PSA - FRITZ!Box-Problem: Eingabe der URL fritz.box leitet auf externe Seite um

[newsense]

Available in English and German, links below

Problem für Nutzer einer AVM-FRITZ!Box, die versuchen, aus dem Heimnetzwerk auf die Verwaltungsoberfläche des Routers zuzugreifen. Bei Eingabe der URL fritz.box landen die Nutzer aber nicht auf der Anmeldeseite der FRITZ!Box, sondern werden auf eine externe Webseite umgeleitet. Zwei Nutzer haben mich auf das Problem hingewiesen, wobei ein Nutzer einen Hack vermutete. Ursache ist eine Verkettung zweier Sachverhalte, die dieses Verhalten provozieren. Jemand hat eine Domain fritz.box registriert und DNS-Server von Google lösen dann auf diese Seite auf. Abhilfe schafft die Eingabe der IP-Adresse der FRITZ!Box oder die Verwendung eines anderen DNS-Servers.

https://borncity.com/win/2024/01/26/fritzbox-entering-the-url-fritz-box-suddenly-redirects-to-an-external-page/

https://www.borncity.com/blog/2024/01/26/fritzbox-problem-eingabe-der-url-fritz-box-leitet-pltzlich-auf-externe-seite-um/

[august]

Naja, AVM ist da selbst schuld, wenn sie sich so eine "box" TLD ausdenken und nicht dafür sorgen, dass die irgendwann mal reell in der Welt existieren könnte. Wobei zu den Zeiten, als sie es ausgedacht hatten (so um 2005, würde ich mal grob schätzen, seit 2006 bin ich selbst dabei), war das Internet noch ganz klein und nicht so böse.

Aber Scherz beiseite. Mir fallen da spontan mehrere Tipps und Lösungen ein, die ich bei mir intensiv und seit Jahren nutze:

1. Wer bei sich 8.8.8.8 als ersten DNS einträgt ist selbst schuld. Vor allem, wenn er das bei den Clients tut. Man sollte hier bitte nicht an der Hierarchie vorbei gehen: OPNsense -> FritzBox -> InternetProvider -> 8.8.8.8. Genau so tut es auch AVM. Sprich, so ein 0815-User wird dieses Problem nicht haben, weil der lokale DNS-Server der FritzBox die Adresse "fritz.box" sauber zu 192.168.178.1 auflöst (ich spreche hier von einem 0815-Fall) und gar nicht draußen danach fragt. So muss man es auch immer implementieren.

2. AVM hat in den Boxen schon seit Jahren eine Möglichkeit geschaffen, den Namen der Box zu ändern. Das würde ich echt immer empfehlen zu tun und "fritz.box" ganz vergessen. Spätestens wenn man mehrere Boxen im lokalen Netz hat, funktioniert es mit der "fritz.box" nicht mehr. Achtung! Unglücklicherweise ändern sich nach der Umbenennung der Box sämtliche WLAN-Namen und sonstige Sachen. Das hat AVM sehr unglücklich gemacht, aber wiederum vermutlich für so einen 0815-User, der es als logisch empfinden würde. Ich nicht. Das ist aber eine andere Geschichte.

3. Man kann ja auch FREETZ-NG mit dnsmasq nutzen. Da verlassen wir zwar die besagte bequeme 0815-Zone, aber ist für Fortgeschrittene unter uns ja grundsätzlich möglich. Oder von mir aus "den fremden DNS-Server" nutzen, was viele mit so einem PiHole sowieso tun, vermutlich ohne es zu wissen. Quasi DNS-Anfragen nicht von der Box auflösen lassen, sondern zum RPI weiterleiten und dort durch PiHole filtern lassen. Und was hat PiHole als Grundgerüst? Richtig! dnsmasq. Bei dnsmasq gibt es Tausende Möglichkeiten, "fritz.box" im lokalen Netz zu belassen oder z.B. mehrere Aliase der gleichen IP der beliebten Box von Anfang an per "hosts" zu verleien. Und, und, und.

