Diskussion:Gratis Internet (3): DNS Tunnel unter Windows: Unterschied zwischen den Versionen

Aus NOBAQ
Zur Navigation springenZur Suche springen
(Ein Kommentar wurde von Bai du über die Programmerweiterung ArticleComments abgegeben.)
K (Änderung 1413 von 123.254.104.11 (Diskussion) rückgängig gemacht.)
Zeile 770: Zeile 770:
  
 
Erster Schritt: Mit "dig" direkt auf den Server Abfragen auf "A" record und "TXT" record. Ersteres sollte die mit "-i" angegebene IP zurueckliefern, zweiteres das aktuelle Datum ...
 
Erster Schritt: Mit "dig" direkt auf den Server Abfragen auf "A" record und "TXT" record. Ersteres sollte die mit "-i" angegebene IP zurueckliefern, zweiteres das aktuelle Datum ...
</comment>
 
== Bai du meinte … ==
 
 
<comment date="2013-04-19T14:14:48Z" name="Bai du" url="http://www.baidu.com">
 
Baidu world's largest Chinese search engine dedicated to Internet users more convenient access to information, find the demand.Baidu over billions of Chinese web database, you can instantly find relevant search results
 
 
</comment>
 
</comment>

Version vom 19. April 2013, 20:52 Uhr

Comments on Gratis Internet (3): DNS Tunnel unter Windows <comments />


Dennis said ...

Hey, das aktuelle Putty hat’s auch schon drin. Mir fehlte wohl echt die nötige Perl-Kenntnis… Applaus!!! Hoffentlich finden das nicht zu viele Leute, sonst wirds bald das Netz überlasten und dann abgestellt werden, also nicht mehr lange funktionieren... Liebe Grüße, Dennis


--Dennis 00:48, 13. Jan 2008 (MSD)

User said ...

In der aktuellen CHIP 06/2009 in der DNS-Trick für kostenloses Surfen via HotSpots auf Seite 144 zu finden, auch der Name Nikolaus Hammler ist dort erwehnt im zusammenhang mit der Nutzung vonb Windows.

Der Artikel ist SUPER und freut mich sehr, dass ich jetzt vor deren Abzockerei gewappnet bin :-) .

--User 05:03, 9. Mai 2009 (MSD)

Chris said ...

Hallo, ich glaube ich bin zu dumm um das einzurichten...

Die Abfrage ./droute.pl -r *IP_VON_MEINSERVER* sshdns.*MEINSERVER.MEINEDOMAIN.TLD*

führt in der Konsole zu der fortlaufenden Ausgabe:
  1. (Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=

Scheint eine Endlosschlaufe zu sein....

Und auf dem Server wird auf der Konsole folgendes ausgegeben:

UDP connection from *MEINE_PRIVATEIP*:1300 query 7887: (54-19184.id-8560.down.sshdns.*MEINSERVER.MEINEDOMAIN.TLD*, IN, TXT) - 54-19184.id-8560.down.sshdns.*MEINSERVER.MEINEDOMAIN.TLD*. 0 IN TXT "Hi: Mon May 11 23:53:35 CEST 2009" NOERROR

id = 7887
qr = 1 opcode = QUERY aa = 1 tc = 0 rd = 1
ra = 0 ad = 0 cd = 0 rcode = NOERROR
qdcount = 1 ancount = 1 nscount = 0 arcount = 0


Bei dig erhalte ich die richtige IP Adresse zurück, welche ich mit -i angegeben habe. Kann mir jemand helfen?

--Chris 01:40, 12. Mai 2009 (MSD)

Niki said ...

Hi Chris,

Was steht bei dir am Server (droute.pl) in der Zeile

$opts{forward}

?

Dieser SSH Server muss von dem Punkt an dem nomde läuft erreichbar sein, z.B. sshdns:127.0.0.1:22

lg Niki


--Niki 13:19, 12. Mai 2009 (MSD)

Berniebaer said ...

Hmm, irgendwie scheinen die Informationen aus dem Artikel in der Chip nicht mit den Informationen hier auf der Webseite übereinzustimmen. Brauche ich denn nun einen Server auf dem der SSH-Tunnel läuft?

Vielen Dank Bernd

--Berniebaer 14:05, 19. Mai 2009 (MSD)

Niki said ...

Hi Berniebaer,

Doch, im großen und ganzen stimmen sie überein.

Was nun stimmt: Ein Tunnel ist immer ein Konstrukt zwischen zwei PCs, das "rennt" nicht auf einem.

Du brauchst:

  • Einen Rechner/Server/Computer/vServer/... auf dem du die Möglichkeit hast ein Programm zu starten. Ausserdem muss ein UNIX System (z.B. Linux) drauf laufen.
  • Es muss perl installiert sein samt benötigter Module (z.B. Net::DNS)
  • Port 53 (DNS) muss frei sein und du musst ihn verwenden dürfen.
  • Du brauchst entweder root-Rechte oder Rechte, dein Programm an Port 53 lauschen zu lassen.

Also in Summe: Entweder einen eigenen Linux-Server zu Hause oder einen vServer.

Was du nun über den *DNS-Tunnel* laufen lässt bleibt dir überlassen. Am geschicktesten ist aber sicher SSH, d.h. über den DNS-Tunnel läuft dann eine SSH Verbindung, z.B. zum SSH Server auf dem gleichen Rechner. Erst über SSH werden dann mit Hilfe von Socks die restlichen Protokolle (www, Mail etc) getunnelt.


--Niki 21:23, 19. Mai 2009 (MSD)

Berniebaer said ...

Vielen Dank für die rasche Antwort, habe einfach nicht genau gelesen.

