[gelöst] UnBound DNS Problem mit web.impfnachweis.info

[juere]

Die DNS Adresse web.impfnachweis.info wird aktuell von deutschen Arztpraxen zum Ausstellen digitaler Covid19 Impfzertifikate verwendet.
Über Public Nameserver (getestet mit 1.1.1.1, 8.8.8.8 und 9.9.9.9) ist die Adresse problemlos auflösbar:

Code Select Expand


me@laptop02 ~
$ host web.impfnachweis.info 9.9.9.9
Using domain server:
Name: 9.9.9.9
Address: 9.9.9.9#53
Aliases:

web.impfnachweis.info has address 100.102.17.10


Ich hatte gerade bei einem Kunden das Problem, dass die Adresse von seinem OPNSense Gateway nicht aufgelöst wurde und habe ein wenig getestet:

• UnBound auf OPNSense >=21.1.6 löst die Adresse nicht auf, getestet auf 4 Gateways
• Unbound auf OPNSense <= 21.1.2 löst die Adresse korrekt auf, getestet auf einem Gateway
• DNSSEC abzuschalten, macht's nicht besser

Es geht nur um die DNS Auflösung, die Website https://web.impfnachweis.info ist dann nur aus der Arztpraxis via VPN über die Telematik Infrastruktur erreichbar.

Ich habe das Problem bereits im englischen Forum unter https://forum.opnsense.org/index.php?topic=23694.0 gepostet und frag jetzt hier nochmal nach, weils ein "typisch deutsches" Problem ist  :)

Mein Hotfix ist bisher, einen Override für impfnachweis.info zeigend auf einen Public DND Server zu setzen, das funktioniert.
Hat jemand das gleiche Problem beobachtet und vielleicht eine Lösung ?

[juere]

Das Problem wurde im englischen Forum bereits gelöst.

Die Adresse 100.102.17.10 ist eine Carrier-Grade-NAT Adresse und die fallen offenbar für UnBound neuerdings zusätzlich zu RFC1918 Adressen unter "privat". Die Lösung ist also, impfnachweis.info unter Dienste -> Unbound-DNS -> Verschiedenes als private Domain einzutragen, sonst macht die DNS Rebind-Protection die Antwort tot.

Nur falls jemand über das gleiche Problem stolpert :)

[BusinessTux]

Danke, dass Du die Lösung geschrieben hast. Das hat mir gerade die Lösung für andere Medizini-Domains wie *.ti-dienste.de gebracht.

[Wicky]

Zunächst möchte ich mich auch bedanken, da mich diese Lösung auf die richtige Spur gebracht hat.

Allerdings gibt es im Menü
Dienste > Unbound DNS > Allgemein

nicht mehr den Punkt Custom Options

Dieser soll ab Version 21.7 entfernt worden sein.

In der aktuellen Version 25 findet man das Feld um die Domains einzutragen nun unter
Dienste > Unbound DNS > Erweitert -> Private Domains

Da ich einige Zeit gebraucht habe um das in der aktuellen Version zu finden, wollte ich den Beitrag nur etwas aktualisieren.

[JeGr]

Ein Punkt den man dazu beachten sollte: Unbound hat das aus gutem Grund getan, denn der CGNAT Adressbereich ist nicht dafür gedacht irgendwas darin zu hosten. Dass die Domain im Beispiel überhaupt in einem Public DNS eine CGNAT Adresse drin hatte, schreit nach falscher/falsch verstandener Konfiguration beim Hoster. Denn jeder, der selbst hinter CGNAT sitzt oder den Bereich andersweitig nutzt, dürfte vom Dienst nie eine Antwort erhalten können.
Ja, das lief/läuft über Telematik und VPN. Allerdings: viele VPN Mesh Setups oder Overlays nutzen inzwischen als Transport Netz bei der Einwahl den CGNAT Space. Wer also dazu noch Netbird, Tailscale o.ä. am Laufen hat, wird da in harte Probleme laufen.

Also wenn eure fehlerhafte Domain CGNAT Space nutzt, sollte man vielleicht auch mal nachfragen, ob das so seine Richtigkeit hat oder jemand einfach nur eine 0 bei 10.x zu viel getippt hat ;)

Ansonsten ist der Rest natürlich absolut korrekt bei privaten Adressen mit dem Override über Erweitert/Private Domains damit die Auflösung von zusätzlichen Domains (außer der, die die Sense selbst schon hat) sauber klappt.

Cheers :)