IT Spezialist braucht IT Spezialist
 

N'Abend,

mich treibt ein Problem um welches ich nicht lösen kann.
Ich habe folgende Infrastruktur welche hier eine Rolle spielt:

MacBook Pro mit M1Pro und MacOS Ventura 13.3 dazu einen Anschluss von deutsche Glasfaser mit einer Fritz!Box 7590 als Router.

Ich habe mehrere VPN Verbindungen von meinem MacBook ausgehend zu verschiedenen (externen) FritzBoxen, diese sind teils über das hauseigene DynDNS abc.myfritz.net erreichbar und teils über statische IPV4 Adressen oder andere DynDNS Dienste erreichbar.
Die VPN werden über die in MAC OS integrierte Software hergestellt.

Seit gestern habe ich das Problem, dass die VPN Verbindungen zu den abc.myfritz.net Adressen nicht mehr funktionieren.

Folgender Fehler wird quittiert:

VPN-Verbindung
Der VPN-Server konnte nicht gefunden werden. Überprüfe die Serveradresse und versuche erneut, eine Verbindung herzustellen.

Ich kann die VPN Server auch nicht mehr pingen:
ping abc.myfritz.net
ping: cannot resolve abc.myfritz.net: Unknown host

nslookup geht auch nicht:
nslookup abc.myfritz.net
Server: 192.168.x.y
Address: 192.168.x.y#53

Non-authoritative answer:
*** Can't find abc.myfritz.net: No answer

Ich erreiche die Fritz!Boxen aber über diese Adresse mittels Browser, komme also auf die Benutzeroberfläche der Fritz!Boxen drauf.

ein Ping von Linux Computern (Raspberry) geht (was ja eigentlich logisch ist)

Ich hätte jetzt ein SMC Reset auf dem MAC gemacht, was aber seit den M1/2 Prozessoren nicht mehr geht.


Jemand eine Idee?

Das hast du wahrscheinlich auch gefunden:
Und natürlich gibt es keine Garantie, Gewährleistung oder sonstwas, dass es funktioniert.

Mein Kumpel ist IT Spezialist, und vertritt den Standpunkt, dass ein Großteil aller PC- Probleme durch Stecker ziehen und Neustart behoben wird. Klingt nicht besonders klug, aber manchmal sieht man ja vor lauter Bäumen den Wald nicht. Viel Erfolg weiterhin ;)

Reboot tut gut ;).

Schaut irgendwie nach eine merkwürdigen DNS Thema am MAC aus.

Würde mal folgenden Befehl versuche (Cache löschen/einer der DNS Dienste neu starten).

sudo dscacheutil -flushcache;sudo killall -HUP mDNSResponder


Ansonsten würde ich mal den Netzwerkadapter zurücksetzen und wenn alles schief läuft, manuell die IP Config mit DNS Server im Internet versuchen.

Regel Numer 1: Es ist immer DNS.

Mach mal ein traceroute.

Hast du vllt eine lokale resolv.conf?

Was bekommst du wenn du die domains vom mac bei 8.8.8.8 aufrufen willst

Welche Reihenfolge nutzt du bei den DNS servern auf deinem Mac? Vllt mal auf deine lokale Fritzbox umstellen als DNS server oder auf 8.8.8.8 (oder eben umgekehrt).

Ansonsten kannst du auch mal Wireshark laufen lassen und dann siehst du genau wo die DNS Pakete hingehen und was du zurück bekommst.

die "Variante" hab ich natürlich hinter mir....mehrfach

schon gemacht, keine Wirkung

ich glaube der DNS vom Provider ist nicht das Problem, ich hab schon die Google NameServer eingetragen (8.8.8.8 und 8.8.4.4)

Die macOS Firewall spielt da aber nicht rein? Hast du die schon geprüft.

Wo bleibst du hängen, wenn du den traceroute machst?

Hey Sabine, ich hab Dir mal nen Link rausgesucht der in die von Matrix vorgeschlagene Richtung geht:
https://www.switchingtomac.com/macos...-on-macos/amp/

Die Syntax im aktuellen OS ist wohl ein klein wenig anders:
sudo killall -HUP mDNSResponder


Sonst zum weiter eingrenzen:
- Hast Du beim MacBook nur mit den Fritzboxen und VPN das Problem, oder generell mit Netzwerkverbindungen?
- Klappt das von nem anderen Device (Apple und/oder Windows)?

da bin ich bei dir.
Ein nslookup von einer existierenden Fritz!Box gibt aus:

Server: 192.168.254.253
Address: 192.168.254.253#53

Non-authoritative answer:
*** Can't find fritzexists.myfritz.net: No answer


Ein nslookup von einer nicht existierenden Fritz!Box gibt aus:

Server: 192.168.254.253
Address: 192.168.254.253#53

** server can't find abc1234.myfritz.net: NXDOMAIN




traceroute: unknown host abc123.myfritz.net

( egal was ich mach, ob die Box existiert oder nicht, kommt dasselbe zurück)


Da steht meine Fritz!Box drin:
search fritz.box
nameserver 192.168.254.253


Die Google Nameserver hab ich schon probiert, bzw. ich die hab ich schon eingetragen 8.8.8.8 ud 8.8.4.4

Das hab ich gerade mal runtergeladen. Muss ich mich erst mit beschäftigen.