4. Nun landen wir bei OPNsense. Und was sehen wir? Auch OPNsense bietet sehr viele Möglichkeiten, das besagte Problem zu lösen. Zu einem dnsmasq (s. Punkt 3). Wer dnsmasq als DNS-Server nutzt, kann sich darin austoben. Aber auch Unbound DNS bietet solche Möglichkeiten. Alleine "Overrides" fallen mir spontan ein: fritz.box auf die (von mir aus) 192.168.178.1 matchen und fertig ist es. Schon löst OPNsense es auch richtig auf.

Die Punkte 3 und 4 gehen natürlich von einer entsprechend richtig hierarchisch konfigurierter DNS-Kette aus. Wenn jemand wieder mal in den Clients 8.8.8.8 als DNS-Server an dem Router und dem Provider vorbei einträgt, dem ist sowieso nicht zu helfen. Der ist selbst schuld (s. Punkt 1).

Gruß

[JeGr]

> Die Punkte 3 und 4 gehen natürlich von einer entsprechend richtig hierarchisch konfigurierter DNS-Kette aus. Wenn jemand wieder mal in den Clients 8.8.8.8 als DNS-Server an dem Router und dem Provider vorbei einträgt, dem ist sowieso nicht zu helfen. Der ist selbst schuld (s. Punkt 1).

Oder als Ergänzung:

- In OPNsense eine gültige echte oder gültige interne (.home.arpa, .lan in Ausnahmen, .test) Domain nutzen
- fritz.box (bzw. *.fritz.box) in der Sense auf die IP der Fritte zeigen lassen
- ALLES ANDERE von der OPNsense mit Unbound als RESOLVER ordentlich auflösen lassen und als Bonus noch diverse Blocklisten gleich mit reinladen, die solchen Quatsch gleich via 0.0.0.0-Blocking ins Nirvana bröseln.

Damit: Kein komischer 8.8.8.8/quad9/Cloudflare1111 Forwarder (oder sonst irgendeiner), keine zentrale Stelle die sich irgendwelchen Quatsch unterschieben lässt, keine Stelle die sich zensieren lässt oder ein Provider DNS der mal wieder irgendwelche Funktionsstörungen hat. Einfach sauberes DNS vom Root nach oben sauber aufgelöst ohne irgendwelche Firmen dazwischen, die das so gerne Gratis für dich übernehmen. Du willst test.de? Klasse, dann fragen wir die ROOTs nach DE, dann DE wer Test hostet und dann die DNSe von test.de selbst. Damit wird man auch nicht mal eben von "gutgemeinten" Forwardern mal eben "woandershin umgeleitet" weil man dachte, du suchst vielleicht doch nach Google ;)

Und mit der Einstellung ist man dann auch bei diversen "Großstörungen" (die sich dann als DNS Fuck-Up entpuppten) dann fein raus und fragt sich wo das Problem war :)

Aber natürlich muss man auch AVM dafür mal ordentlich an die Birne hauen, dass sie so doof sind, sich wirklich fritz.box abnehmen zu lassen, wenn sie es seit Jahren in Produkten verbauen. Wenn ich dann mitbekomme "Hey, das wird ne echte Domain", muss das doch das ERSTE sein, was ich mache, in einer Sunrise Period für neue Domains reinzugrätschen und zu sagen "WIR haben da BEDARF!" damit sich das keiner sonst holen kann. Alles andere ist halt schon hart bescheuert. Es ist ja auch nicht so, als stünden im RFC von DNS keine Ausnahmen für Domains, die garantiert Lokal! bleiben und nie im Netz existieren, die man hätte nutzen können. Aber klar, die klingen alle nicht so geil - hauptsache es sieht gut aus ;) Wer will schon fritz.test oder fritz.home.arpa - wäre aber eben sauber gewesen :)

Erlaubt bzw. "erstmal gesichert" sind laut Appendix G in RFC 6762 außer .home.arpa (was eigentlich für den Zweck bestimmt ist) die Endungen:
  .intranet.
  .internal.
  .private.
  .corp.
  .home.
  .lan.

