WLAN - Smartphone löst keine internen URLs auf

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
RaBu78
Beiträge: 19
Registriert: 30 Jul 2019, 14:09

WLAN - Smartphone löst keine internen URLs auf

Beitrag von RaBu78 »

Moin zusammen,

wir haben hier ein 1906VA mit 3x APs und einem WLAN mit einem Schlüssel. Es sind keine Filter aktiv (MAC etc.).

Wir haben mehrere Smartphones und auch Notebooks, die sich in unser WLAN einloggen und verwenden können - soweit alles kein Problem.

Wir haben hier ein Smartphone beim dem ebenfalls die Einwahl ins WLAN klappt, d.h. dieses Endgerät bekommt unsere DNS Server sowie ein gültige IPv4 IP (IPv6 ist nicht aktiv). Problem ist dass das das Smartphone Webseiten aus dem Internet auflösen kann kann aber nicht unsere internen Seiten. Das Smartphone scheint somit nicht unsern per DHCP zugewiesen DNS-Server zu verwenden.

Bei dem Smartphone handelt es sich im ein Sony Xperia H8416 mit Android 10 und wir wissen das es schon mal funktioniert hat.

Wir haben folgendes probiert:

- Im WLAN Profil haben wir geprüft ob unsere DNS Server zugewiesen werden -> Das ist der Fall
- DNS Checker App -> Mit dem Standard DNS Server keine Auflösung unserer internen Domänen -> Wenn ich hier explizit unseren DNS Server eintrage kann ich unsere internen Domänen auflösen[/list]
- DoH (Sicheres DNS) im System deaktiviert -> Kein Erfolg (auch nicht mit Neustart des Handys)
- DoH (Sicheres DNS) im Browser deaktiviert -> Kein Erfolg (auch nicht mit Neustart des Handys)
- MalwareBytes zur Sicherheit über das Handy laufen lassen -> Kein Befall festgestellt


Es scheint also so zu sein, dass wenn das Smartphone in unserem WLAN ist wird irgendein anderer DNS Server verwendet.

Wenn der Mitarbeiter das Handy zu Hause bei seiner Fritzbox ansteckt bekommt er den DNS Server der fritz.box zugewiesen. Da kann er zumindest auch den Namen fritz.box auflösen, d.h. hier verwendet das Smartphone nicht irgendeinen DNS Server sondern den der fritz.box - also auch den der im WLAN Profil steht.

Wie gesagt, alle anderen Endgeräte (NBs oder Smartphones) haben nicht dieses Problem. Auch hier habe ich die üblichen Tests durchgeführt (auch mit DNS Cache leeren etc.) - Funktioniert alles tadelos.

Hat jemand von euch evtl. eine Idee woran das liegen könnte oder einen Tipp was ich noch ausprobieren könnte?

Schönen Gruß

Rainer
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von plumpsack »

RaBu78 hat geschrieben: 03 Dez 2021, 11:36 Bei dem Smartphone handelt es sich im ein Sony Xperia H8416 mit Android 10 und wir wissen das es schon mal funktioniert hat.

Es scheint also so zu sein, dass wenn das Smartphone in unserem WLAN ist wird irgendein anderer DNS Server verwendet.
Android, Google-Chrome und einige andere IOT-Geräte, wie u.A. Smart-TVs, haben die DN-Server von Google, 8.8.8.8 sowie 8.8.4.4, in ihrer Software hardcoded.

Einfach 8.8.8.8/32 und 8.8.4.4/32 in der Routingtablelle gegen "null" (0.0.0.0) routen.

Guck mal hier:
https://docs.microsoft.com/en-us/window ... nt-support

Und das ist nur DNS over HTTPS!

Es gibt noch DNS over HTTP!
Ob ihr Port 80 ausgehend schließen wollt ist leider ein zweischneidiges Schwert.
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von Koppelfeld »

plumpsack hat geschrieben: 04 Dez 2021, 17:28 Android, Google-Chrome und einige andere IOT-Geräte, wie u.A. Smart-TVs, haben die DN-Server von Google, 8.8.8.8 sowie 8.8.4.4, in ihrer Software hardcoded.
Das ist ja wohl nicht Dein Ernst ...

Und wo bleibt der #AUFSCHREI ?
Und wieso klappt es offenbar bei der "Fritzbox" ?
Und das ist nur DNS over HTTPS!

Es gibt noch DNS over HTTP!
Ob ihr Port 80 ausgehend schließen wollt ist leider ein zweischneidiges Schwert.
... und bald auch über QUIC ...


