Rebind-Schutz: Seit UDM Update Probleme mit Fritz!Box und Rebind-Schutz

Es gibt 12 Antworten in diesem Thema, welches 2.321 mal aufgerufen wurde. Der letzte Beitrag () ist von phk.

    Hallo zusammen,


    ich gehöre zur Fraktion derer, die eine eigene Fritz!Box an einem Vodafone-Anschluss mit einer UDM Pro dahinter nutzen. Auf der Fritz!Box ist die UDM Pro in als Exposed Host eingestellt und so wurde bisher aller Internet-Traffic zu dieser durchgeroutet.

    Ich habe eine Reihe an Docker-Webservices in meinem LAN laufen, die bisher von einem nginx-Proxy Manager weitergeleitet wurden.


    Beispiel: Eine Anwendung läuft auf http://192.168.1.118:8282. Wenn ich von unterwegs auf den Domainname service.meinedomain.de zugegriffen habe, wurde die Anfrage von meinem Domainanbieter via CNAME-Record auf meine Dyndns foo.dyndns.org weitergeleitet, welche wiederum auf meine öffentliche IPv4 zeigte. Das übernahm die Fritz!Box (192.168.8.1) und leitete den Traffic an die UDM Pro (192.168.1.1) weiter, auf der eine Portforwarding-Regel eingestellt war, die den Traffic an nginx reverse proxy manager weiterleitete (192.168.1.118). Der war für den letzten Schritt verantwortlich und leitete auf die besagte Docker-Anwendung mit besagtem Port weiter.

    Ich weiß: Alles sehr viel hin und her, aber es funktionierte problemlos. Und das allerwichtigste: Ich konnte sowohl von unterwegs als auch von zuhause auf service.meinedomain.de zugreifen.


    Nun das Komische: Seit dem Upgrade der UDM Pro auf 2.4.27 klappt das nicht mehr. Zwar kann ich weiterhin von unterwegs auf service.meinedomain.de zugreifen - kein Problem! Aber wenn ich aus meinem internen LAN (192.168.1.0/24) auf service.meinedomain.de zugreife, bekomme ich diese Meldung:

    Code
    FRITZ!Box
FRITZ!Box

Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.

Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein.

    Ich kann mir nicht erklären, woran das liegt. Die Fritz!Box hat die gleiche Firmware wie zu der Zeit, als noch alles funktionierte. Auch in den Einstellungen der Fritz!Box habe ich nichts geändert. Das Einzige, was sich geändert hat, war die Firmware auf der UDM Pro, die wie gesagt auf 2.4.27 (vorher 1.irgendwas) geupdated wurde.

    Um es noch skurriler zu machen: Wenn ich die Fritz!Box restarte, funktioniert der Zugriff auf service.meinedomain.de für kurze Zeit (1-2min). Danach kommt wieder obige Meldung mit dem Rebind-Schutz.


    Ich habe stark in Verdacht, dass Unifi mit dem major Upgrade auf 2.4.27 irgendeine Änderung eingeführt hat, die etwas kaputt gemacht hat. Ich kann mir aber nicht erklären, was es ist. Hat jemand von Euch eine Erklärung, was das ist? Vielleicht sogar jemand, der ein ähnliches Setup nutzt?


    Viele Grüße

    p.

    womöglich hilft das

    FRITZ!Box meldet "Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen" | FRITZ!Box 7490
    Beim Versuch, auf die FRITZ!Box oder ein Gerät im Heimnetz über einen eigenen Host- bzw. Domainnamen oder CNAME zuzugreifen, wird die Fehlermeldung angezeigt:…
    avm.de

    Zitat von phk

    ich habe stark in Verdacht, dass Unifi mit dem major Upgrade auf 2.4.27 irgendeine Änderung eingeführt hat, die etwas kaputt gemacht hat.

    Naja, kaputt nun gerade nicht :frowning_face: Im Gegenteil, dies dient zur Verbesserung der Sicherheit, lies mal hier! Du musst also mal schauen, wo Du das in der UDM abschalten, oder eben Ausnahmen eintragen kannst.

    Ich weiß, dass der rebind-Schutz grundsätzlich eine sinnvolle Sache ist. Aber

    1. bin ich mir gar nicht sicher, dass der rebind-Schutz der UDM das Problem ist. Ich bekomme ja die Seite der Fritz!Box angezeigt.

