Vodafone kommt mit DNS nicht klar?

[alex0801]

Hallo zusammen,

hab hier ein seltsames Phänomen bei dem ich nicht weiter komme:

Ich hatte jahrelang einen DynDNS Account bei http://www.dyn.com. Vor einiger Zeit kam ich auf die Idee meinen gemieteten Root-Server (vRoot bei Hetzner mit Debian Wheezy) für meine eigenen Zwecke als DynDns Server aufzubohren und damit den Dienst von http://www.dyn.com abzulösen.

Dazu hab ich ein Script gebastelt, mit dessen Hilfe ich den lokal laufenden BIND immer wieder mit einer neuen IP versorge (sofern es eine neue gibt).

Aber irgendwie hat Vodafone ein Problem mit der Namensauflösung von Dynamischen Adressen meines DNS. Ich fang mal von vorne an:

Hier die aktuelle Konstellation (mit verfremdeten Beispieldaten):

Server-IP: 1.2.3.4
TopLevelDomain: mydomain.tld

Bei Denic ist ein DNS Server von Hetzner als zuständiger DNS für diese Domain eingetragen. Bei Hetzner hab ich Zugriff auf das Zonefile. Die Verwendung von Subdomains ist hier kein Problem. Läuft alles prima.

Nun wollte ich die Subdomain dyn.mydomain.tld als "Basis-Domain" für meinen eigenen kleinen DynDNS Service nutzen. Hierfür hab ich ins Zonefile von mydomain.tld folgendes stehen:

Code: Alles auswählen

$TTL 86400
@   IN SOA ns1.first-ns.de. postmaster.robot.first-ns.de. (
    2013031800   ; serial
    14400        ; refresh
    1800         ; retry
    604800       ; expire
    86400 )      ; minimum
 
dyn                      IN NS      ns.mydomain.tld.
@                        IN NS      robotns3.second-ns.com.
@                        IN NS      robotns2.second-ns.de.
@                        IN NS      ns1.first-ns.de.
 
@                        IN A       1.2.3.4
localhost                IN A       127.0.0.1
mail                     IN A       1.2.3.4
mailx                    IN A       1.2.3.4
mx                       IN A       1.2.3.4
new                      IN A       1.2.3.4

dev                      IN CNAME   new
ftp                      IN CNAME   new
imap                     IN CNAME   new
jenkins                  IN CNAME   new
lists                    IN CNAME   new
loopback                 IN CNAME   localhost
nexus                    IN CNAME   new
ns                       IN CNAME   new
ns1                      IN CNAME   new
ns2                      IN CNAME   new
pop                      IN CNAME   new
relay                    IN CNAME   new
server                   IN CNAME   new
simon                    IN CNAME   new
smtp                     IN CNAME   new
svn                      IN CNAME   new
webmail                  IN CNAME   new
wiki                     IN CNAME   new
www                      IN CNAME   new
@                        IN MX 10   mail

Für alles unter *.dyn.mydomain.tld ist also der DNS auf ns.mydomain.tld zuständig, was nur ein Alias für new.mydomain.tld ist, welcher wiederum auf 1.2.3.4 zeigt.

(Das mit "new" kommt daher, dass ich bei einem Serverumzug temporär einen Alias für den neuen Server benötigt habe, und dieser Alias nun auch aktiv in Verwendung ist. Deshalb steht der da so noch drin).

Auf 1.2.3.4 läuft wie gesagt ein BIND Nameserver, welcher sub-sub-domains im Stil xyz.dyn.mydomain.tld auflösen kann.

Dessen ZoneFile sieht so aus:

Code: Alles auswählen

$TTL 1800
@   IN SOA ns.mydomain.tld. info.mydomain.tld. (
    2013020607   ; serial
    14400        ; refresh
    1800         ; retry
    86400        ; expire
    1800 )       ; minimum

@               IN NS      ns
@               IN A       1.2.3.4
ns              IN A       1.2.3.4

$INCLUDE        /opt/dyndns/dyndns.record

und in /opt/dyndns/dyndns.record ist zu finden:

Code: Alles auswählen

home 60 IN A 123.123.123.123 ; Last updated: Mo 15. Jul 03:01:16 CEST 2013
test 60 IN A 124.124.124.124 ; Last updated: Mo 15. Jul 03:54:16 CEST 2013

Das oben besagte Script updated /opt/dyndns/dyndns.record und benachrichtigt mit "rndc reload <zone>" BIND bzgl. der IP Änderungen. Das wird nur dann ausgelöst, wenn es auch eine Änderung gibt.

