Вопрос или проблема
ПК + Wifi + домашний сервер
-> роутер (Fritzbox)
-> кабельный модем UPC
У меня 2 NAT один за другим.
У меня странная проблема с DNS. Я настроил DuckDns так, чтобы он указывал на внутренний IP-адрес. Разрешение работает везде, кроме устройств, подключенных к Fritzbox. Здесь происходит таймаут, когда запись DuckDns указывает на внутренний IP, такой как 192.168.x.y.
Если запись Duckdns указывает на “реальный” IP, разрешение работает корректно.
Затем я сменил DNS в Fritzbox (меню конфигурации -> DNS-сервер) на 9.9.9.9, однако я получаю тот же результат. Что-то не работает так, как ожидается, потому что:
nslookup xx.duckdns.org: таймаут
nslookup xx.duckdns.org 9.9.9.9: может разрешить
Похоже, что Fritzbox подавляет DNS-запросы, когда они возвращают IP, который находится внутри NAT.
Это правдоподобно?
Как я могу узнать, какой DNS действительно используется, когда Fritzbox выполняет разрешение?
С уважением,
exae
Это обычно называется “защита от повторного связывания DNS”, чтобы предотвратить определенные атаки CSRF под тем же именем.
.
Ответ или решение
Вопрос: Понижает ли роутер Fritzbox DNS-запросы?
На основании описания проблемы можно сделать вывод о наличии неполадок с DNS-резольверами в сети с использованием роутера Fritzbox. Ваша конкретная проблема заключается в том, что DNS-резолвинг для адреса DuckDNS, указывающего на внутренний IP-адрес (192.168.x.y), не работает на устройствах, подключённых к Fritzbox, несмотря на успешное разрешение, когда DuckDNS указывает на "реальный" внешний IP-адрес.
Возможные причины проблемы
-
Защита от переопределения DNS (DNS rebinding protection):
Fritzbox, как и многие другие роутеры, включает в себя механизм защиты от переопределения DNS, который предотвращает атаки типа CSRF (Cross-Site Request Forgery). Это может влиять на разрешение локальных IP-адресов, что объясняет ваше затруднение. Когда DNS-запрос возвращает внутренний IP-адрес, Fritzbox блокирует его, и вы получаете тайм-аут. -
Настройки NAT:
У вас настроен двойной NAT, что может осложнять процесс разрешения DNS. При этом маршрутизатор Fritzbox может неправильно обрабатывать запросы к внутренним ресурсам, особенно когда они направляются через внешние DNS-серверы. -
Конфигурация DNS-сервера:
Изменение DNS-сервера на 9.9.9.9 не помогает, что может указывать на то, что Fritzbox всё равно обрабатывает локальные запросы самостоятельно, не обращаясь к указанному DNS-серверу.
Решение проблемы
-
Отключение защиты от переопределения DNS:
Проверьте настройки Fritzbox и попытайтесь отключить функцию защиты от переопределения DNS. Для этого:- Перейдите в меню конфигурации роутера.
- Найдите раздел, связанный с безопасностью или DNS.
- Отключите опцию, связанную с защитой от переопределения DNS.
Более подробные инструкции и пояснения можно найти в официальной документации AVM.
-
Проверка настроек NAT:
Если возможно, попробуйте упростить конфигурацию сети для устранения двойного NAT, что может помочь избежать дополнительных проблем с разрешением. -
Тестирование внутренних DNS-запросов:
Используйте утилитуnslookupдля тестирования разрешения адреса непосредственно на Fritzbox и посмотрите, какие DNS-серверы использует роутер для разрешения. Это можно сделать через SSH, если Fritzbox поддерживает подключение по SSH, или через веб-интерфейс, если такая функция доступна. -
Использование других DNS-серверов:
Проверьте другие общедоступные DNS-серверы, такие как Google (8.8.8.8) или Cloudflare (1.1.1.1), чтобы выяснить, помогут ли они в разрешении вашей ситуации.
Заключение
При возникновении проблемы с DNS, особенно связанной с внутренними адресами в конфигурации с несколькими NAT, всегда следует учитывать детали, касающиеся защиты от переопределения DNS. Основываясь на вашей ситуации и рекомендациях, вы сможете найти подходящее решение для улучшения работы вашей локальной сети и взаимодействия устройств с DNS. Если проблема останется нерешенной, рекомендуется обратиться к поддержке AVM для получения дополнительной помощи.