LG BB

--Berniebaer 23:05, 19. Mai 2009 (MSD)

Faustus said ...

Moin Ich hab mal eine Frage, ich habe es in der Praxis getestet funktioniert wirklich 1 A. Da kam mir nur eine Idee, ich benutze Proxifier um mit dem localen Socks5 alle Programme zu tunneln. Da kam mir folgende Idee : Warum machen wir nicht 3,4,5.... DNS Connections auf über droute (mir Putty), und binded alle geöffnetet Socks5 in ein proxychain mit ein, so sollte die Verbindung doch einigermassen schneller von statten gehen, falls mehrere Verbindungen angefordert werden. In der Praxis funktioniert das leider nicht, ich öffne mit Putty zwar einen neuen TunnelPort, aber wenn ich dann beide localen proxys in Proxifier eintrage, geht keine Verbindung mehr raus. Woran könnte das liegen? . Liege ich falsch mit meiner behauptung das dies funktionieren könnte auf einem Host ? Oder bräuchte ich dann mehrere Server ?

--Faustus 16:22, 27. Mai 2009 (MSD)

Niki said ...

@Faustus: Sorry, dazu kann ich dir nichts sagen. Ich habe das Ding eigentlich "für den Notfall" gebastelt. Aber normalerweise müsste es gehen, das Ding verwendet ja Sequenznummern. Unter Linux hab ich es gerade getestet: Zwei parallele SSH Sessions sind möglich, also muss das gleiche auch für Windows funktionieren. Probier zuerstmal parallel die droute.exe auszuführen. Normalerweise sollte das gehen. In weiterer Folge zweimal eine SSH Verbindung per PuTTY - jeweils über ein eigenes droute. Müsste eigentlich auch gehn. Ansonsten liegt der Fehler vielleicht bei Proxyfier (kenn das Programm nicht).

--Niki 20:00, 29. Mai 2009 (MSD)

onkelarnie said ...

Hi, ich habe jetzt auch einmal einen Tunnel aufgesetzt und versuche gerade diesen mit einem Win Client anzusteuern. mit #dig @<ip-des-servers> www.nobaq.net escheint auch schon eine Ausgabe auf der Cleint und Serverseite, daß der NS antwortet. Doch leider funktioniert der Proxy über Putty nicht. Wie aknn man die Clientseite testen ?

Danke Arne

--onkelarnie 14:27, 15. Jun. 2009 (MSD)

Niki said ...

@onkelarnie: Steht eh oben im Artikel:

droute -r <DNS-des-Providers-oder-lokaler> sshdns.<DNS-Eintrag-zum-Tunnel>

z.B.:

droute -r 195.3.96.67 sshdns.tunnel.nobaq.net.

Dann müsste der Banner des SSH Servers erscheinen, z.B.:

SSH-1.99-OpenSSH_4.3p2 Debian-9


--Niki 14:37, 15. Jun. 2009 (MSD)

onkelarnie said ...

hi, ich bekomme keinerlei ausgabe:

linux-server mit laufendem nomde.pl:

./nomde.pl -i 0.0.0.0 into.<domain1>.org
port 53 TCP/UDP vom router ist weitergeleitet
über dyndns ist ne subdomain weitergeleitet:
into.<domain3>.org > ip_des_routers

nameserverconfig: into.<domain1>.org IN NS into.<domain2>.org into.<domain2>.org CNAME into.<domain3>.org


wenn ich jetzt eingebe: droute -r <mein_DNS_SERVER> sshdns.into.<domain1>.org dann passiert gar nichts.

mit der eingabe: dig @into.<domain3>.org www.nobaq.net antwortet der server.


--onkelarnie 15:11, 15. Jun. 2009 (MSD)

Maël said ...

Hallo Zusammen. Beschäftige mich gerade mit der erstellung eines DNS Tunnels. Erstmals riiesen Danke für diese Anleitung. Leiter habe ich keine Kentnisse von Perl.

Deshalb nun meine Frage: Die droute.exe welche hier heruntergeladen werden kann. auf welchem Port läuft diese? Das heisst was muss forgewarded sein? SSH und DNS?

Danke und Gruss

--Maël 10:34, 17. Jun. 2009 (MSD)

Niki said ...

@onkelarnie: Wenn du willst dass ich dir helfe, schreib bitte deine echten Daten rein (kannst mir auch ein E-Mail schicken), aber raten fange ich jetzt sicher nicht an ;-) Was mir auf den ersten Blick auffällt: Was soll das sein?

dig @into.<domain3>.org www.nobaq.net

Damit fragst du den Server auf into.<domain3>.org rekursiv nach den Daten für www.nobaq.net. Du willst doch wohl eher was wie:

NS_SERVER=`grep '^nameserver' /etc/resolv.conf | awk '{print $2}'`
dig @$NS_SERVER into.<domainX>.org

@Maël: Nein, die droute.exe ist der Clientteil, der braucht gar kein Portforwarding. Genau das ist ja der Clou daran wieso es auch hinter Firewalls funktioniert: Weil DNS meistens immer durchgeht. Den Server (nomde) wirst du wohl auf einem UNIX System installieren müssen. Hast du eine öffentliche IP am Rechner passt alles, sonst musst du nur Port 53 (vor allem UDP aber auch TCP) weiterleiten.


--Niki 01:20, 18. Jun. 2009 (MSD)

Marvin said ...

Hi, hoffe mir kann hier jmd helfen... Bin auf den Trick durch einen Chip-Artikel aufgmerksam geworden und bin seit gestern dabei, es umzusetzen... ist nur leider alles schwerer als gedacht...