Funktioniert bestens. Internetzugänge über KabelBW, T-Online sowie T-Mobile (Mobilfunknetz) haben damit kein Problem. OpenVPN, Webserver, alles kein Problem.

Nur Vodafone kriegt es nicht gebacken. Da ich selbst kein Vodafone Zugang habe, kann ich nur auf Aussagen und Infos von Dritten zurückgreifen. Und von da wurde mir berichtet, dass unter anderem die OpenVPN APP auf einem iPad folgendes meldet:

Looking up DNS name

Transport Error: DNS resolve error on `home.dyn.mydomain.tld` for TCP session:Host not found (authoritative)

Hinter der genannten Adresse steckt nicht nur ein OpenVPN Server, sondern auch noch eine Webseite, welche sich auf dem Vodafone iPad ebenfalls nicht öffnen lässt. Zur gleichen Zeit gibt es mit andere Zugängen (KabelBW, T-Mobile, T-Online, ...) keinerlei Probleme mit der Adresse.

Das abstruse an der ganzen Sache ist: der eigentlich abzulösende DynDNS Host auf http://www.dyn.com, welcher auf die gleiche IP zeigt wie home.dyn.mydomain.tld bereitet Vodafone kein Problem. Der funktioniert bestens. Aber den will ich ja ablösen.

Ich tippe mal darauf dass in meinem ZoneFile bei Hetzner oder im ZoneFile von BIND noch etwas nicht stimmt. Vielleicht kann mir ja jemand einen Tipp geben??

Gruß
Alex

[Cae]

Doofe Frage, aber geht's mit einem anderen Geraet aus demselben Netz? Sonst wuerde ich einfach mal darauf tippen, dass der Apfel spinnt und es gar nicht am Provider liegt. Wobei OpenVPN ziemlich sicher root-Rechte braucht, die es auf dieser Hardware meines Wissens nach nicht offiziell gibt.

Gruss Cae

[alex0801]

Nein, ein anderes Gerät im Vodafone Netz konnte ich noch nicht auftreiben. Über eine WLAN Verbindung hat es mit dem iPad und OpenVPN bestens geklappt. Bei Android brauchte man anfangs ja auch root-Rechte. Aber mittlerweile ist das unnötig, da das Android API eine passende VPN Schnittstelle bietet, so dass man auch ohne root VPN anständig (also OpenVPN) nutzen kann. Ich nehme mal an das ist mittlerweile bei iOS genauso?!

Über weitere Tipps/Hinweise würde ich mich freuen. In der Zwischenzeit werde ich mal schauen ob ich noch ein anderen Vodafone betriebenes Gerät finde ...

- Alex

[wanne]

Vodafon setzt massiv DPI ein und verbietet in den unteren Trarifen (unter RED M z.B. Chat, Torrent, Voice over IP..) einiges. Könnte mir gut vorstellen, das da jetzt auch fremde VPNs rausgeflogen sind, zumal sie VPn jetzt auch selbst anbieten.
Oder der Client meldet isch mit OpenVPN und Vodeavone folgert daraus dass du Thretering betreibst.

[alex0801]

So, updates:

1) Es ist kein reines VPN Problem. Denn der Aufruf einer auf dem dynhost gehosteten Webseite funktioniert auch nicht
2) Habe eine zweite Person aufgetrieben die Vodafone benutzt. Dieses mal mit einem Samsung Galaxy S4. Diese kann die Dynhost URL ebenfalls nicht öffnen. Es scheitert an der Auflösung des Hostnamen.

Ich versteh's nicht... Noch jemand ne Idee?

- Alex

[WinMaik]

Was sagt denn

Code: Alles auswählen

dig home.dyn.mydomain.tld

bei Verwendung der Vodafone Nameserver?
Seit wann existiert dieser Record schon? Bei mir dauert es gelegentlich gerne mal 24 Stunden, bis ein neuer Record von allen getesteten Nameservern aufgelöst wird.

[alex0801]

Das wird sich beim iPad etwas schwierig gestalten. Muss mal schauen dass ich an das Android gerät ran komme. Die IP wechselt alle 24h. Der DNS Eintrag hat ein TTL von 1min. Mit dem echten dyndns Hostnamen klappt das ja auch...

[WinMaik]

Mit Apple Produkten kenne ich mich gar nicht aus, aber ich weiß, dass unter Android nslookup aufrufbar ist, dig leider nicht.
Kannst du eventuell irgendwo die IP des Vodafone Nameservers auslesen? Falls nicht, wäre Tethering eine Option zum Testen?

Die TTL spielt denke ich mir im Moment noch keine Rolle, da sie dem Vodafone Nameserver ja scheinbar noch gar nicht bekannt ist.
Davon ab, nicht alle Nameserver halten sich zwangsweise an die TTL.

