Abhilfe: FRITZ!Box DNS löst lokale Namen falsch auf

Ein seltsames Phänomen ist in letzter Zeit aufgetreten, wenn ich meinen Server im lokalen Netzwerk per Namen ansprechen wollte, also über \\mein-server. Sporadisch dauerte das sehr lange, funktionierte dann aber, manchmal wollte es nach langem Warten auch gar nicht, oft jedoch ging es wie geschmiert.

Ein kurzer Ping-Test ergab, dass der Server zwar über seine statische IP ansprechbar war, beim Anpingen von „mein-server“ wurde jedoch auf eine falsche (nicht existierende) IP aufgelöst. Schuld ist wohl ein Bug im FRITZ!Box DNS-Server.

Dieser lässt sich glücklicherweise leicht beheben. Solltet Ihr also mit der FRITZ!Box Probleme bei der Namensauflösung feststellen, einfach einmal folgendes probieren.

In meinem Fall handelt es sich um eine FRITZ!Box 7390 mit neuster Firmware. Man geht in der Konfigurationsoberfläche auf Heimnetz > Netzwerk > Konfigurationseinstellungen > IPv4-Adressen. Nun verstellt man den DHCP-Adressbereich z.B. auf ein Intervall von 20 bis 30 und klickt auf OK.  Hierbei ist darauf zu achten, dass der neue Adressbereich auf keinen Fall die von der FRITZ!Box falsch gemerkte IP enthält (danke an Arne für den Hinweis in den Kommentaren).

Nun wieder auf IPv4-Adressen klicken und den alten Adressbereich einstellen. Ein Ping-Test sollte nun wieder die korrekte Namensauflösung zum Server zeigen.

Gefunden habe ich die Lösung übrigens hier. Bemerkenswert ist, dass der Forumseintrag von Januar 2011 stammt. Der Bug existiert also schon seit über einem Jahr.

Update November 2016: Der Bug scheint auch heute – selbst bei der neueren FRITZ!Box 7490 – noch  noch vorhanden zu sein. So einen Bug über 5 Jahre mitzuschleppen muss man ersteinmal schaffen, Hut ab AVM!

Advertisements

30 Gedanken zu „Abhilfe: FRITZ!Box DNS löst lokale Namen falsch auf

  1. Ich hatte genau dasselbe DNS Problem und zwar bei statischen IP Adressen.
    Habe nun das NAS und meinen PC auf DHCP mit IP Reservierung auf der FB eingestellt.
    Seitdem ist das Problem verschwunden.
    Denke es liegt an dem Verbindungsspezifischen DNS Suffix multi.box, welches bei DHCP von der Fritzbox mitverteilt wird.

  2. Hallo!

    Hat irgend jemand schon eine Lösung vom Support bekommen?
    Tritt der Fehler bei jemanden auch auf wenn ihr nur DHCP konfigurierte Geräte verwendet oder sind immer statische IPs mit DHCP gemischt im Einsatz?

    Mein letzter Stand von AVM: Entwicklung schaut, schiebt die Schuld aber immer auf alle Andere 😉

    Beste Grüße, Johannes!

  3. Ich habe zuerst auch gedacht, dass ist ein Bug der seit ewigen Zeiten in der Firmware schlummert und AVM fixt den einfach nicht. Dem scheint aber nicht so zu sein, it’s not a bug, it’s a feature! Die Fritte hat eine – durchaus sinnvolle – Option, die defaultmäßig aktiv ist. Es geht dabei darum, das schon als klassisch zu bezeichnende Angriffsszenario „DNS rebind attack“ zu unterbinden, damit ein Externer nicht den Router kapern kann. Eigentlich eine wirklich alte Kamelle, dieser Heise-Artikel erklärt’s:
    https://www.heise.de/security/artikel/Angepinnt-271004.html

    Und die Implementation in der Fritzbox erklärt AVM hier:
    https://en.avm.de/service/fritzbox/fritzbox-7390/knowledge-base/publication/show/663_No-DNS-resolution-of-private-IP-addresses/

    Das scheint sich nun so auszuwirken, dass die Fritte interne Namen die sie einmal zu einer IP-Adresse aufgelöst hat dort festpinnt, mit dem beobachteten Effekt, der leicht als vermeintlicher Firmwarebug betrachtet wird, der aber genau das Rebinding verhindert.
    Ich hatte diesen Effekt sowohl bei Gerätenamen, bei denen sich irgendwann einmal die zugehörige lokale IP-Adresse geändert hat, von der Fritte aber immer noch auf die alte IP aufgelöst wurden, als sogar auch bei einem Laptop auf dem ich einen DuckDNS-Client installiert hatte und den ich probeweise ins lokale Netz gehängt hatte um zu prüfen ob alles funktioniert. Das tat es zwar, aber als der Laptop dann irgendwo im Internet hing und ich mit dem DuckDNS-Client auf die Maschine drauf wollte, hat die Fritte den DuckDNS-Namen immer noch ins lokale Netz aufgelöst, womit der Schuss dann nach hinten los ging.

