DNS Problem mit youtube.com

Hallo,

ich habe seit ein paar Wochen plötzlich ein Problem, das mich mangels Können/Wissen in den Wahnsinn treibt. Wird von einem Client im grünen Netz youtube aufgerufen, ist der Eingeschränkte Modus aktiviert (habe ich nie eingerichtet), d.h. alles läuft über den google safesearch Filter mit der IP 216.239.38.120. Folge ist, dass selbst die harmlosesten Videos raus gefiltert werden…unbenutzbar. Folgendes habe ich schon mal herausgefunden.

Es liegt nicht am IPFire, denn ein dig @10.16.1.254 www.youtube.com vom Server aus liefert:

;; QUESTION SECTION:
;www.youtube.com. IN A

;; ANSWER SECTION:
www.youtube.com. 84056 IN CNAME youtube-ui.l.google.com.
youtube-ui.l.google.com. 281 IN A 216.58.207.174

Ein dig @10.16.1.1 www.youtube.com vom Server aus liefert:

;; QUESTION SECTION:
;www.youtube.com. IN A

;; ANSWER SECTION:
www.youtube.com. 84063 IN CNAME youtube-ui.l.google.com.
youtube-ui.l.google.com. 3504 IN A 216.239.38.120

;; AUTHORITY SECTION:
. 515993 IN NS b.root-servers.net.
. 515993 IN NS h.root-servers.net.
. 515993 IN NS f.root-servers.net.
. 515993 IN NS k.root-servers.net.
. 515993 IN NS g.root-servers.net.
. 515993 IN NS m.root-servers.net.
. 515993 IN NS d.root-servers.net.
. 515993 IN NS e.root-servers.net.
. 515993 IN NS a.root-servers.net.
. 515993 IN NS c.root-servers.net.
. 515993 IN NS i.root-servers.net.
. 515993 IN NS l.root-servers.net.
. 515993 IN NS j.root-servers.net.

…was bedeutet diese Authority Section? …die ist beim IPFire nicht da.

Aus irgend einem Grund leitet der DNS vom Server also alle Anfragen an youtube.com an die SafeSearch IP. Da alle Clients in Grün den Server als DNS haben erklärt sich das Problem.

Wo kann ich dieses Verhalten abstellen?

Danke und viele Grüße

Dominik

Hallo Dominik,

welchen DNS verwendet den der Server?

LG

Holger

Hallo Dominik,

kontrolliere doch bitte mal, ob der IPFire als Forwarder beim Bind eingetragen ist. Wenn ja, dann sollten eigentlich die beiden Anfragen dasselbe Ergebnis liefern.

Viele Grüße
Jörg

Lieber Dominik,

ich habe mal bei mir den safesearch-Filter aktiviert und wieder deaktiviert.
Mein primärer DNS ist der 8.8.8.8 und der 8.8.4.4 ist der sekundäre.
Mit ausgeschaltetem safesearch kommt bei mir bei der dig-Abfrage nach www.youtube.com:

;; ANSWER SECTION:
www.youtube.com.        3600    IN      CNAME   youtube-ui.l.google.com.
youtube-ui.l.google.com. 290    IN      A       216.58.213.238

und dann bei eingeschaltetem safe-search:

;; ANSWER SECTION:
www.youtube.com.        3600    IN      CNAME   youtube-ui.l.google.com.
youtube-ui.l.google.com. 23     IN      A       172.217.18.206

Dann habe ich ihn wieder ausgeschaltet, dann war’s wieder der andere (siehen oben).

Meine Überlegung: Dein Image ist vermutlich der Verursacher - dort hast Du den safe-search dauerhaft aktiviert.
Könnte das sein ?

Gruß,
Christoph

Hallo Holger,

das ist bind.

Gruß
Dominik

Hallo Jörg,

ja der IPFire ist als Forwarder im Bind eingetragen trotzdem liefern Server DNS und IPFire DNS andere IP´ s!?

Gruß

Dominik

Hallo Cristoph,

die 172.217.18.206 ist keine Safesearch IP!? Wie hast du Safesearch den eingeschaltet?

selbst wenn ich das hätte, wie sollte das aktivieren von SafeSearch im Image Auswirkungen haben, wenn ich vom Server eine DNS Anfrage an den Bind des Servers stelle!? Da ist kein Client involviert.

Nur Prinzipiell: ich habe Safesearch für die google Suche im unbound des IPFire eingerichtet. Das läuft aber schon Monate und es gab bis vor drei-vier Wochen keine Probleme mit youtube. Zudem liefert eine DNS Anfrage vom IPFire aus die richtige youtube IP und eben nicht die Safesearch IP.

Noch eine Beobachtung: Vom Coova Netz (blauen Netz) aus ist die youtube Sperre nicht aktiv, sondern eben nur von Grün aus…

Bitte immer noch dringend um weitere Erhellung :-).