Und ich Idiot habe mir gestern ein "Android" - Gerät bestellt ...


Gruß HB
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von Dr.Einstein »

Hey Rainer,

logg dich mal auf deinem 1906VA via SSH ein und starte dort den DNS Trace mittels "trace # dns". Sollte zu viel Output kommen, könntest du vllt auf die IP-Adresse deines Smartphones filtert "trace # dns @ 192.168.x.y". Führe danach die Auflösung deiner internen Namen aus. Ich könnte mir vorstellen, dass das Smartphone deine Domain falsch setzt, und deswegen keine Auflösung erfolgt. Durch den DNS Trace wirst du schlau, was dein Smartphone wirklich anfragt. Solltest du keinerlei Ausgabe vorfinden, geht die Namensauflösung am Router vorbei.

Gruß Dr.Einstein
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von plumpsack »

Koppelfeld hat geschrieben: 04 Dez 2021, 21:08 Und ich Idiot habe mir gestern ein "Android" - Gerät bestellt ...
Wünsche dir jetzt schon viel Spaß beim Synchronisieren deines Androiden mit dem lokalen Firmen-Zeitserver ;)

Die Logs müssen ja passen, gelle?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von GrandDixence »

plumpsack hat geschrieben: 10 Dez 2021, 23:30Wünsche dir jetzt schon viel Spaß beim Synchronisieren deines Androiden mit dem lokalen Firmen-Zeitserver ;)
Kein Problem! Man "fälscht" einfach die DNS-Antworten von:

2.android.pool.ntp.org
time.android.com
time-ios.apple.com
time.windows.com

mit den IP-Adressen des Firmen-Zeitservers.
fragen-zur-lancom-systems-routern-und-g ... 16109.html

Solange für diese DNS-Anfragen kein DNSSEC eingesetzt wird, ist das "Fälschen" von DNS-Antworten kinderleicht.

Lässt sich alles sehr einfach auf einem Raspberry Pi realisieren:
fragen-zur-lancom-systems-routern-und-g ... ml#p106862

fragen-zur-lancom-systems-routern-und-g ... ml#p101750
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von plumpsack »

GrandDixence hat geschrieben: 11 Dez 2021, 15:17 Kein Problem! Man "fälscht" einfach die DNS-Antworten ...
Boah ... und ich hab schon wieder viel zu kompliziert gedacht ...

Vielen lieben Dank für den Hinweis mit dem DNS-"Umbiegen"!

:M
RaBu78
Beiträge: 19
Registriert: 30 Jul 2019, 14:09

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von RaBu78 »

Moin,

ich habe die Ursache für das Problem gefunden. Das Problem ist anscheinend, dass das Android mit einem Update die Funktion des Multicast DNS spendiert bekommen hat. Das Problem ist hierbei, dass unsere Domäne (gegründet ~2003) auf ".local" (also z.B. dc01.company.local) endet. Somit versucht das Android Smartphone den Namen per Multicast DNS (mDNS) aufzulösen und das funktioniert entsprechend für unsere Hosts in der Domain nicht - Es wird also unser Domänen-NS übergangen.

Das Problem besteht bei uns sowahl bei der Einwahl per WIFI also auch per VPN. Zwei mögliche Lösungen:

1. Wir ändern die Windows-Domäne von .local auf unsere echte Domäne z.B. "company.de"
2. Wir führen Split-DNS ein und legen unsere ".de"-Domäne zusätzlich auf die Dienste, die wir per VPN/WLAN erreichen wollen

Punkt 1 scheidet für uns aus weil der Aufwand gigantisch ist. Da eine eigene interne CA und Exchange sowie zig andere Dienste dahinter hängen. Das würde Wochen/Monate dauern das umzustellen.

Punkt 2 haben wir entsprechend umgesetzt und funktioniert ohne weitere Einschränkungen. Die Leute müssen bzw. können jetzt auch unsere ".de" Domäne für unsere internen Dienste verwenden.

Hier findet man den entsprechende Diskussion bei Android zu dem Thema:

- https://bugs.chromium.org/p/chromium/is ... ?id=405925
- https://issuetracker.google.com/issues/140786115?pli=1 (Ganz nach unten scrollen ab #256)

Aus meiner Sicht muss dieses Feature in Android abschaltbar sein - auf ähnliche Art & Weise wie "Private DNS" - Gerade im Business Umfeld.

