GZB – Gero Zahns Blog – ger.oza.hn

Das Leid fing an, als T-Online a/k/a T-Home die so genannte „Navigationshilfe“ einführte. Im Grunde genommen könnte man annehmen, es sei eine gute Idee, bei Eingabe eines nicht existenten Domainnamens statt einer nichts sagenden Fehlermeldung „Domain nicht gefunden“ (auf englisch: „non existent domain“, technisch verkürzt: NXDOMAIN) eine freundliche Seite anzuzeigen, auf der mit Suchmaschinenhilfe hoffentlich die tatsächlich gemeinte Seite aufzufinden ist (siehe Beispiel – geklont von peffianer.com).

Zwei Haken hat der Plan: Es wiegt schon schwer genug, dass die Suchmaschinen-Ergebnisse des „Rosa Riesen“ nichts taugen – von den dort auch noch geschalteten, ebenfalls völlig irrelevanten Werbebannern mal ganz zu schweigen. Gravierender in meinem Fall: Ich als Webschaffender bin auf korrekte NXDOMAIN-Fehlermeldungen angewiesen. Wenn eine Domain zu einem bestimmten Zeitpunkt noch nicht erreichbar ist, sollen sich mein Router und meine Clients gefälligst keine „gefälschte“ IP-Auflösung im DNS-Cache merken, die zur unnützen T-Home-Navigationshilfe weist. Denn in dem Fall warte ich in der Regel Hände ringend darauf, dass die korrekte IP eines Hostnamens sich weltweit herumspricht.

Ergo folgte unverzüglich die Frage, wie man die ungefragt aufgeschaltete Navigationshilfe wieder los wird, sprich: wie man sie abschalten kann. T-Home erklärt dies auf ihren Support-Seiten zwar – allein, bei mir funktioniert das auch bei wiederholter Anwendung nicht. Dass ich mich dabei nicht einfach nur zu doof anstelle, bestätigen viele gleich lautende Hilferufe anderer T-Onliner.

Dazu kam die damals schwelende „Zensursula“-Problematik der technisch ähnlich funktionierenden, DNS-basierenden Internet-Sperren. Wäre man versehentlich auf einer vom Provider produzierten „STOPP“-Seite gelandet, wäre man trotz anders lautender Versprechen der Politiker sicher allzu leicht im Logfile der Ermittlungsbehörden gelandet – und das nur, weil der IP-basierende Sperr-Ansatz konzeptionell nichts taugt.

Also gab es nur eins: Weg vom T-Online-DNS-Server.

Erst einmal vorab: Wer das mit einer AVM Fritz!Box machen will, der hat einiges vor sich.

Die Anleitung nur kurz stichpunktartig:

• Telnet-Port freischalten.
• Mit nvi die Datei /var/flash/ar7.cfg editieren.
• Wenn nvi nicht laufen mag: Freetz-Firmware inklusive nvi generieren und aufspielen.
• Alle Vorkommensstellen von „dns1“ bzw. „…2“ (ausser im Abschnitt „servercfg“) und „overwrite_dns1“ bzw. „…2“ von „0.0.0.0“ auf die gewünschten DNS-Server umstellen, sowie „dhcpc_use_static_dns“ von „no“ auf „yes“ umstellen.
• Router rebooten oder zumindest einen DSL-Reconnect erzwingen (geht gut mit Freetz).
• Dann und wann checken, ob die Fritz!Box nach einem Kaltstart die selbst gewählten DNS-Server nicht wieder vergessen hat – was mitunter passiert, dann alles nochmal von vorn.

Sind Sie noch da? 🙂

Nehmen wir nun also an, die Fritz!Box ist in die Lage versetzt, selbst gewählte DNS-Server zu verwenden. Aber welche soll man denn nehmen?

Seit kurzem besteht die Möglichkeit, Googles DNS-Server 8.8.8.8 und 8.8.4.4 zu verwenden. Kurz gesagt: Das funktioniert und ist der Weg des geringsten Widerstandes. Darüber, ob das eine gute Idee ist oder nicht, werde ich zu einem späteren Zeitpunkt in einem gesonderten Blog-Beitrag sinnieren.

Damals gab es diese Option noch nicht. Zum damaligen Zeitpunkt war es chic, die DNS-Server vom FoeBuD e.V. und vom Chaos Computer Club (CCC) zu verwenden. Nur war deren Verfügbarkeit laut meiner Erfahrung hier und da wackelig – was meine Fritz!Box mit einer unschönen Endlosschleife aus Reboots quittierte, von ohne funktionierender DNS-Auflösung nicht wirklich nutzbarem Internet mal ganz zu schweigen.

Als laufstabile Alternative bietet sich OpenDNS an – zumindest theoretisch. Die IP-Adressen der OpenDNS-Server sind bekannt: 208.67.222.222 und 208.67.220.220. Deren Benutzung ist kostenlos. Wo ist also das Problem?

Nun: Die T-Online-DNS-Server durch die OpenDNS-Server zu ersetzen wäre, den Teufel mit dem Beelzebub auszutreiben. Denn OpenDNS generiert bei nicht-existenten Domains per Default ebenfalls keine korrekten NXDOMAIN-Fehlermeldungen, sondern Pseudeo-IP-Auflösungen auf deren „Guide Pages“ – wiederum mit mehr oder weniger hilfreichen, ggf. bezahlten Suchmaschinenergebnissen.

