UPDATE 31.10.: Amazon Alexa - ioBroker Skill läuft aus ?

Blockmove

@pi-ter said in Hinweis für Fritzbox-Nutzer:

Schönen Sonntag Allerseits,

sicher kennen die meisten von Euch diese Information, für alle Anderen dies hier:

Verwirrend: Internet-Domain fritz.box zeigt NFT-Galerie statt Router-Verwaltung

Ich hatte daher den Zugriff auf fritz.box sofort gesperrt. Da einige Geräte im lokalen Netz als ESP-Easy.fritz.box (hier als Beispiel) angesprochen werden, liegt der Verdacht nahe, dass dieser Aufruf dann eben auch nach draußen geht. Den Versuch der NAS, das LAN zu verlassen konnte ich sehen. Zum Glück wurde dies unterbunden.

Vielleicht schaut ihr Euch mal Euer Smart Home an, ob es da, wo statt der IP der Fritzbox fritz.box eingetragen ist, Probleme auftauchen.

Ob etwas nach draussen geht, ist abhängig von der Nameserver-Konfiguration.
Verwendet man die Fritzbox als Nameserver im Netz (Default-Einstellung), dann passiert nichts.
Nutzt man alternative Nameserver z.B. bei pihole oder Ähnlichem, dann kann eine Nameserver-Anfrage nach draussen gehen.

wcag22

@blockmove
Das ist richtig. So wird es ja auch im heise-Artikel beschrieben. Für mich war es interessant, weil ich pihole am laufen habe. Da war es nun einfach, diesen Aufruf zu sperren. Und auf 30...45% geblockte Requests ins WAN möchte ich nicht verzichten :-)

Marc Berg

@blockmove sagte in Hinweis für Fritzbox-Nutzer:

Nutzt man alternative Nameserver z.B. bei pihole

Kann man aber recht einfach durch das "Conditional forwarding" + Setzen der local domain verhindern.

You can also specify a local domain name (like fritz.box) to ensure queries to devices ending in your local domain name will not leave your network, however, this is optional. 

wcag22

@homoran
Du brauchst nur fritz.box im Browser aufrufen. Meldet sich die Fritte, ist alles gut. :-)

mcm1957

Im Prinzip hat da AVM Mist gebaut. Die top level Domain .box ist seit JAHREN verfügbar. Dass AVM weder fritz.box registriert hat noch diese "abgschafft" hat ist für einen solchen Player eigentlich nur mehr peinlich.

Technisch filtert die Fritte Anfragen an fritz.box raus. Wenn man also die Fritzbix als DNS Server verwendet (was im Prinzip auch nach ein pihole ginge) sollte sich nichts ändern.

Und wenn man bis einen externen dns verwendet hat und die Abfrage nicht über die Fritzbox als "dns Proxy" gelaufen ist sollte der Zugriff auf fritz.box schon bisher nicht funktioniert haben.

Aber ja - am sinnvollsten ist es nicht registruierte Domains jedenfalls nicht zu verwenden und aus seiner Netzconfig zu entfernen.

Homoran

@mcm57 sagte in Hinweis für Fritzbox-Nutzer:

Die top level Domain .box ist seit JAHREN verfügbar. Dass AVM weder fritz.box registriert hat noch diese "abgschafft" hat ist für einen solchen Player eigentlich nur mehr peinlich.

das hatte mich auch gewundert.
AVM hatte daraufhin nur gewarnt, man müsse http://fritz.box aufrufen, auf keinen Fall nur fritz.box

@pi-ter sagte in Hinweis für Fritzbox-Nutzer:

Du brauchst nur fritz.box im Browser aufrufen. Meldet sich die Fritte, ist alles gut.

damals wurde aber bereits vor Phishing gewarnt, dass auf einer externen domain der login nachgebaut werden könnte und du denkst du wärst auf der Fritte und gibst ahnungslos deine Credentials ein.

@mcm57 sagte in Hinweis für Fritzbox-Nutzer:

Wenn man also die Fritzbix als DNS Server verwendet

habe gerade in der Fritte nachgesehen, da ist allerdings eine Checkbox: "bei DNS Störungen externe DNS Server nutzen" aktiv.

ich denke die Option sollte man deaktivieren

mcm1957

Ich muss mich korrigieren.

Ja ich kann bei mir keine Probleme feststellen. ABER ich habe eben gesehen, dass mein pihole zwar via fritzbox dns anfragen weiterleite, ich aber conditional forwarding schon vor längerem aktiviert habe. Meine Selbsttests sind daher irrelevant.

Problem sehe ich damit eigentlich in zwei Bereichen

-) wenn man beim Browser auf eien gefakte Loginseite kommt

-) wenn die externe Domain zwar bei einem Browserangriff brav eine eher harmlose Seite zeigt aber intelligent genug ist Verkehr anderer Geräte im Heimnetz anzunehmen, zu identifizieren und dort "Unfug" zu treiben.

Zweiteres macht mir derzeit mehr Sorgen ...

Beim Login kann man ja jedenfalls zunächst mal was falsche eingeben. Und wenn das akzeptiert wird, weiß man woran man ist

Und noch was:
Wie das Ganze mit ipv6 abläuft ist noch ne andere Frage ...

Homoran

@mcm57 sagte in Hinweis für Fritzbox-Nutzer:

Zweiteres macht mir derzeit mehr Sorgen ...

bleibt erst recht die Frage, wie man diese externe Domain in der Fritte blockieren kann.

Blockmove

@homoran said in Hinweis für Fritzbox-Nutzer:

@mcm57 sagte in Hinweis für Fritzbox-Nutzer:

Zweiteres macht mir derzeit mehr Sorgen ...

bleibt erst recht die Frage, wie man diese externe Domain in der Fritte blockieren kann.