    Und hier jetzt die Lösung des Dilemas, zumindest hat es bei mir geholfen (würde mich über Feedback freuen ob es bei anderen auch funktionuckelt hat):
    Man öffne die Konfigurationsseite Heimnetz\Heimnetzübersicht und dort den Tab Netzwerkeinstellungen. Ganz unten befindet sich eine Box „DNS-Rebind-Schutz“ (die erweiterte Ansicht der Fritte muss aktiv sein). Dort trägt man den Namen seiner lokalen Domäne ein (Defaultmäßig ist die Fritte unter „fritz.box“ erreichbar, der Domänenname lautet daher „box“) und klickt auf übernehmen. Jetzt sollte die „kaputte“ Namensauflösung sofort repariert sein und auf die richtigen IP-Adressen auflösen, denn die Fritte hat alle gepinnten IP-Adressen in der angegebenen Domäne aus ihrer internen Pinningliste entfernt.
    Das einfach mal prüfen. Achtung: Damit hat man allerdings den Rebind-Schutz deaktiviert und seine Box unsicher gemacht! Ich habe daher den Domänennamen gleich wieder aus der Box entfernt, denn die Aufgabe die Pinningliste zu bereinigen wurde ja erledigt und auch bei wieder aktiviertem Rebind-Schutz werden die Adressen weiterhin korrekt aufgelöst. Man muss diesen „Trick“ einfach nur im Hinterkopf behalten und erneut anwenden, wenn die Fritte irgendwann mal wieder IP-Adressen unerwünscht gepinnt hat. Wer ganz auf Nummer sicher gehen will führt außerdem das Bereinigen der Pinningliste nur durch, wenn der Browser währenddessen sonst keine anderen Tabs geöffnet hat.

    HTH

    Don

    • Hi Don!

      Danke für den Tipp!

      Ich muss nur checken ob das in meinem Fall auch das Problem ist was du beschrieben hast. AVM hat zumindest noch nichts zum Rebind-Schutz gesagt.

      Mein Problem ist ja meine interne QNAP-NAS (statische IP ausserhalb des DNS-Bereichs)
      Ich weiss nur nicht ob der Rebind Schuld sein kann da mein Problem immer auftritt wenn ich eine virtuelle Maschine auf der QNAP starte und wieder herunterfahre (und die sind alle hinter einem NAT-Switch). Alles funktioniert gut solange die VM läuft, nach dem Herunterfahren habe ich zwei IP Adressen zur NAS wobei der DNS immer auf die falsche zeigt. Wenn ich diese neue IP per nslookup anspreche kommt kein Name zurück.

      LG Johannes!

  4. Hallo zusammen, ich musste vor kurzen auch feststellen, dass auf einmal meine synology Diskstation nicht mehr über den Namen ansprechbar ist. Habe die Fritzbox 7490 mit aktuellster FW in Betrieb. Der workaround hilft nur auf unbestimmte Zeit. Wenn ich mit nslookup Diskstation im cmd suche kommt im normal Fall die korrekte lokale IP. Im Fehlerfall kommt eine IP die mit meinem Netzwerk überhaupt nichts zu tun hat und noch der Zusatz „unautorisierte Antwort“

    Könnt ihr das mit nslookup im Fehlerfall auch so bestätigen oder habe ich ein anderes Problem?

    Vielen Dank!

      • DNS ist auf Auto eingestellt und im Fehlerfall wird mit ipconfig /all die IP der Fritzbox als DNS Server angezeigt. Mit nslookup kommt auch die Fritzbox mit der richtigen IP als Server jedoch als „nicht autorisierte Antwort diskstation.fritz.box mit einer völlig falschen ip…
        ist auch komisch, dass das ganze gut 2 Monate jeden Tag tadellos funktioniert hat…

    • So der Fehler lag klar auf der Fritzbox. ich habe heraus gefunden, dass die zurückgegebene IP, im Fehlerfall, immer zurückgegeben wird, auch wenn man z.B „nslookup jeaohjodj“ eingibt.
      Nachdem ich die Fritzbox auf Werkszustand zurück gestellt hatte und ein Backup ohne Punkt „Heimnetzwerk“ zurück spielte, funktioniert alles wieder.