    2. Finden sich keine - und wenn, dann nur hoffnungslos veraltete - Infos zum Rebind-Schutz in der UDM.


    Wie gesagt: Ich glaube, es ist eher ein Problem, das über den Rebind-Schutz hinausgeht.

    Das Gateway (in Datenflußrichtung) rückwärts? ich kenne mich ja nun mit den Fritten nicht so aus, aber das Gateway zum Internet bleibt die Fritte selbst, dies auch im Exposed Host Modus. N.m.E gehört daher die Fritte am WAN-Port der UDM als Gateway eingetragen (wegen des Transfernetzes zwischen Friite und der UDM und wenn nicht ohnehin auf DHCP gestellt) und für die Fritte ist sie selbst das Gateway (zum Internet, woanders hin brauchts sie keines). Statische Routen anzulegen kann man sich dann eigentlich sparen, dass regeln die beiden Kisten für sich allein und automatisch. Mit dem Rebind-Schutz mag das vielleicht nichts zu tun haben, aber wer weiß, welche Schleifen z.Z. bei Dir DNS-Anfragen in den Netzen drehen.


    Ich kann mich aber auch täuschen :smiling_face:

    bic , in diesem Fall von AVM etwas blödsinnig umgesetzt.

    Das Gateway ist die WAN IP der UDM, anfragen zum Netzt 192.168.1.x werden an das Gateway UDM gesendet, da die Fritte eigentlich nur mit 192.168.8.0/24 ( in seinem Fall) umgehen kann.

    Soweit die UDM es nicht selbst macht muss in dieser natürlich die rück Route rein.

    Hhhmmm, als ich vor kurzem meinen 1&1 Versatel Business GF-Anschluß erhielt, haben die mir ja eine Fritte als "Business-Server" (sic!) beigestellt.


    Diese hatte ich für den Anfang einfach erst einmal vor meinen Firewallrouter gestöpselt, dessen WAN-Port auf DHCP gestellt und schon lief erst einmal alles (natürlich mit doppleten NAT) siehe auch hier.


    Da es dann aber Bandbreitenprobleme gab, habe ich die Fritte so lange in Betrieb gelassen, bis 1&1 das Problem gelöst hatte (wg. etwaiger dämlicher Rückfragen), allerdings den Firewallrouter zum Exposed-Host erklärt. Außer das entsprechend Häkchen in der Fritte zu setzen, hier DHCP abzuschalten, dem Router eine IP aus dem Fritten-Transfernetz zu verpassen (und hier die Fritte als Gateway einzutragen), sowie diese IP in der Fritte als Exposed-Host eingetragen, habe ich nichts gemacht - lief einfach.

    BlackSpy:


    Also passt das mit der statischen Route aus deiner Sicht alles? Oder muss ich noch etwas ergänzen, damit ich die oben genannten Probleme nicht habe? Bin bei statischen Routen immer übervorsichtig, da man sich gerade bei der Fritz!Box gerne auch mal relativ nachhaltig selber ausschließen kann.


    bic:

    Genau so war es bei mir vorher auch. Bis nun eben das 2.0er-Update der UDM kam, was alles zerschossen hat. Hast Du auch eine UDM? Auf welcher Version bist du?

    Neue Entwicklung: Wenn jetzt aus meinem LAN heraus service.meindomain.de angebe, lande ich auf der Login-Seite meiner Fritz!Box. Mir wird einfach nicht klar, was das für ein Routing ist, das mich dort enden lässt.

    Okay, Lösung gefunden: Zwar hatte ich schon im alten Unifi OS IPv6 für mein default network aktiviert, aus irgendeinem Grund lief das aber nicht. Mit dem Update wurde das aber nun (erfolgreich) aktiviert.


    nginx reverse proxy manager läuft bei mir unter docker, was dafür bekannt ist, mit IPv6 nicht klarzukommen. Demzufolge hat's also das komplette Setup zerschossen. IPv6 abzustellen war nun ein funktionierender Workaround. Nichts für die Ewigkeit, aber es läuft wieder. :smiling_face:


    Danke für die vielen Impulse!