swister
Goto Top

Tablet und Handy im gleichen WLAN verhalten sich unterschiedlich

Hallo,

Ich habe in meinem Netzwerk eine Fritzbox 7590, den DNS-Server pihole (ist auch DHCP-Server) und eine Synology NAS die von extern erreichbar ist. (xxx.privatedns.org)
Wenn ich vom Handy aus die Domain xxx.privatedns.org aufrufe, erhalte ich die Rückmeldung von der NAS, auch kann ich meinen Picapport-Server über xxx.privatedns.org:8888/picapport aufrufen.
Mache ich das gleiche vom Tablet aus, erhalte ich beim Aufruf von xxx.privatedns.org auch die Rückmeldung der NAS, aber beim Aufruf von xxx.privatedns.org:8888/picapport sagt mir das Tablet immer "Fehler: Verbindung fehlgeschlagen".

Wenn ich über die App "PingTools" einen Traceroute zu xxx.privatedns.org vom Handy aus ausführe komme ich über einen Hop direkt zu xxx.privatedns.org.
Mache ich das gleiche vom Tablet aus, geht es erst zur Fritzbox und dann zu xxx.t-ipconnect.de (meine externe IP-Adresse). Hier werden schonmal zwei Hops benötigt.
Ich habe daraufhin beide Geräte in der Fritzbox zurückgesetzt, aber das Problem bleibt das gleiche. (Die Geräte bekommen die gleiche IP, da das im pihole so hinterlegt ist, weiß nicht ob das wichtig ist.)

Das Handy und das Tablet befinden sich im gleichen WLAN.
In der Fritzbox habe ich die Domain xxx.privatedns.org unter "DNS-Rebind-Schutz" eingetragen.

Warum kann ich den Picapport-Server vom Tablet nicht aufrufen?
Habt Ihr eine Idee was das sein kann? Ich komm leider nicht drauf.

Beim Tablet handelt es sich um ein Samsung Galaxy Tab S2. Das Handy ist ein Huawei Mate 10.

Gruß Swister

Content-Key: 665510

Url: https://administrator.de/contentid/665510

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: cykes
cykes 07.04.2021 um 19:12:25 Uhr
Goto Top
Nabend,

hört sich irgendwie nach einem DNS-Problem an, Mobiltelefon löst vermutlich mit der internen/lokalen IP auf und Tablet aus noch zu ermitteldem Grund über die externe/öffentliche IP an Deinem Anschluss.

Ggf. mal den pihole checken, ob der das (nur für das Tablet) weiterleitet.
Als Gegenprobe mal auf dem Tablet <IP vom NAS>:8888/picapport aufrufen, funktioniert das?

Gruß

cykes
Mitglied: aqui
aqui 07.04.2021 aktualisiert um 19:32:41 Uhr
Goto Top
Ist eine Folge des NAT Hairpinning:
https://en.wikipedia.org/wiki/Network_address_translation#NAT_hairpinnin ...
Die FB vermutet eine DNS Rebind Attacke und blockt den Zugriff.
Sehr wahrscheinlich wird es fehlerfrei funkionieren wenn der TO statt des öffentlichen Hostnamens die lokale IP Adresse des NAS ala 192.168.178.x:8888/picapportangibt solange er sich im eigenen Netz befindet. Klappt das bestätigt es das Hairpinning Problem !
Mitglied: tikayevent
tikayevent 07.04.2021 um 19:56:38 Uhr
Goto Top
Kann es sein, dass ein Gerät DNS over TLS oder DNS over HTTPS nutzt, während das andere Gerät einfach nur den DNS-Resolver der Fritzbox nutzt?
Mitglied: Swister
Swister 07.04.2021 um 21:18:29 Uhr
Goto Top
Zitat von @aqui:

Ist eine Folge des NAT Hairpinning:
https://en.wikipedia.org/wiki/Network_address_translation#NAT_hairpinnin ...
Die FB vermutet eine DNS Rebind Attacke und blockt den Zugriff.
Sehr wahrscheinlich wird es fehlerfrei funkionieren wenn der TO statt des öffentlichen Hostnamens die lokale IP Adresse des NAS ala 192.168.178.x:8888/picapportangibt solange er sich im eigenen Netz befindet. Klappt das bestätigt es das Hairpinning Problem !

Ist nicht für das NAT-Hairpinning Problem der "DNS-Rebind-Schutz"?
Mit der lokalen IP-Adresse bekomme ich Zugriff.


Zitat von @tikayevent:

Kann es sein, dass ein Gerät DNS over TLS oder DNS over HTTPS nutzt, während das andere Gerät einfach nur den DNS-Resolver der Fritzbox nutzt?

Das könnte evtl. sein. Werde das mal deaktivieren und testen.

Swister
Mitglied: Swister
Swister 07.04.2021 um 21:29:53 Uhr
Goto Top
Zitat von @tikayevent:

Kann es sein, dass ein Gerät DNS over TLS oder DNS over HTTPS nutzt, während das andere Gerät einfach nur den DNS-Resolver der Fritzbox nutzt?

Ja, es liegt an DoT. Wenn ich das in der Fritzbox deaktiviere kann ich über die Adresse xxx.privatedns.org zugreifen.
Was kann ich jetzt machen ohne DoT zu deaktivieren?
Mitglied: tikayevent
tikayevent 07.04.2021 um 21:45:04 Uhr
Goto Top
Vermutlich gar nichts, außer einen eigenen Server hochziehen, aber dafür kenn ich mich zu wenig damit aus.
Mitglied: 117471
117471 07.04.2021 aktualisiert um 22:33:29 Uhr
Goto Top
Hallo,

korrekt wäre, die Hostnames im Pi-Hole auf die internen IPs zu mappen.

Lokale Dienste über die eigene externe IP ansprechen war noch niemals klug.

Ebensowenig wie lokale Dienste ohne VPN anzusprechen.

Gruß,
Jörg