Merkwürdig ist das ganze schon etwas ... wenn ich eine DNS Anfrage an dns1.vodafone.de oder an dns2.vodafone.de schicke, endet dies in einem Timeout.

[wanne]

Merkwürdig ist das ganze schon etwas ... wenn ich eine DNS Anfrage an dns1.vodafone.de oder an dns2.vodafone.de schicke, endet dies in einem Timeout.

Aus einem nicht vodafone-netz?
Ich kann hier wieder nur wilde spekulationen aussprechen aber: Die telekom sperrt Anfragen aus nicht-Telekom Netzten. Die Nameserver sind exklusiv für Telekom-Kunden.
=> Das dns1.vodafone.de von woanders aus nicht erreichbar ist ist wahrscheinlich normal.

[alex0801]

Hätte jetzt auch vermutet dass man die Vodafone DNS nur aus dem Vodafone Netz benutzen kann.

Zur Sache mit "Wie lange gibt's den Hostnamen im DNS schon?": Naja, glaub 4 Monate oder so. Nur die damit verbundene IP wechselt für gewöhnlich alle 24h, und das meist morgens gegen 03:00. T-Online hat schon 2-4 Minuten nach einer IP-Änderung die DNS-Abfrage wieder richtig aufgelöst. Das mit dem TTL funktioniert also zumindest mit T-Online wie erwartet.

Da ja www.dyn.com mit seinem Dienst auch mit Vodafone funktioniert (dyn.com verwendet ebenfalls ein TTL von 1min), denke ich nicht, dass es ein TTL Problem mit Vodafone ist. Außer Vodafone hat aufgrund des bekanntheitsgrades für dyn.com eine Ausnahmeregel konfiguriert, die bei meinem Mini-Dyndns-Dienst nicht greift.

Da es für mich schwierig ist an die Vodafone-Geräte ran zu kommen und damit mal ein paar Stunden zu experimentieren, werde ich jetzt mal versuchen einen Kontakt bei Vodafone zu finden und dort zu fragen wo denn das Problem liegt. Schließlich kommen alle anderen mir bekannten ISPs damit bestens klar.

Gruß
Alex

[WinMaik]

Das dns1.vodafone.de von woanders aus nicht erreichbar ist ist wahrscheinlich normal.

Von solchen Praktiken höre ich zum ersten mal, gut zu wissen.

Zur Sache mit "Wie lange gibt's den Hostnamen im DNS schon?": Naja, glaub 4 Monate oder so.

Okay dann wird es daran schon mal nicht liegen.

Da ja http://www.dyn.com mit seinem Dienst auch mit Vodafone funktioniert (dyn.com verwendet ebenfalls ein TTL von 1min), denke ich nicht, dass es ein TTL Problem mit Vodafone ist. Außer Vodafone hat aufgrund des bekanntheitsgrades für dyn.com eine Ausnahmeregel konfiguriert, die bei meinem Mini-Dyndns-Dienst nicht greift.

Hier wäre es jetzt interessant, ob der Name aufgelöst wird, aber eine veraltete IP geliefert wird (TTL spielt eine Rolle), oder ob der Name nicht aufgelöst werden kann (TTL spielt keine Rolle).

Da es für mich schwierig ist an die Vodafone-Geräte ran zu kommen und damit mal ein paar Stunden zu experimentieren, werde ich jetzt mal versuchen einen Kontakt bei Vodafone zu finden und dort zu fragen wo denn das Problem liegt. Schließlich kommen alle anderen mir bekannten ISPs damit bestens klar.

Das hätte ich jetzt wohl auch vorgeschlagen. Bitte halte uns auf dem Laufenden

[alex0801]

Hier wäre es jetzt interessant, ob der Name aufgelöst wird, aber eine veraltete IP geliefert wird (TTL spielt eine Rolle), oder ob der Name nicht aufgelöst werden kann (TTL spielt keine Rolle).

Wie ich oben schon geschrieben habe: Ein iPad Nutzer hat in der OpenVPN App mit Vodafone als Netzanbieter folgende Meldung bekommen:

Looking up DNS name
Transport Error: DNS resolve error on `home.dyn.mydomain.tld` for TCP session:Host not found (authoritative)

Das hört sich für mich an wie: "Ich hab den DNS gefragt, aber der konnte mit für besagten Host keine IP nennen."

Ergo: Kann überhaupt nicht aufgelöst werden.

Das hätte ich jetzt wohl auch vorgeschlagen. Bitte halte uns auf dem Laufenden

Mach ich...

Gruß
Alex