Ich habe einen VServer mit statischer IP sowie, bei einem anderen Provider, eine Domain. Bei meinem Domainprovider (Xlhost) kann ich DNS-A, TXT und CNAME festlegen. Ich habe nun also eine Subdomain dns.meine-url.de anlegt, diese leitet auf die IP des Servers. Diese Weiterleitung klappt schonmal. Auf dem VServer (Debian) habe ich dann das besagte Tool installiert und mit ./nomde.pl -i 0.0.0.0 .dns.meine-domain.de. gestartet. Es sagt dann "Waiting for connections". Wenn ich auf dem gleichen VServer " dig @62.75.211.21 test.passwort.tunnel.meine-domain.de. TXT" ausführe bekomme ich eine Antwort und die Uhrzeit, mit A am Ende bekomme ich als Antwort 0.0.0.0. Werde später nochmal probieren den Befehl von einem anderen Commputer auszuführen...

Nun möchte ich als Client einen Windows-PC nutzen und habe Putty wie angegeben konfiguriert, leider ffunktioniert ab hier nichts mehr. Putty gibt nichts aus, surfen lässt sich auch nicht, auf dem Server wird auch keine eingehende Verbindung angezeigt. Ich habe mal mit Wireshark den Datenstro mitgesnifft und da sind so einige DNS anfragen an den Server unterwegs, ka was davon wichtig ist...


Würde mich wirklich über jede Hilfe freuen!!


--Marvin 21:47, 17. Jul. 2009 (MSD)

Niki said ...

@Marvin: Ja, das System ist definitiv nicht unkompliziert und erfordert einiges an Wissen um es anständig zum Laufen zu bekommen. Wieso es Chip abgedruckt hat ist mir zumindest ein Rätsel ;-)

1.) Zu deinen Fragen: Du benötigst unbedingt die Möglichkeit einen NS Eintrag zu setzen (Delegation). Anders wird der Tunnel nie funktionieren!! (Das System verwendet Labels unterhalb als Sequenznummern).

2.) Deine Ergebnisse passen schonmal. Bei einem TXT Request soll die Uhrzeit kommen und bei einem A-Request das was du als "-i" eingegeben hast, in deinem Fall also 0.0.0.0. Nur wirst du so keine Freude haben, da du deinen eigenen Server direkt befragst. Der Trick mit dem Tunnel basiert ja darauf dass du deine Anfragen an den DNS Server des Hotspots stellst und dieser wiederum deinen DNS Server befragt (und das kann er nur wenn die Tunnel-Domain ordentlich mit einem NS Record deligiert wurde).

3.) nomde führst du mit ".dns.meine-domain.de." aus. Der erste Punkt ist falsch und gehört nicht hin. Ausserdem fragst du dann mit "test.passwort.tunnel.meine-domain.de." ab. Das verstehe ich nicht, das müsste wenn lauten "test.dns.meine-domain.de".

4.) Natürlich, bisher kann das aus mehreren Gründen nicht funktionieren!

Wie ich schon oft geschrieben habe mein Tipp: Alles nach und nach überprüfen:

  1. Antwortet der Server korrekt authoritiv (auf TXT und A Records)
  2. Antwortet der Server rekursiv mit Hilfe eines rekursiven Servers (z.B. des Providers)? Falls nein stimmt was mit der Delegation nicht.
  3. Antwortet der Server mit dem SSH Banner wenn man "nackt" mit nomde verbindet? Wenn nein, stimmt was mit der Konfiguration von nomde nicht...

Erst dann darf man wagen sich an Versuche mit PuTTY & Co ranzuwagen...

HTH, Niki


--Niki 22:19, 17. Jul. 2009 (MSD)

Marvin said ...

Danke für deine schnelle Antwort! Ja... da hast du recht, ist schon sehr komplex...

Ich habe mal anstelle des DNS-A Records DNS-TXT mit "IN NS serverip" (Das ist doch der besagte NS-Eintrag, oder?) gesetzt aber nun ist der Server unter der Domain nicht mehr erreichbar (Ping). Oder geht es einfach bei meinem Provider nicht und ich sollte es mal bei dnstunnel.com probieren?

Was meinst du mit Punkt 4, Unterpunkte 3? Kannst du mir das nochmal genauer erklären?


--Marvin 22:48, 17. Jul. 2009 (MSD)

Niki said ...

Sieht so aus dass das mit deinem Provider nicht geht, ja. dnstunnel wäre hier eine Option (oder zu einem anständigem Provider wechseln ;-) )

Die Punkte sind keine Unterpunkte von Punkt 4.

Das sind allgemein nur die Schritte mit denen du den Tunnel testen sollst.


--Niki 23:30, 17. Jul. 2009 (MSD)

Tim said ...

Moin!

Super Idee und super Dokumentation!!

Solche Prozesse sind in den meisten "HOW-TO" Dokus unglaublich mangelhaft beschrieben und setzen zudem kommentarlos voraus, dass Triviale Sachverhalte sowieso allseits bekannt und daher nicht explizit zu dokumentieren sind. Bestenfalls werden zu diesen "Trivialen" Themen noch ein paar Verweise auf andere Dokumente und Sites aufgeführt (die dann zumeist ebenfalls mangelhaft sind...).

Daher ist dieses "How-To" doch noch etwas außergewöhnliches und sollte erwähnt werden! Tausend Dank dafür (und für die super-Idee)! :-)

P.S. Übrigens funktioniert das Surfen via DNS-TUNNEL nicht nur in W-LAN Netzwerken, sondern auch in vielen GSM/UMTS/HSDPA Netzwerken (ohne Veränderungen an dem hier beschriebenen Prozess machen zu müssen :-) ). Es funktioniert bei all jenen Providern die zuerst eine z.B. UMTS-Verbindung benötigen um dann auf der automatisch aufgerufenen Web-Site die Art der Bezahlung zu wählen. Soll heißen: Die Einwahl funktioniert immer und ist normalerweise auch kostenlos. Sobald die Einwahl funktioniert und man sich nun im Mobilfunk-Netz befindet, folgt man einfach dem hier beschriebenen Prozess um kostenlos Mobil-Surfen zu können.

