerkeinstellungen kontrollieren und, welche DNS-Server in den Systeminformationen benannt werden.
Viele Grüße
HansDampf06
Wenn deine Namen auf ".local" enden, wäre das dein Problem.
Hinweise zur Verwendung der Domäne .local in DNS und mDNSZitat von @DGI-SysAdm:
Nunja, wir sprechen von einem Gastnetz, da sind die User mit ihren Privathandys drin .... deshalb auch komplett geschottet und "nur" Internet und nur den einen Port zum SoftPhoneServer auf separatem "Beinchen".
Auf deren Handys möchte ich ehrlich gesagt so wenig wie möglich machen - und die User damit auch nicht überfordern
Du kannst auch einfach in der Gateway FW alle anderen DNS Verbindungen nach extern blockieren.
Also 53 Inc der ganzen Tunnel Geschichten. Solltet ihr eine APP FW nutzen, kannst du auch DNSoHTTPs blockieren.
Also 53 Inc der ganzen Tunnel Geschichten. Solltet ihr eine APP FW nutzen, kannst du auch DNSoHTTPs blockieren.
Nunja, wir sprechen von einem Gastnetz, da sind die User mit ihren Privathandys drin .... deshalb auch komplett geschottet und "nur" Internet und nur den einen Port zum SoftPhoneServer auf separatem "Beinchen".
Auf deren Handys möchte ich ehrlich gesagt so wenig wie möglich machen - und die User damit auch nicht überfordern
Wieso auf dem Handy? Ich hoffe du hast die Hoheit über das Netz und der Perimeter Firewall.
Auf dem Handy sollst du nichts ändern. Wobei ich mich schon frage warum Gäste auf eure TK zugreifen können sollen dürfen.
Geht auch mit jedem einfachen Switch und einem Mirrorport das den WLAN AP Port spiegelt.
https://www.heise.de/select/ct/2020/4/2000808565231407370
https://www.heise.de/select/ct/2020/4/2000808565231407370
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!