Sollte man bei der Geschichte von TLDs lieber vorsichtig mit sein. Was jetzt noch "geschützt" ist, könnte übermorgen nach genug Zuschüssen dann schon in den Verkauf gehen ;)


Cheers
\jens

[cadzen]

@ JeGr

+1

[Patrick M. Hausen]

Erlaubt bzw. "erstmal gesichert" sind laut Appendix G in RFC 6762 außer .home.arpa (was eigentlich für den Zweck bestimmt ist) die Endungen:
  .intranet.
  .internal.
  .private.
  .corp.
  .home.
  .lan.

Daher immer meine Empfehlung, eine Subdomain einer Domain zu benutzen, die einem selbst gehört.

Beispiele:

• Firma: intern.punkt.de
• Homelab: ettlingen.hausen.com

Gruß
Patrick

[JeGr]

Erlaubt bzw. "erstmal gesichert" sind laut Appendix G in RFC 6762 außer .home.arpa (was eigentlich für den Zweck bestimmt ist) die Endungen:
  .intranet.
  .internal.
  .private.
  .corp.
  .home.
  .lan.

Daher immer meine Empfehlung, eine Subdomain einer Domain zu benutzen, die einem selbst gehört.

Beispiele:

• Firma: intern.punkt.de
• Homelab: ettlingen.hausen.com

Gruß
Patrick

Exakt. Plus jegliche Problematik mit DNS die daraus folgt, dass man keine "echte" Domain nutzt (via ACME valide Zertifikate erstellen etc.) entfallen ebenfalls, weil man vollen Handlungsspielraum hat :)

[monty_burns_007]

Ich habe jetzt das gleiche problem mit fritz.box den resolvt nacht den internet adresse.
Ich benutze ein FritzBox mit IP 192.168.178.1, ins LAN IP4 settings den DNS IP ist auch 192.168.178.1

Von die Fritzbox hab ich ein LAN kabel nacht den OpnSense WAN port, von OpnSense LAN port geht dat weiter ins hause.
Den FritzBox ist den DHCP server. Den OpnSense ist eingerichted wie ein Transparent Filter Bridge.
Ich benutze Unbound DNS für ad & tracking blocking.

Aber wenn ich jetzt in mein hause LAN ping nach fritz.box oder PC.fritz.box dann antworted immer den internet dns domain von Fritz.box.

ins System => Settings => General habe ik bei "DNS servers" kein entries gemacht.
Bei "DNS Server options" hab ich "Allow DNS server list to be overridden by DHCP/PPP on WAN" angetickt. (exclude none)

Bei Unbound DNS habe ich das nur aktiviert.
Overrides funzt nicht richtig.

Wenn ich den IP von den OpnSense als DNS gebrauche krieg ich immmer 45.76.93.104 (internet) wie antwort auf fritz.box.
Wie kann ich den OpnSense einrichten um dieses problem zu fixen und wieder mein lokal IP's zu sehen ?

[monty_burns_007]

das einzige solutions ist alle lokalen hosts 1 per 1 ins Unbound DNS Host Overrides ein zu tragen.

Aber wen ein neues device ins LAN über DHCP ein IP kriegt, dan ist die ping danach wieder den Internet IP.
Also Ich muss al meine bekennte devices ein festes IP geben und ins Overrides hosts eintragen.
Man man auch een wildcard genutzen
Host : *
Domain : fritz.box
IP : 192.168.178.1

aber dan werden alle device nach 192.168.178.1 resolved. auch die devices die ich fest overide mit anderes IP.

Keine nettes solutions.

Den Domain von OpnSense welche man muss einfugen tut nichts. habe das jetzt auf home.arpa gesetzt.
Since den Fritzbox is noch immer den DHCP, den fritz.box is immer appended, nicht die domain home.arpa.

[Patrick M. Hausen]

Ihr braucht in Unbound kein Domain Override sondern genau ein einzelnes Host Override: fritz.box --> IP-Adresse der Fritzbox. Und natürlich nicht .fritz.box als lokale Domain benutzen, ist sowieso Blödsinn.