Beispielsweise funktioniert Der N24 (www.n24.de) Internet-Stick durch nachträgliche Anmeldung. Die Einwahl ins Vodafone-Netz erfolgt ohne Anmeldung und ist kostenlos! Also ist zwar das Medium ein anderes (GSM statt W-LAN), jedoch gleicht es exakt dem typischen Verfahren zur Verwendung von kostenpflichtigen W-LAN Hotspots.

Hab´s ausprobiert und es funktioniert prima!!

--Tim 00:04, 19. Jul. 2009 (MSD)

Oli said ...

Hallo an alle. Erstmal vielen Dank für das Howto. Sowas ist wirklich selten geworden. Ich habe es mit meinem N24-Stick ausprobiert. Der Server antwortet dem Client, aber leider bekomm ich keine Verbindung zu anderen Seiten ausser N24.de. Sobald ich die Proxy-Einstellungen auf SOCKS-Host localhost:5000 ändere, funktioniert gar nichts mehr. Kann es vielleicht sein, daß der Port hier noch angegeben werden muß? ssh -C -o ProxyCommand="./droute.pl sshdns.server.example.com" user@localhost

Wie gesagt, sobald ich ssh auf dem Client ausführe, verbindet er sich mit dem Server problemlos.

Danke für eure Hilfe.

--Oli 01:19, 19. Jul. 2009 (MSD)

Niki said ...

@Oli: Natürlich, du musst dynamisches Portforwarding auch noch aktivieren: -D5000 (siehe man ssh)


--Niki 13:39, 19. Jul. 2009 (MSD)

Oli said ...

@Niki - Danke für die schnelle Antwort. Leider funktioniert das mit der Portangabe -D5000 leider nicht. Der Browser meldet jedesmal "Die Verbindung zum Proxyserver konnte nicht hergestellt werden. Zugriff verweigert." Unter Proxyeinstellungen steht: localhost:5000. Mein Terminal: ssh -C -o ProxyCommand="./droute.pl sshdns.tunnel.*meinedomain*.de" -D5000 user@ubuntu904desktop. Der Server antwortet zwar, Daten werden auch ständig ausgetauscht nur will Firefox und Opera net so richtig. Hm - hat noch jemand ne Idee???

Viele Grüße, Oli.


--Oli 18:00, 19. Jul. 2009 (MSD)

Niki said ...

Hmm. Hast du Vista? Hast du IPv6 aktiviert? Probier mal statt localhost 127.0.0.1.

Sonst:

telnet 127.0.0.1 5000

Kriegst du ne Verbindung?

netstat -a -o

Scheint das Socket auf? Passt alles?

Auf alle Fälle hat dein Problem nicht mehr mit dem DNS Tunnel zu tun...Probier es mit einer "normalen" SSH-Verbindung.

hth


--Niki 01:35, 20. Jul. 2009 (MSD)

Tyler said ...

@Marvin: Bist du sicher, dass das an XLhost.de liegt? Überlege grade nur dafür bei XLhost.de ne Dom zu bestellen mit 1MB Speicherplatz, macht 6,12 EUR / Jahr und ist damit unschlagbar günstig (wills in der eigenen Hand haben und nicht von Julius die Einträge auf dnstunnel.de gesetzt bekommen). Laut XLhost sollte man alle notwendigen Einträge im DNS (A-Record und CNAME) ändern können. @Niki: Hast du ihm gesagt, dass es vermutlich am Provider XLhost liegt um nicht weiter mit Fragen gelöchert zu werden, die du im HOWTO schon längst beantwortet hast und denkst du dass mit den DNS Records die man bei XLhost anlegt das auch funktioniert? Schließlich hat Marvin ein paar Verständnisprobleme und bereits Fehler gemacht bei den Tests der Verbindung.

Desweiteren bin ich perl-noob, verstehe so grade was ein perl script macht, wenns nicht zu kompliziert ist. Mein Ziel ist eine openvpn Verbindung statt ssh über den DNS Traffic zu tunneln, aber da werde ich wohl droute.pl und nomde.pl anpassen müssen. Hat da jemand evtl. schonmal was erfolgreich getestet, oder muss ich mich in perl einarbeiten?

--Tyler 19:18, 21. Jul. 2009 (MSD)

Tyler said ...

ups - hatte es selber noch nicht verstanden gehabt. Für openVPN muss ich nix an droute und nomde ändern, einfach ssh nen socks proxy aufmachen lassen und darüber die openVPN Verbindung laufen lassen.

Bleibt nur noch die Frage, ob XLhost DNS Records funktionieren?

--Tyler 19:39, 21. Jul. 2009 (MSD)

Oli said ...

@Niki Vielen vielen Dank. Es hat mit folgender Syntax geklappt: ssh -C -o ProxyCommand="./droute.pl sshdns.tunnel.<meine_domain>.de" -D5000 -NL 5000:localhost:5000 user@host

Nun reagiert der Browser endlich auf die Proxy-Einstellungen Port 5000.

Grüße, Oli.


--Oli 21:27, 21. Jul. 2009 (MSD)

Tyler said ...