Ich hab jetzt mal mein iPhone als Hotspot benutzt und bei diesem WLAN abgeschaltet. Das Phänomen bleibt.

wie oben geschrieben, hier, bzw. sofort:

traceroute abc123.myfritz.net
traceroute: unknown hostabc123.myfritz.net

danke, hab ich durchgearbeitet. Leider keine Hilfe. Meine Mac Firewall ist deaktiviert.
DNS hab ich mehrfach geleert.
Fritz!Box durchgestartet.

Habs auch schon geschrieben: Vom Linux Rechner (2x Raspberry ) und vom Windows Computer gehts.

root@raspberrypi1:~# traceroute abc123.myfritz.net
traceroute to abc123.myfritz.net (xy.xy.xy.xy::15ce), 30 hops max, 80 byte packets
1 xy.xy:1000:30::15ce (xy.xy.xy.xy:30::15ce) 5.533 ms 5.516 ms 5.462 ms


C:\Users\peter>tracert abc123.myfritz.net

Routenverfolgung zu abc123.myfritz.net [xy.xy.xy.xy:30::15ce]
über maximal 30 Hops:

1 <1 ms <1 ms <1 ms xy.xy.xy.xy::30::15ce

Ablaufverfolgung beendet.



Das Witzige ist, über einen Browser kann ich die Adresse aufrufen, ich habe Safari und Chrome, gehen beide.

ich habe ein dig abc123.myfritz.net gemacht.
1x vom Raspberry und 1x vom Mac aus.

Wenn ich das richtig sehe, ist der Output binärgleich.
Was sagt mir das jetzt?


Edit:
Anscheinend funktioniert dig, nslookup aber nicht.


Ich glaube ich muss umschulen.

Ich glaube, dass ich einen Schritt weiter bin.

ein dscacheutil -q host -a name abc123.myfritz.net

liefert ausschließlich ipv6 Adressen.

daher geht auch ein ping6 abc123.myfritz.net

Auf dem Raspberry geht ein ping, ein ping6 aber kein ping4:
root@raspberrypi1:~# ping4 abc123.myfritz.net
ping: abc123.myfritz.net : Zu diesem Hostnamen gehört keine Adresse
Wobei hier der ping6 und ping4 symbolische Links auf ping sind.


Jetzt muss ich nur noch rausfinden, was sich geändert hat.
Vermutlich irgendwas in meinem ipv6 Setup.

Hat abc123 evtl einfach keine ipv4 mehr?

Du kannst auch mal wenn du Zugriff hast in einem der anderen Netze ein Tailscale zu installieren und dann drauf connecten, das geht ohne das Fritz geraffel.

Dann auf dem Gegenpunkt im anderen Netz ein nectar aufmachen auf einem Port und den Port auf der FRITZ!Box dort forwarden, dann kannst du vergleichen was passiert Wenn du von aussen drauf gehst vs. Von draussen über IP (sofern du die hast) vs. Über Tailscale.

Das weiß ich nicht. Bzw. ich glaube, dass die ganzen Glasfaser Anschlüsse immer nur ipv6 Adressen haben.
Intern (also im eigenen Glasfaser Netz ) gibt es ipv4 Adressen.
Ich habe ein VPN zu dieser ipv4 Adresse herstellen können (ich bin ja auch bei diesem Anbieter).


Ich glaube, dass das Problem mit dem Update auf MacOs Ventura 13.3 zusammenhängt.
Das ist diese Woche rausgekommen und ich habe das natürlich installiert.......

Wenn ich nun das MyFritz dnyDNS richtig verstanden habe, dann ist Die Frage ob Deine Fritzbox noch eine IPv4 hat die Entscheidende.
Update auf der Fritzbox gelaufen?
Andererseits wozu brauchst Du IPv4?
Die Frage ist dann warum Dein Apple neuerdings nicht mehr nach IPv6 fragt?
Edith, dem Apple in lokal nur noch eine IPv6 zuweisen?
im lokalen LAN/VPN nur noch IPv6 nutzen!?

Es geht ja um verschiedene Fritz!Boxen.
Das Problem ist ja das VPN zu denen und nicht zu mir, da brauche ich das höchstens wenn ich unterwegs bin.