Gruß Rainer
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von backslash »

Hi RaBu78,

ihr hättet dennoch Variante 1 verweden sollen, denn die Domain .local ist bereits seit Jahrzehrten von der IETF für Multicast-DNS reserviert.
Dabei sollte prinzilpiell egal sein, wie viel Aufwand das macht, denn Irgendwann kommt das nächste Gerät auf die Idee die .local-Domain nur per Multicast aufzulösen und du fragst dich wieder, was los ist...

Gruß
Backslash
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von plumpsack »

RaBu78 hat geschrieben: 11 Jan 2022, 10:04 Moin,
Dir ist schon klar, das man mDNS eigentlich nicht nutzen sollte, oder?

https://www.bsi.bund.de/DE/Themen/Unter ... _node.html
Multicast DNS (mDNS) wird zur Auflösung von Hostnamen zu IP-Adressen in kleinen Netzwerken verwendet, welche über keinen lokalen DNS-Server verfügen.
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von Koppelfeld »

backslash hat geschrieben: 11 Jan 2022, 13:55 ihr hättet dennoch Variante 1 verweden sollen, denn die Domain .local ist bereits seit Jahrzehrten von der IETF für Multicast-DNS reserviert.
... und genau deswegen benutze ich die '.local' IMMER. Die haben doch einen Sockenschuß.
Diese ganze DNS-Frickelei MACHT PROBLEME und stammt von APPLE. Und schon allein deswegen lehnt man das ab. Wozu hat es DHCP ?

In der Tat führt eine Domain ".local" zu herrlichen Störungen mit Eifones. JA, UND DANN MUSS AUCH DAS APFENMÄNNCHEN DAFÜR SORGEN, DASS ER STANDARDKONFORM WIRD !
Die neuesten Ideen der Apfel-Spinner: Wechselnde MAC-Adressen. VPN zu Cloudflare ...

Der Apple-"Benutzer" säuft stets willig den Kakao aus, durch den ihn Apple zieht. Aberkennung der bürgerlichen Ehrenrechte für diese Trendlemminge wäre noch das Mindeste ...

NIEMALS den Modespielereien entgegenkommen -- nur so wird Schwachsinn zum "Standard".

Schönen Tag wünsche ich ...
RaBu78
Beiträge: 19
Registriert: 30 Jul 2019, 14:09

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von RaBu78 »

backslash hat geschrieben: 11 Jan 2022, 13:55 Hi RaBu78,

ihr hättet dennoch Variante 1 verweden sollen, denn die Domain .local ist bereits seit Jahrzehrten von der IETF für Multicast-DNS reserviert.
Dabei sollte prinzilpiell egal sein, wie viel Aufwand das macht, denn Irgendwann kommt das nächste Gerät auf die Idee die .local-Domain nur per Multicast aufzulösen und du fragst dich wieder, was los ist...

Gruß
Backslash
Moin,

die Windows-Domäne wurde ~2005 aufgesetzt. Da war es noch Best Practice. ".local" wurde im RFC 6762 in 02/2013 freigegeben. Und es ist ja ok wenn ein Android bzw. dessen Nutzer das nutzen möchte... Es wäre nur sehr schön wenn man es optional abschalten könnte, wie z.B. DoH auch.

Gruß RaBu
RaBu78
Beiträge: 19
Registriert: 30 Jul 2019, 14:09

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von RaBu78 »

plumpsack hat geschrieben: 12 Jan 2022, 19:07
RaBu78 hat geschrieben: 11 Jan 2022, 10:04 Moin,
Dir ist schon klar, das man mDNS eigentlich nicht nutzen sollte, oder?

https://www.bsi.bund.de/DE/Themen/Unter ... _node.html
Multicast DNS (mDNS) wird zur Auflösung von Hostnamen zu IP-Adressen in kleinen Netzwerken verwendet, welche über keinen lokalen DNS-Server verfügen.
Ich will es auch nicht nutzen. Das Android nutzt es... und zwar von ganz alleine ohne Rücksprache und keine Möglichkeit der Deaktivierung...

Gruß RaBu
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: WLAN - Smartphone löst keine internen URLs auf

Beitrag von plumpsack »

RaBu78 hat geschrieben: 17 Feb 2022, 21:17 Ich will es auch nicht nutzen. Das Android nutzt es... und zwar von ganz alleine ohne Rücksprache und keine Möglichkeit der Deaktivierung...
Was sagt Sony den zu dem Thema Xperia H8416 und mDNS?
:G)
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“