@ Niki: danke fürs tutorial, ich war nur durch den windows kram verwirrt. openvpn kann mit socks proxys also muss das direkt gehen, wenn ich den openvpn client an den Port hänge an den ich sonst firefox hängen würde. Dass der openvpn server derselbe ist, wie der server, auf dem nomde.pl laufen soll ist nen anderes problem ;-)

@ Oli: Ich glaube da fehlt nur die ssh option -N und -L und die Schleife, die du dann fliegst ist unnötig. Müsste doch auch so gehen: ssh -C -o ProxyCommand="./droute.pl sshdns.tunnel.<meine_domain>.de" -ND 5000 user@host

Außerdem wundere ich mich, dass ssh sich nicht beschwert, erst sagst du ihm er soll auf allen interfaces port 5000 über nen socks dynamisch weiterleiten an den ssh server, der dafür nen socks aufmacht (-D 5000). Danach sagts du ihm er soll auf allen interfaces port 5000 über ssh forwarden an den ssh server und der soll dann aus seiner sicht ne Verbindung zu localhost:5000 herstellen, was bestimmt nix wird, wenn du da auf Port 5000 keinen socks laufen hast.

Das größte Problem ist auf jeden Fall nen Provider zu finden, der einem erlaubt den NS Record zu setzten. CNAME und A Record darf man bei den meisten, aber nen NS Record auf ne Subdomain legen lassen hab ich noch nirgendwo gelesen, bei meinem VServer darf ich das auch nicht. Und Julius hat nach dem Chip Artikel bestimmt ganz schnell keine Lust mehr die tausend Einträge in seinen DNS zu tippen ;-)

--Tyler 02:35, 22. Jul. 2009 (MSD)

Niki said ...

@Tyler: Wie gesagt, A und CNAME reicht nicht. Auch nicht das "Anlegen von Subdomains". Du brauchst volle Kontrolle über deine Domain damit du einen NS-Record beliebig setzen kannst! Mein Tipp: Bestelle dir eine nackte Domain bei dem Registrar deines Vertrauens (du zahlst nur die Registrierung und keinen Webspace etc!). Dann gibt es tausende Services die dir gratis Primary NS machen (hatte ich auch mal). Den (und dazu einen anderen als Backup) lässt du einfach als deine NSe eintragen, fertig. Ist noch billiger & flexibler. Nur als Beispiel: http://www.xname.org/ (Primary), http://www.twisted4life.com/ (secondary)..aber ich hab x andere auch schon gesehen. Google halt mal. Man muss sich dazu halt ein bisschen mit DNS auskennen.

Zu deiner Anschuldigung: Nein, würde ich nicht gelöchert werden wollen bräuchte ich doch gar nicht zu antworten...oder? Ich kenne XLHost nicht, aber ich habe lediglich es gesagt, A und CNAME ist ZU WENIG!! Man braucht die Möglichkeit für NS Records!

Zu OpenVPN: Ja, das wäre wohl die einfachste Lösung nachdem OpenVPN ja SOCKS unterstützt. Aber pass auf dass dich die rasante Geschwindigkeit nicht vom Hocker reisst ;-)

Zu "anderen Problem": Das ist doch gar keines. Bei "remote" gibst dann halt einfach "127.0.0.1" ein...


--Niki 13:33, 22. Jul. 2009 (MSD)

Tyler said ...

Danke für die tips! Ja um DNS hab ich mich immer gedrückt, aber irgendwann muss das auch mal sein, bin grad dabei die bind9 doku durchzuarbeiten.

Du machst das vollkommen freiwillig und unentgeldlich, ich denke es wird dir keiner übel nehmen, wenn du evtl. nicht auf jede Anfrage ausführlich antwortest, bzw. weitere Anfragen abwürgst. Sollte also kein Vorwurf sein, sondern klären ob NS Records notwendig sind denn dieser verdammte chip Artikel (ich hätt den gar nicht lesen sollen, bin erst durch die Kommentare hier darauf aufmerksam geworden, dass es den überhaupt gibt) redet nur von der Anlage von A, oder CNAME Record für die subdom, wenn man nicht über dnstunnel.de gehen will. Und so wie ich das vorher verstanden habe kann das gar nicht gehen, weil der NS Record fehlt. Der Artikel ist ein Fluch, die Angaben hier und auf dnstunnel.de sind viel klarer und gehen auf die Hintergründe ein (die mich interessieren) anstatt einem script kiddie das einfach nur zu ermöglichen, ohne dass er weiß wie das funktioniert. Und die mangelhaften Angaben zur DNS Konfiguration im chip Artikel führen jetzt dazu, dass du Anfragen erhälst die genau auf den Fehler im chip Artikel eingehen und Julius bekommt viele Anfragen die DNS Einträge zu setzten, weil es so einfach nicht geht. Mich würds nicht wundern, wenn ihr beide einfach nur noch auf das chip Forum verweist, die haben ja den Artikel verzapft ;-)

Also nochmal danke für das Howto (vor allem Seite 2 bringt viel Licht in das Dunkel) und die freundlichen Antworten auf meine dummen Fragen, war wirklich nicht als Vorwurf/Anschuldigung gedacht ich will es einfach nur verstehen und da hab ich mich im Ton vergriffen.

--Tyler 17:01, 22. Jul. 2009 (MSD)

Niki said ...

Ich nimms dir ja nicht übel, passt schon ;-) Danke jedenfalls mal für das Lob zum Artikel.

