Hallo,
nachdem ich mich hier jahrelang als stiller Leser bei meinen Problemen immer helfen konnte, stehe ich nun leider vor einer Problematik, bei der ich nicht weiterkomme. :(
Zusammenfassung: Der lokale Unbound Server gibt mir für "nexusmods.com" eine IPv6 Adresse zurück, die nicht vorhanden ist
Aufbau der DNS Abfrage:
Provider <- Router <- Opnsense <- AdGuard <- Client
Ein Nslookup auf den Unbound der Opensense liefert:
nslookup nexusmods.com 192.168.84.10
Server: opnsense.xxxxxx
Address: 192.168.84.10
Nicht autorisierende Antwort:
Name: nexusmods.com
Addresses: 64:ff9b::6812:724
64:ff9b::6812:624
104.18.6.36
104.18.7.36
ein weiterer auf den vorgelagerten Router:
nslookup nexusmods.com 192.168.84.1
Server: fritz.box
Address: 192.168.84.1
Nicht autorisierende Antwort:
Name: nexusmods.com
Addresses: 104.18.7.36
104.18.6.36
ein weiterer auf den google dns Server
nslookup nexusmods.com 8.8.8.8
Server: dns.google
Address: 8.8.8.8
Nicht autorisierende Antwort:
Name: nexusmods.com
Addresses: 104.18.7.36
104.18.6.36
Wie oben zu sehen ist, liefert der Unbound Server 2 IPv6 Einträge die es laut vorgeschaltetem Server sowie dem Google DNS Server nicht gibt.
Der Haken bei "Flush DNS cache during reload" ist gesetzt, und der Service wurde schon mehrmals neu gestartet, leider taucht der Eintrag immer wieder auf.
Hat jemand noch einen Tipp für mich, woher der Unbound diesen Eintrag haben könnte?
Das ist eine NAT64-Adresse. Wenn ein Client (oder in dem Fall nslookup) gezielt nach AAAA fragt und kein AAAA existiert, dann kommt der A in dieser Form zurück. Für einen IPv6-only Client hinter einem NAT64-Gateway.
64:ff9b::6812:724
6812:0724 (hex) == 104.18.7.36 (dezimal)
Das Prefix 64:ff9b::/96 kennzeichnet die Adresse als NAT64.
Weshalb nslookup das per Default tut, weiß ich allerdings nicht, hier ist nslookup schon seit Jahren nicht mehr existent.
Nimm mal ein Tool, dass dir mehr Kontrolle über die Abfrage erlaubt:
dig nexusmods.com A
dig nexusmods.com AAAA
Dann sollte es klar sein.
Zum deaktivieren - siehe Screenshot.
... oder um es anders auszudrücken: Besser keine Features aktivieren, von denen man nicht weiß, was sie tun. DNS64 ist default deaktiviert, muss also explizit aktiviert worden sein.
Grüße
Maurice
@pmhausen:
Vielen Dank für deine Antwort und deine ausführliche Erklärung.
Nach Deaktivierung von DNS64 funktioniert nun auch die Vortex-Software von NexusMods ohne Probleme.
@Maurice:
Leider kann ich nicht mehr nachvollziehen, wann ich den Haken gesetzt habe. Da jedoch 99,99 % der Anwendungen keine Probleme mit einem gesetzten Haken haben, war die Fehlersuche schwierig.
Nochmals vielen Dank an euch beide.