  5. „geschummelte“ Lösung:
    Wunsch-IP in die Fritz!Box-Maske eintragen und den Server einmal per DHCP beziehen lassen, danach wieder auf feste IP umstellen. Dadurch wird der alte Eintrag überschrieben… geht halt nur da, wo man die Möglichkeit hat die IP des Servers selber zu konfigurieren und es wenig probleme macht, wenn er kurzzeitig nicht erreichbar ist.
    AVM wurde informiert.

  6. Der beschriebene workaroud funktioniert zumindest beim aktuellen FRITZ!OS 06.83 in der Tat nicht mehr.
    Allerdings ist es mir gelungen, über Heimnetz > Heimnetzübersicht > Netzwerkwerkverbindungen und „alle ungenutzten Verbindungen … entfernen“, eine dann wieder funktionierende Namensauflösung hinzubekommen.
    Offensichtlich wird also die Namenstabelle weiterhin nicht korrekt gepflegt, wenn ein existierendes Netzwerkgerät lediglich eine neue IP-Adresse zugewiesen bekommt.

  7. Oktober 2016, FritzBox 7490 mit OS 6.60: der Bug ist noch da, und der Workaround funktioniert nicht mehr.
    Aber weiß AVM überhaupt von dem Bug?

    • Problem tritt auch bei meiner 7490 mit OS 6.60 auf. Bei mir hat geholfen, die IP-Adresse der Box zu ändern und alle Geräte neu zu starten. Anschließend die IP der Box wieder zurückgestellt und die Geräte erneut gestartet, damit die Geräte sich eine neue IP von der Box holen.
      Habe das Problem an den AVM Support gemeldet.

    • Das Problem tritt aktuell auch hier auf: Fritzbox 7390 mit Firmware 6.51:
      1) Die Workarounds funktionieren leider nicht:
      2) der DNS-Server funktioniert nach Zurücksetzen auf die Werkeinstellungen wieder
      3) Nach Einspielen der VPN-Zugänge tritt das Problem erneut auf!
      –> AVM-Support ist informiert!

    • Der Workaround funktioniert, ist aber nicht ganz richtig beschrieben.

      Man muss den IP-Bereich, der von der FritzBox per DHCP verteilt wird, so einschränken, dass die alte, falsche Adresse nicht mehr durch den IP-Bereich abgedeckt ist.

      Beispiel: Deine FritzBox ist so konfiguriert, dass sie IPs im folgenden Bereich vergibt:
      192.168.178.100 – 192.168.178.200.
      Dein Host hatte per DHCP die 192.168.178.133 bekommen, jetzt hast du ihm statisch die 192.168.178.50 zugewiesen. Sollte alles gehen, „ping host“ (oder „ping host -4“, falls du sonst eine IPv6 zurückbekommst) gibt dir aber immer noch 192.168.178.133 zurück.

      Um das Problem zu beheben, musst du die FritzBox-Konfiguration so ändern, dass die IP 192.168.178.133 außerhalb des per DHCP vergebenen Bereichs liegt, also z.B.
      192.168.178.100 – 192.168.178.132, oder
      192.168.178.134 – 192.168.178.200.

      Dann geht’s, auch wenn du anschließend den ursprünglichen Bereich wiederherstellst.

      Ich werde AVM mal eine Mail zu dem Thema schreiben.

      • Nachdem ich AVM die Supportdaten aus meiner 7390 und eine detaillierte Fehlerbeschreibung geschickt habe, haben sie geantwortet, dass sie „das Fehlerbild weiter auf Basis [meiner] Daten untersuchen“ werden, und mir gesagt, dass ich bei den nächsten FritzBox Updates prüfen soll, ob das Problem behoben worden ist.
        Mit anderen Worten, weitere Informationen zu dem Bug werde ich nicht erhalten, und ob und wann der Fehler behoben wird, ist unklar.
        Vielleicht hilft es, wenn weitere User Support-Tickets erstellen, offenbar bin ich ja nicht der Einzige mit dem Problem.

  8. Hallo Marphy, bei mir hat der „Workaround“ ebenfalls geholfen. Danke für den Tipp! Hat mir viel Suche erspart! Übrigens habe ich auch eine Fritz!Box 7390 mit Firmware 05.53 und wir haben Dezember 2013 und der „Bug“ ist immer noch nicht gefixt … Shame on AVM ;(

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s