Tja, auch ich bin über den CHIP Artikel etwas erstaunt. Als ich die Anfrage auf Veröffentlichung erhalten habe habe ich ganz erstaunt zurückgeschrieben ob die das Ernst meinen. "Ausgetrickst: Gratis Internet" hört sich zwar toll an, aber hier gehört einfach viel, viel mehr dazu als einfach ein Programm zu installieren wie es durchschnittliche CHIP-Leser vermutlich erwarten würden. Vor allem (Experten-)wissen. Als ich den fertigen Artikel dann gelesen habe habe ich mir ebenso gedacht: Ich kann mir nicht vorstellen dass das auch nur irgendwer zum Laufen bringt. Der Artikel geht auf Details/Hintergründe nämlich überhaupt nicht ein.

Zu NS und CHIP: Ja, das verschweigen sie; aus folgendem Grund: Sie gehen von dyndns aus, d.h. die dynamische IP Adresse bekommt durch dyndns einen A Record, z.B.

example.dyndns.org.	IN	A	212.183.62.141

Und den NS Record macht eben Julius mit dnstunnel.de, indem er dann folgenden NS-Record setzt:

wunschname.dnstunnel.de	IN	NS	example.dyndns.org.

Ganz abgesehen davon dass ich irgendwo mal gelesen habe dass man NS Records auf keine dynamischen IPs setzen darf.

Zu guter letzt nochmal mein Tipp: Wenn es schnell laufen soll lass dir von Julius (oder mir, hab auch schon für einige Leute einen Record gesetzt) einen Eintrag setzen (u.U. temporär bis zur besseren Lösung), wenn du wirklich alles selbst haben willst, nimm dir ein gratis DNS Service.

--Niki 23:10, 22. Jul. 2009 (MSD)

Oli said ...

@Tyler Ja, du hattest Recht. Mit meiner vorigen Syntax beschwerte sich ssh, das er am Port 5000 nicht hören kann. Nun arbeite ich mit dieser Syntax: ssh -C -o ProxyCommand="./droute.pl sshdns.tunnel.<meine_domain>.de" -D5000 user@host.

Da ich eine eigene Homepage bei 1und1 habe, kann ich mir eine Subdomain mit NS - Weiterleitung auf meine DynDNS-Weiterleitung schalten.

Soweit funktioniert das wunderbar. Ob es auf Dauer praktikabel ist, bezweifle ich, da man das Script auf dem Server von Zeit zu Zeit neustarten muß, da es öfters Verbindungsabbrüche gibt. Das Serverscript beschwert sich über falsche DNS-Länge oder falschem DNS-Paket. Dadurch wird regelmäßig die Verbindung unterbrochen. Also nix für außer Haus Betrieb. Am längsten hielt die Verbindung eine knappe Stunde. Oft war schon nach 5 Minuten Schluß. Wenn die Scripte stabil laufen würden, wärs mal eine gute Alternative. Abgesehen von der mageren Geschwindigkeit von 600 B/s bis 3 kB/s.

Vielleicht hat ja noch jemand eine Idee, wie man das Serverscript in Verbindung mit ssh stabiler bekommt, ohne bei einem fehlerhaften Paket gleich abzubrechen??

Viele Grüße, Oli.


--Oli 19:17, 27. Jul. 2009 (MSD)

Niki said ...

Oli, Gratulation einmal dass du es zum Laufen gebracht hast. Mit deinem Problem kann ich dir jetzt leider nicht mehr weiterhelfen. Bei mir hat es bisher eigentlich immer funktioniert wobei ich aber sagen muss dass ich es als Notfallszugang erst wenige Male verwendet habe und da nur wenig Traffic drüber ging. Die Geschwindigkeit ist selbstverständlich mehr als mager. Auch das habe ich in meinem Artikel geschrieben.

Das einzige was mir noch einfällt: Hast du ein Script verwendet (wie in meinem Artikel bzw. dnstunnel.de vorgeschlagen) das nomde neu startet?

lg Niki

--Niki 00:23, 4. Aug. 2009 (MSD)

Oli said ...

@Niki

Hallo Niki, ja, danke. Ich habe das Serverscript nun in eine Endlosschleife gepackt. Soweit funktioniert es prima. Falls das Script abbricht, wird es gleich wieder neugestartet. Werde noch ein paar Feldversuche damit durchführen. Erstmal vielen Dank für eure Ratschläge und die unermüdliche Hilfe. Ohne euch hätt ich es wohl nicht zum laufen gebracht.

Viele Grüße, Oli.


--Oli 22:17, 4. Aug. 2009 (MSD)


User said ...

Hallo, da ich schon um 05:03 am 9. Mai 2009 (MSD) auf den Artikel hier in der CHIP 06/2009 in der DNS-Trick für kostenloses Surfen via HotSpots auf Seite 144 zu finden ist hingewiesen habe. Aber bis jetzt keine funktionierenden Einstellungen hier zu finden sind, die einfach nur einzutragen sind damit es funktioniern, ohne erst selber noch viel rum zu suchen.

Wäre mal schön wenn es hier für folgende und auch weitere Internetzugäne die passenden richtigen und funktionierenden Einstellungen stehen würden:

T-Mobile Hotspot, Vodafone Hotspot und Vodafone Websession UMTS, FON Hotspot.

Es fürde mich freuen, wenn das für alle Zugäng in Deutschland als Download in einer Textdatei geben würde.

Denn dann hätte jeder was davon und nicht nicht nur Pofis, die müssten Fachlektüre lesen und keine CHIP!

--User 01:57, 21. Sep. 2009 (MSD)

Vilso said ...

Sehr interessant. Danke. Eine Frage: Ich habe einen Account bei dem Provider www.all-inkl.de (sowie eine eigene Domain)

Ist es möglich, in einem Subdomain einen NS Eintrag zu setzen?

Vilso

--Vilso 21:31, 17. Okt. 2009 (MSD)

Niki said ...