Gruß

Dominik

Hallo Dominik,

vielelicht das gleiche Problem wie Stefan mit google Earth hat.
Welche DNS hat den der IPFire eingetragen?

Hast du einen BelWü Router vor dem IPFire?

LG

Holger

Hallo Holger,

OpenDNS…habe das aber testweise schon gegen den Belwue-DNS und gegen Google-DNS ausgetauscht was jedoch keine Änderung meines Problems brachte.

Ja. Ich habe einen Zugang über die Telekom mit einer FritzBox an der dann der Belwue Router hängt. Ich habe auch schon daran gedacht, dass Belwue mir in die Suppe spuckt aber warum geht dann youtube vom Blauen Netz und z.B. auch von der owncloud oder proxmox, die beie direkt in rot hängen und nichts mit dem IPFire zu tun haben.

Was ich einfach nicht verstehe: warum erreiche ich youtube ungefiltert per IPFire Namensauflösung aber eben nicht per Namensauflösung vom Server? Irgendwas muss doch den Bind auf dem Server veranlassen, die youtube Anfragen an die Safesearch IP weiterzuleiten?

Denkanregungen erwünscht!

Viele Grüße

Dominik

Lieber Dominik,

Also gleich mal Klartext: Ich stochere hier im Nebel, denn ein Profi bin ich nicht.

Es gibt einen lokalen safesearch-Filter, den man aktivieren kann. Das habe ich bei mir gemacht, diese Sache scheint über cookies zu laufen. Jetzt kommt das Merkwürdige: Das von mir oben beschriebene Verhalten konnte ich beim zweiten Mal nicht beobachten (!). In jedem Fall jedoch existiert eine lokale safesearch-variante, sowohl für FF als auch für Google Chrome / Chromium.

Die lokalen Safesearch-Einstellungen findest Du unter:

“www.google.de” - rechts unten “Einstellungen” , also als Teil der Google-Suchseite.
Daneben gibt’s noch unter youtube ein Restrictions-Filter, den man leicht übersehen kann.
Beide Einstellungen lassen sich “locken”, was auch immer das genau technisch bedeutet.

Nun glaube ich aber mittlerweile, dass diese lokalen Umstände höchstens mal gecheckt werden sollten, vermutlich aber keine Rolle spielen.

Das Problem müsste man suchen, indem man:

neben der dig-Abfrage mal checkt, ob bei Dir eine “hosts”-Datei ihr Wesen / Unwesen treibt.
Trägst Du nämlich auf dem ipfire in die dortige hosts Datei händisch ein:

216.239.38.120 www.google.com #meine DNS-Umleitung

und startest den ipfire neu (!), dann befragt der unbound des ipfire diese Datei, der bind auf dem Server befragt den unbound und die (Linux-)clients (bei korrekter resolv.conf) befragen dann ebenfalls den unbound, somit wird google.com auf die safe-search-IP hin aufgelöst.

(Diese hosts-Datei kann man aber auch auf den clients oder dem Server editieren, was dann passiert, habe ich noch nicht ausprobiert, abhängig von der name-resolv-order passiert gar nix, oder die lokale hosts-Datei “siegt”.)

Warum hat das blaue Netz einen anderen DNS ?
Vielleicht, weil er bei Dir so eingetragen ist (!) Beim ipfire auf der Seite DHCP-Server. Es gibt ja diese nette Kooperation zwischen DHCP und DNS-Servern, sodass beispielsweise ein DHCP-Server den DNS-Server neu definieren kann.

Caching / Restarts: Wenn man Einstellungen für den bind / unbound ändert, kann das Verhalten der caches den Eindruck erwecken, es hätte sich nichts geändert. Dazu sind flushing / Neustarts notwendig. Und: Das automatische dns-prefetching der Browser Firefox und Chrome erzeugt auf lokalen Caches auch verwirrende Daten - daher ist auch hier ein Neustart angesagt.

So - mehr fällt mir nicht ein !
Viel Erfolg,
Christoph Günschmann

Gibt’s was Neues?
Gruß Christoph

Mit hat es geholfen, die Logs im Grafischen Frontend vom IPfire anzuschauen.

Gruß
Stefan

Hallo,

nachdem ich jetzt mehrere Tage investiert habe konnte ich das Problem beheben, allerdings habe ich immer noch keine Ahnung, warum und wie es überhaupt dazu gekommen ist.
Ich habe mit der Holzhammermethode bind auf dem Server mit allen Konfigurationsdateien gelöscht, dann neu installiert und die linuxmuster Konfigs wieder hin kopiert. Danach war der Spuck vorbei!?

Irgendwo im bind (nicht im Cache) hat sich dieser Terrorvogel halt einfach so eingenistet…

Danke für eure Anregungen!

Gruß

Dominik