Ich selber habe eine statische IPv4 Adresse, es gibt einen Dienstleister der (exklusiv ) für DG Kunden eine statische IPv4 zur Verfügung stellt.
Tja. Und wozu IPv4? Ich persönlich, weil es halt Sachen gibt, die gibt's gar nicht (mehr) und dafür brauche ich IPv4.

ne. das ist keine Option.
Ich habe hier 20 oder 30 Smarthome Geräte (Schalter, Sensoren, Arduinos, etc), die alle nur IPv4 können.

peter@saturn:~$ host abc.myfritz.net
abc.myfritz.net has IPv6 address ::15ce

Mir scheint Deine Fritzbox weiß nicht mehr daß sie eine IPv4 hat. :bussi:

Mir fällt gerade ein, dass ich bisher (also vor dem Problem) gar nicht versucht habe die FritzBoxen mit ping/nslookup/etc anzusprechen.
Ich hatte ja ein funktionierendes VPN.......
Kann also sein, dass das vorher auch schon nicht funktioniert hat.

Ich habe aber eine (wenn auch etwas gebastelte) Lösung gefunden:
Da ich bei Glasfaser bin und die anderen FritzBoxen auch sind wir alle im gleichen Netz unterwegs innerhalb dessen es ipv4 Adressen gibt, die aber nur dort (intern) erreichbar sind.
Ich habe bei den FritzBoxen nun einen Pushservice eingerichtet der mir per Mail mitteilt wenn sich mal eine solche Adresse beim neuen Verbinden ändert.
Die VPNs habe ich auf diese Adressen umgestellt, so dass ich nun unabhängig von myfritz.net bin.

Natürlich werde ich noch versuchen die echte Ursache zu finden.
Wenn ich diese kenne werde ich sie hier teilen.

Hast du einen DSlite mit privaten IPv4 Adressen und öff. IPv6 Adressen?
Und nun baust du über das "interne" IPv4 des Providers den VPN auf?

genau

Das Ganze ist nicht besonders wichtig.
Es handelt sich um 2x VPN zu engen Verwandten und 1x VPN zu dem Geschäft von einem Freund dem ich hobbymäßig bei der IT aushelfe.
Ist alles auch fußläufig zu erreichen aber ihr kennt da ja alle.
Kannst du mal eben vorbeikommen, machst ja HomeOffice ( hat sich noch nicht rumgesprochen dass auch dort Anwesenheitspflicht ist), daher erleichtert das VPN so einiges.

Vor dem workaround: Du kommst mit macos auf das web interface der remote fritzbox (!?) kannst aber keine VPN von macos darauf aufbauen? (!)

m.

Genau.

- Könntest Du einen VPN starten aus Windows oder Linux als VM unter macOS (ich weiss nicht ob das überhaupt geht - es klingt nicht ganz gerade)

- Die remote fritzbox ist okay?

m.

Mach mal ein

Nc abc.myfritz.net 80
Nc abc.myfritz.net 443
Nc -z -v abc.Myfritz.net 1-10000 und schau mal ob du da ports siehst.

Oder Versuch mal openvpn von der command line starten

Wenn kein Erfolg alle Schritte nochmal mit Wireshark und die Pakete anschauen.

Ich hoffe & denke wir sind bei wireguard.:Blumen:

Ah ich ging bis dato davon aus das er per VPN direkt auf die Fitz geht (die ja direkt auch von Server spielen können)

FritzOS kann ja auch mittlerweile wireguard.:Blumen:

ich nutze kein Wireguard

Hab jetzt Wireguard getestet, leider keine Verbesserung.
Bei aktiviertem Wireguard kann ich ich weder Geräte der Gegenseite erreichen noch eigene Geräte noch das Internet. :Gruebeln:

Ich werde jetzt meinen Mac löschen und neu aufsetzen.

Wäre das mit Windows passiert käme jetzt der Tipp nimm doch Mac oder Unix.

:Lachanfall: :Lachanfall: :Lachanfall:

SCNR

Hab ich gemacht.
Das Problem hat sich nicht verändert.
(Wobei ich habe es nicht so richtig gemacht. Bei den M1/M2 Macs ist das nicht mehr so einfach wie bei den Intel Macs. Man kann also nicht ohne weiteres auf das MacOs zurück mit dem der Mac ursprünglich ausgeliefert wurde, sondern nur auf das aktuelle, sozusagen "clean Installation")


Hab im Anschluss mit Wireguard rumgespielt.
Die von der Fritz!Box generierte Config war nicht ganz korrekt. Man muss noch ein wenig an den "Allowed IPs" schrauben. :Maso:

Jetzt geht es (mit Wireguard).


Danke für alle an alle Tipps!

Ich hatte mich ja nicht getraut zu schreiben daß dann ja das Problem eingekreist ist.:bussi:

Schön daß Du das aufgenommen hast. Das finde ich so geil von der Konfiguration her. Die AllowedIPs machen dann letztlich das Routing.
Unfassbar easy zu verstehen.

eigentlich nicht. Das Ganze hat ohne funktioniert und sollte es auch weiterhin.

OK, ich spendiere noch ein ;)