@Vilso: Das musst du all-inkl fragen. Aber normalerweise sollte das möglich sein, bei allem anderen würde ich schlicht den Provider wechseln :)

--Niki 18:10, 18. Okt. 2009 (MSD)

Vilso said ...

Niki danke. Ist es möglich in PHP oder Perl eine Routine zu schreiben die eine NS Eintragung bewirkt ohne all-inkl.de zu belästigen? Gibt es bessere Alternative zu All-inkl.de? Vilso


--Vilso 21:01, 19. Okt. 2009 (MSD)

Niki said ...

Nein, Perl, PHP, HTTP & Co hat damit gar nichts zu tun. Nichtmal dein Webspace hat was damit zu tun! Du wirst deinen Provider also damit belaestigen muessen.

--Niki 10:20, 20. Okt. 2009 (MSD)

Vilso said ...

Gibt es bessere Alternative zu All-inkl.de (als provider) ?

--Vilso 16:04, 15. Jan. 2010 (MSK)

Niki said ...

Visilo, diese Frage ist etwas schwierig zu beantworten genauso wie du von jedem eine andere Antwort bekommen wirst was das beste Auto/Betriebssystem etc. ist. Kommt ganz auf die Beduerfnisse an! Billig? Zuverlaessig? Support? .....

Wenn es dir NUR um einen DNS Tunnel Endpunkt geht wuerde ich z.B. einen VServer bei topnetworks nehmen. Sind die billigsten die ich bisher gesehn hab (1.9/Monat), man muss sich halt a bissi auskennen. Und um den Preis is klar dass es nicht hochqualitativ ist.


--Niki 16:27, 15. Jan. 2010 (MSK)

Peno said ...

Hallo,

gibt es hier eine übersichtlicher Anleitung, wie man das zum laufen bekommt. Es würde mich freuen, wenn es ein Schritt für Schritt Anleitung geben würde. In der auch die entsprechenden Einstellungen und Änderungen genau aufgeführt sind.

Wäre doch schon mal Angebracht und so könnten alle die das gerne haben wollen auch Aufsetzen, als ers Suchen zu müssen wie genau sieht der TXT-Record aus und so weiter...

Als was ist nun, möchte hier daruf auch eine Antwort lesen, also nicht in Form von ja ist alles übersichtlich hier und ist schon ein S-S-Anleitung. NEE ist es nicht also darf ich dann mal darum bitten das so was geschieht. Entweder von Niki oder jemand anderen der dann eine bessere Bewertung bekommt.

Also muss man dafür noch lange BITTEN!!!!!

--Peno 21:24, 7. Mär. 2010 (MSK)

Michael said ...

Hi, hab ein Problem beim Betrieb von ozymandns mit nem Internet Stick von n24 (Vodafone). Wenn ich mit tcpdump nachschaue, was da so über den Äther geht, wird bei einem "ssh -o ProxyCommand...." die Anfrage an den Server geloggt, jedoch kommt ein ServFail[|domain] zurück. Bei einem ganz gewöhnlichen "dig @Server-IP irgend.eine.domain" geht die Query sauber durch und es wird sauber geloggt. Bei Verwendung eines normalen DSL-Anschlusses auf Client-Seite geht es auch sauber durch und es wird bei tcpdump sauber mitgeloggt. Hat n24/vodafone da vielleicht nen Block eingebaut, der diesen Hack verhindert? Meine Firewalls sind es jd.falls nicht, die sind auf den Ports 53, 22, etc. frei, bzw. ich hab sie auch mal testweise ausgeschaltet. Gruß Michael

--Michael 04:01, 21. Mär. 2010 (MSK)

Niki said ...

Hi Michael,

Wieso willst du das mit einem Internet-Stick verwenden?!

Abgesehen davon: Es kann natürlich sein dass das gefiltert wird, auch wenn ich es nicht als sehr wahrscheinlich erachte.

Was ist deine Query die "sauber" durch geht? Ist das tatsächlich eine TXT Query unterhalb der Node deines Tunnels? Und fürs Debugging auch mal ohne SSH probieren, sondern einfach droute.exe mit passenden Parametern starten. Was kommt dann zurück?

--Niki 14:31, 21. Mär. 2010 (MSK)

Michael said ...

Hallo, danke erst mal für die schnelle Reaktion, zuerst mal zum Setup, ich habe nen Nameserver ("ns.mydomain.net") und nen anderen Server ("poc1.mydomain.net") auf dem nomde.pl gestartet wird. Nameserver-Setup für mydomain.net: poc1 IN A 100.200.30.40 poc1 IN NS 100.200.30.50

( 100.200.30.50 = Nameserver ausserhalb meines Netzwerks bei dem ich alles erfragen kann, 100.200.30.40 = die IP des Servers mit nomde.pl ).

Auf poc1: sudo ./nomde.pl -i 0.0.0.0 poc1.mydomain.net.

Auf dem Notebook mit Surfstick: dig @100.200.30.40 poc1.mydomain.net TXT

Von T-Online/DSL aus: ... "Hi: Sun Mar 21 14:37:56 CET 2010"...

Vom N24-Surfstick aus:

poc1.mydomain.net. IN TXT

Sobald ich ein Guthaben aktiviere und dann "volle" Verbindung habe, dann geht die TXT-Query durch, aber dann isses ja schon wieder witzlos.

Ich glaub das spricht ne deutliche Sprache, nämlich die dass mit dem Surfstick kein Gratis-Internet Möglich ist, zumindest nicht mit dem beschriebenen Verfahren. Bin aber gerne noch für weitere Experimente zu haben. :-) Gruß Michael

--Michael 16:49, 21. Mär. 2010 (MSK)

Michael said ...

