Tablet und Handy im gleichen WLAN verhalten sich unterschiedlich

Mitglied: Swister

Swister (Level 1) - Jetzt verbinden

07.04.2021 um 18:12 Uhr, 608 Aufrufe, 7 Kommentare

Hallo,

Ich habe in meinem Netzwerk eine Fritzbox 7590, den DNS-Server pihole (ist auch DHCP-Server) und eine Synology NAS die von extern erreichbar ist. (xxx.privatedns.org)
Wenn ich vom Handy aus die Domain xxx.privatedns.org aufrufe, erhalte ich die Rückmeldung von der NAS, auch kann ich meinen Picapport-Server über xxx.privatedns.org:8888/picapport aufrufen.
Mache ich das gleiche vom Tablet aus, erhalte ich beim Aufruf von xxx.privatedns.org auch die Rückmeldung der NAS, aber beim Aufruf von xxx.privatedns.org:8888/picapport sagt mir das Tablet immer "Fehler: Verbindung fehlgeschlagen".

Wenn ich über die App "PingTools" einen Traceroute zu xxx.privatedns.org vom Handy aus ausführe komme ich über einen Hop direkt zu xxx.privatedns.org.
Mache ich das gleiche vom Tablet aus, geht es erst zur Fritzbox und dann zu xxx.t-ipconnect.de (meine externe IP-Adresse). Hier werden schonmal zwei Hops benötigt.
Ich habe daraufhin beide Geräte in der Fritzbox zurückgesetzt, aber das Problem bleibt das gleiche. (Die Geräte bekommen die gleiche IP, da das im pihole so hinterlegt ist, weiß nicht ob das wichtig ist.)

Das Handy und das Tablet befinden sich im gleichen WLAN.
In der Fritzbox habe ich die Domain xxx.privatedns.org unter "DNS-Rebind-Schutz" eingetragen.

Warum kann ich den Picapport-Server vom Tablet nicht aufrufen?
Habt Ihr eine Idee was das sein kann? Ich komm leider nicht drauf.

Beim Tablet handelt es sich um ein Samsung Galaxy Tab S2. Das Handy ist ein Huawei Mate 10.

Gruß Swister
Mitglied: cykes
07.04.2021 um 19:12 Uhr
Nabend,

hört sich irgendwie nach einem DNS-Problem an, Mobiltelefon löst vermutlich mit der internen/lokalen IP auf und Tablet aus noch zu ermitteldem Grund über die externe/öffentliche IP an Deinem Anschluss.

Ggf. mal den pihole checken, ob der das (nur für das Tablet) weiterleitet.
Als Gegenprobe mal auf dem Tablet <IP vom NAS>:8888/picapport aufrufen, funktioniert das?

Gruß

cykes
Bitte warten ..
Mitglied: aqui
07.04.2021, aktualisiert um 19:32 Uhr
Ist eine Folge des NAT Hairpinning:
https://en.wikipedia.org/wiki/Network_address_translation#NAT_hairpinnin ...
Die FB vermutet eine DNS Rebind Attacke und blockt den Zugriff.
Sehr wahrscheinlich wird es fehlerfrei funkionieren wenn der TO statt des öffentlichen Hostnamens die lokale IP Adresse des NAS ala 192.168.178.x:8888/picapport angibt solange er sich im eigenen Netz befindet. Klappt das bestätigt es das Hairpinning Problem !
Bitte warten ..
Mitglied: tikayevent
07.04.2021 um 19:56 Uhr
Kann es sein, dass ein Gerät DNS over TLS oder DNS over HTTPS nutzt, während das andere Gerät einfach nur den DNS-Resolver der Fritzbox nutzt?
Bitte warten ..
Mitglied: Swister
07.04.2021 um 21:18 Uhr
Zitat von @aqui:

Ist eine Folge des NAT Hairpinning:
https://en.wikipedia.org/wiki/Network_address_translation#NAT_hairpinnin ...
Die FB vermutet eine DNS Rebind Attacke und blockt den Zugriff.
Sehr wahrscheinlich wird es fehlerfrei funkionieren wenn der TO statt des öffentlichen Hostnamens die lokale IP Adresse des NAS ala 192.168.178.x:8888/picapport angibt solange er sich im eigenen Netz befindet. Klappt das bestätigt es das Hairpinning Problem !

Ist nicht für das NAT-Hairpinning Problem der "DNS-Rebind-Schutz"?
Mit der lokalen IP-Adresse bekomme ich Zugriff.


Zitat von @tikayevent:

Kann es sein, dass ein Gerät DNS over TLS oder DNS over HTTPS nutzt, während das andere Gerät einfach nur den DNS-Resolver der Fritzbox nutzt?

Das könnte evtl. sein. Werde das mal deaktivieren und testen.

Swister
Bitte warten ..
Mitglied: Swister
07.04.2021 um 21:29 Uhr
Zitat von @tikayevent:

Kann es sein, dass ein Gerät DNS over TLS oder DNS over HTTPS nutzt, während das andere Gerät einfach nur den DNS-Resolver der Fritzbox nutzt?

Ja, es liegt an DoT. Wenn ich das in der Fritzbox deaktiviere kann ich über die Adresse xxx.privatedns.org zugreifen.
Was kann ich jetzt machen ohne DoT zu deaktivieren?
Bitte warten ..
Mitglied: tikayevent
07.04.2021 um 21:45 Uhr
Vermutlich gar nichts, außer einen eigenen Server hochziehen, aber dafür kenn ich mich zu wenig damit aus.
Bitte warten ..
Mitglied: altmetaller
07.04.2021, aktualisiert um 22:33 Uhr
Hallo,

korrekt wäre, die Hostnames im Pi-Hole auf die internen IPs zu mappen.

Lokale Dienste über die eigene externe IP ansprechen war noch niemals klug.

Ebensowenig wie lokale Dienste ohne VPN anzusprechen.

Gruß,
Jörg
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 16 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 23 StundenFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...