Das lässt sich deaktivieren – theoretisch ganz einfach, praktisch aber schwer durchführbar. Vereinfacht gesagt:

• Man registriere einen kostenlosen OpenDNS-Account und nenne OpenDNS die eigene IP.
• Für DNS-Anfragen von dieser IP kann man nun so genannte „Advance Settings“ konfigurieren. Unter anderem lässt sich die „Typo Correction“ abschalten – in Tateinheit mit den unerwünschten Guide-Page-IP-Auflösungen statt der gewünschten NXDOMAIN-Fehlermeldungen.
  

  OpenDNS - Advanced Settings

• Die Nebenwirkung ist, dass der in OpenDNS integrierte Phishing- und Content-Filter auf bekannte böswillige Domains nicht mehr genutzt werden kann. Das ist von Fall zu Fall schade – aber zu verschmerzen.
  

  OpenDNS - Keine Content-Filterung

Der Haken ist, OpenDNS die mindestens täglich dynamisch wechselnde IP-Adresse bei T-Home mitzuteilen, damit die Advanced Settings persistent sind. OpenDNS empfiehlt hierzu, an den Windows- und Mac-Clients einen so genannten „Updater-Client“ zu installieren, der zu diesem Zweck auch von hinter dem NAT-Router aus zyklisch nach Hause telefoniert. Zitat:

OpenDNS recommends that you use our client-side software to keep your dynamic IP updated for your network. The OpenDNS Updater will run in your system tray and send updates to your account whenever your IP address changes. This will help ensure that your system preferences are applied to your network at all times. Simply download the software, enter your OpenDNS username, password and network label in the required fields, and the OpenDNS Updater will do the rest.

Aber was ist mit Linux-Clients? Und was ist, wenn ich morgens vom Frühstückstisch als erstes via WLAN vom iPhone aus meine Mails checke? Mit Verlaub gesagt: Ich betreibe keinen (W)LAN-Router, um anschließend die Clients mit irgendwelchen Abhängigkeiten und potenziellen Sicherheitslücken zu belegen.

Wie also könnte die Fritz!Box direkt nach dem nächtlichen IP-Wechsel die neue IP an OpenDNS melden? Idee: Die Fritz!Box enthält einen durchaus flexibel konfigurierbaren DNS-Updater – der, nebenbei bemerkt, bereits durch meinen DynDNS.com-Hostnamen belegt ist. Mehrere DNS-Updates auf einen Schlag vermag die Fritz!Box mit Bordmitteln nicht vorzunehmen. (Wohl aber wohl mit inadyn im Freetz – habe ich aber nicht getestet.)

Ideal wäre also ein dynamischer DNS-Dienst, der nächtlich von der Fritz!Box bedienbar ist, und der die mitgeteilte IP postwendend an einerseits DynDNS.com und andererseits an OpenDNS weiterleitet. Ob es sowas wohl gibt?

Gesucht, gefunden: DNS-O-Matic – ein Dienst, der freundlicherweise zur OpenDNS-Gruppe gehört. Als Zugangsdaten funktionieren ohne weitere Verrenkung die des sowieso schon vorhandenen kostenlosen OpenDNS-Accounts. Von hier aus geht es unter der Haube auf Wunsch direkt zu OpenDNS weiter – und auf API-Ebene auch zu DynDNS.com, sofern man DNS-O-Matic die DynDNS.com-Zugangsdaten aushändigt.

Aber: Kann die Fritz!Box auch mit DNS-O-Matic?

In kurz: Ja.

In länger: Es kostet einige Flüche und zusätzliche graue Haare. Aber kaum macht man es richtig, funktioniert es auch schon.

Im Internet finden sich verschiedene Anleitungen – von denen wiederum diverse User behaupten, dass sie auf ihrer jeweiligen Fritz!Box funktionieren … oder auch nicht. Insofern kann ich an dieser Stelle nur kund tun: Folgende Lösung arbeitet auf einer Fritz!Box 7050 mit Firmware 14.04.33freetz-1.1. Meinen Experimenten zu Folge ist aber das Problem, warum das IP-Update bei DNS-O-Matic bei einigen Leuten nicht funktioniert, ein ganz anderes.

Bei mir funktioniert folgende Update-URL:

http://updates.dnsomatic.com/nic/update?myip=<ipaddr>

Bei manchen funktioniert die Anfrage auch per https – wenn nicht: Ich halte SSL an dieser Stelle für vernachlässigbar.

Es ist ausdrücklich nicht nötig, den Benutzernamen und das Passwort via <username>:<pass>@updates.dnsomatic.com in die URL einzutragen: Die HTTP-Passwortabwicklung macht die Fritz!Box schon selbst, wenn in den entsprechenden Feldern die korrekten Zugangsdaten (zur Erinnerung: Die von DNS-O-Matic ie. die von OpenDNS) in den betreffenden Feldern eingetragen sind.

Wichtig ist hingegen folgendes: Der in der Fritz!Box eingetragene Domainname ist keinesfalls beliebig. In meiner Konfiguration funktioniert es ausdrücklich nur dann, wenn der Domainname dem DynDNS-Host/Identifier entspricht, der in der DNS-O-Matic zur Anbindung von DynDNS.com eingetragen ist.

So konfiguriert funktioniert’s – bei mir. Am Ende steht ein Internetzugang bei T-Home mit einer Fritz!Box Fon 7050, die die jeweils aktuelle IP via DNS-O-Matic an DynDNS.com und OpenDNS weiterreicht, und der über die Nameserver von OpenDNS keine unerwünschten Guide Pages, sondern korrekte NXDOMAIN-Fehlermeldungen bekommt.

Share