Wiki hab mir aus dem Kommentarzeichen vor der Zeile "poc1.mydomain.net. IN TXT" eine Fettformatierung gemacht, sprich die Zeile ist auskommentiert.

--Michael 16:51, 21. Mär. 2010 (MSK)

Niki said ...

Hi,

Also wenn ein dig -t A funktioniert, aber ein dig -t TXT nicht (so wie es offenbar der Fall ist) dann filtern sie offenbar tatsächlich *alle* TXT Records. Und damit ist der Tunnel nicht möglich.

lg Niki

--Niki 13:04, 22. Mär. 2010 (MSK)

User said ...

Hi! Ich habe noch einen Tipp: www.co.cc Dort kann man sich Domains wie domain.co.cc anlegen und(!) einen NS-Eintrag z.B. tunnel.domain.co.cc.

--User 23:26, 13. Jun. 2010 (MSD)

Anoubis said ...

Also ich blick da nicht durch. Ich versuche gerade unter windows 7 ultimate x64 einen tunnel via putty etc. aufzubauen - vergeblich. Ich habe mir die Zip Datei heruntergeladen und die Einstellungen in Putty wie beschrieben vorgenommen. Sobald ich dann auf Open klicke öffnet sich nur ein command Fenster ohne Ausgabe nur ein Cursor links oben.

Zuerst dachte ich es liegt an telnet - also schnell telnet installiert (unter Windows Funktionen hinzufügen) (client & server) und den Dienst aktiviert. Geht leider immernoch nicht.

In einem Blog bin ich auf afraid.org gestoßen. Hier kann man einen eigenen NS Record anlegen. Leider funktioniert es auch nicht. Das liegt wohl daran, dass ich nicht weiß was ich bei Proxy eintragen muss.

In der Anleitung steht ja: droute.exe -r 129.27.2.3 sshdns.pass.tunnel.nobaq.net

muss ich diese Adresse genau so eintragen oder muss ich hier ein passwort eigeben??

Meine Einträge sehen ungefähr so aus: meindns.domain.com NS meinziel.domain.com meinziel.domain.com A meineip

wie muss denn nun die droute Zeile aussehen? Ich Blicks net :(

Wäre schön, wenn ihr mir helfen könntet.

Achja, ich versuche einen Tunnel für UTMS einzurichten.


--Anoubis 16:50, 23. Jul. 2010 (MSD)

Niki said ...

Hi Anoubis,

So einen DNS Tunnel einzurichten erfordert viel Hintergrundwissen und Arbeit. Du wirst nicht drum herumkommen es schrittweise anzugehen. Ich habe in den Postings hier schon öfter erklärt wie man den Fehler schritt für schritt eingrenzt. Auch die Antworten auf deine Fragen finden sich bereits dabei.

In deinem Fall wäre der droute Befehl wahrscheinlich

droute.exe -r <lokaler DNS Server> sshdns.meindns.domain.com


--Niki 18:14, 26. Jul. 2010 (MSD)

Olliberlin said ...

Hallo,

ich hatte mich mit dem Thema hier schon vor ein paar Monaten beschäftigt, aber damals ging die Website nicht und heute, wo ich mich wieder mit beschäftige geht sie auch nicht (die vom oxymandns-creator). Könnte mir also wer dieses original oxymandns an: dwave bei betriebsdirektor.de schicken ? Und was meint ihr, geht sowas auch auf eine Fritzbox mit freetz zu installieren?

THX Olli

--Olliberlin 09:18, 12. Aug. 2010 (MSD)

Tractor meinte …

<comment date="2012-05-19T07:52:07Z" name="Tractor "> Hey ich habe das alles so eingerichtet wie oben beschrieben und dan kommt bei mir nur ein schwarzes Fenster und eine Fehlermeldung "Server unexpectedly closed network connection" was habe ich Falsch gemacht?? kan mir jemand weiter helfen </comment>

Christoph meinte …

<comment date="2012-08-08T14:33:28Z" name="Christoph"> ich schaff es einfach nicht. Verwende ich: droute.exe -r <lokaler DNS Server> sshdns.meindns.domain.com

erhalte ich nur binär zeichen retour... :-(

Am Server sehe ichfolgendes:

Writing response - done Waiting for connections... UDP connection from ::ffff:xxx.xxx.xxx.xx.xxx:50577 to :: query 61975: (238-10682.id-61644.down.sshdns.ns01.xxxxx.com, IN, TXT) - 238-10682.id-61644.down.sshdns.ns01.xxxxx.com. 0 IN TXT "Hi: Wed Aug 8 16:34:52 CEST 2012" NOERROR

id = 61975
qr = 1 opcode = QUERY aa = 1 tc = 0 rd = 1
ra = 0 ad = 0 cd = 0 rcode = NOERROR
qdcount = 1 ancount = 1 nscount = 0 arcount = 0


Irgend ein Tipp? </comment>

Zack meinte …

<comment date="2012-08-28T14:43:41Z" name="Zack"> Ich hab leider auch ein ähnliches Problem. Eine Verbindung scheint der Proxy aufzubauen. Dann werden aber auch sofort ununterbrochen irgendwelche sich wiederholende Datensätze übertragen. Ich bekomme auch keine Verbindung zu einer Seite oder einem Server aufgebaut. Jemand da eine Idee?

Gruß Zack </comment>

Niki meinte …

<comment date="2013-01-08T23:16:02Z" name="Niki"> Hi,

Bitte versucht schrittweise zu debuggen.

Erster Schritt: Mit "dig" direkt auf den Server Abfragen auf "A" record und "TXT" record. Ersteres sollte die mit "-i" angegebene IP zurueckliefern, zweiteres das aktuelle Datum ... </comment>