Am besten wird wohl sein von .box auf .local in der Fritzbox umzustellen.
.local ist per RFC-Definition genau für sowas vorgesehen.

EDIT:
Geht bei der V7.50 gar nicht mehr ohne weiteres :-(

Homoran

@blockmove sagte in Hinweis für Fritzbox-Nutzer:

@homoran said in Hinweis für Fritzbox-Nutzer:

@mcm57 sagte in Hinweis für Fritzbox-Nutzer:

Zweiteres macht mir derzeit mehr Sorgen ...

bleibt erst recht die Frage, wie man diese externe Domain in der Fritte blockieren kann.

Am besten wird wohl sein von .box auf .local in der Fritzbox umzustellen.
.local ist per RFC-Definition genau für sowas vorgesehen.

und wie genau mache ich das ohne die gesamte Fritte (oder deren Funktionen) zu bricken?

MartinP

@homoran said in Hinweis für Fritzbox-Nutzer:

@pi-ter laut
https://stadt-bremerhaven.de/fritz-box-warnung-an-fritzbox-nutzer/

betrifft das nur User, die den DNS geändert haben.

jetzt weiß ich aber weder ob ich das jemals gemacht habe und was die korrekten Standardeinstellungen wären, noch wie man diese externe Domain sperren könnte :-(

So einfach, wie dort geschrieben ist es auch nicht...

Mit einem mobilen Device könnte man auch zu Hause in eine Falle laufen... und zwar, wenn man DENKT, man sei zu Hause im WLAN angemeldet, aber ist in Wirklichkeit per LTE/5G im Internet...

Manche Smartphones sind da ziemlich eigenwillig, und nutzen auch zu Hause in bestimmten Zimmern das Mobilnetz, wenn ihnen das WLAN aufgrund schlechter Empfangsbedingungen zu langsam erscheint ... Aber Smart-Home-Nutzer sind ja dann eher geneigt, die WLAN-Funklöcher mit Repeatern, Mesh-Devices oder Access Points zu füllen

Marc Berg

@martinp sagte in Hinweis für Fritzbox-Nutzer:

Mit einem mobilen Device könnte man auch zu Hause in eine Falle laufen... und zwar, wenn man DENKT, man sei zu Hause im WLAN angemeldet, aber ist in Wirklichkeit per LTE/5G im Internet...

DAS! sehe ich als das eigentliche Problem. Ansonsten verstehe ich die hier einsetzende Panik nicht so ganz. Das ganze steht und fällt mit einem sauber konfigurierten DNS im lokalen Netz, und wenn man da nicht stumpf "8.8.8.8" eingetragen hat oder ähnlichen Empfehlungen (die man leider oft in div. Tutorials findet) gefolgt ist, hat man auch keine Probleme zu erwarten.

MartinP

@homoran said in Hinweis für Fritzbox-Nutzer:

@blockmove sagte in Hinweis für Fritzbox-Nutzer:

@homoran said in Hinweis für Fritzbox-Nutzer:

@mcm57 sagte in Hinweis für Fritzbox-Nutzer:

Zweiteres macht mir derzeit mehr Sorgen ...

bleibt erst recht die Frage, wie man diese externe Domain in der Fritte blockieren kann.

Am besten wird wohl sein von .box auf .local in der Fritzbox umzustellen.
.local ist per RFC-Definition genau für sowas vorgesehen.

und wie genau mache ich das ohne die gesamte Fritte (oder deren Funktionen) zu bricken?

DAS Frage ich mich auch.

Habe meine Fritzbox mal umbenannt

C:\Users\Johannes>ping -4 kellertreppe

Ping wird ausgeführt für kellertreppe.fritz.box [192.168.2.1] mit 32 Bytes Daten:
Antwort von 192.168.2.1: Bytes=32 Zeit=1ms TTL=64
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64

Keine Hilfe...

Zweiter Versuch ...
"kellertreppe.local" kann man nicht einstellen (Eingabe des fünften Buchstaben von local scheitert)

bei "kellertreppe.lan" kreist erstmal zehn Minuten der Busy-Quirl, und nichts passsiert ...

@blockmove

.local ist per RFC-Definition genau für sowas vorgesehen.

Da gibt es durchaus andere Meinungen ...

https://community.veeam.com/blogs-and-podcasts-57/why-using-local-as-your-domain-name-extension-is-a-bad-idea-4828

The Internet Engineering Task Force (IETF) reserves the .local TLD for mDNS in RFC 6762. If you use it in another context or within a traditional unicast DNS context, you may face non-compliant behavior and conflicts.

Homoran

@martinp sagte in Hinweis für Fritzbox-Nutzer:

Habe meine Fritzbox mal umbenannt

das nutzt nichts.

ich habe auch nur tipos dazu und zur Änderung der DNS Server gefunden.
Dann noch Dinge zu myfritz, aber das ist irrelevant.

btw lt inside digital landest du per VPN auch auf der falschen website

MartinP

@homoran Da habe ich mal wieder nicht richtig aufgepasst - war eigentlich eine Antwort an Blockmove ...

haselchen

Ob diese Info noch Bestand hat, keinen Schimmer 😎
Ich fand den Wechsel der Domain von fritz.box auf sky.net lustig 😁

Beim Durchsehen der Konfigvariablen aufgefallen: CONFIG_HOSTNAME='fritz.box'
Kann in der /var/flash/featovl.cfg geändert werden, bspw.: CONFIG_HOSTNAME=sky.net
...aber ohne Gänsefüßchen oder Hochkommata.

Nach Neustart ist dann die Fritz!Box so zu erreichen: "http://sky.net"
Und allen Geräten wird diese Domain an den Hostnamen angehangen.
...allerdings funktionieren dann die Links nicht mehr zum NAS und Myfritz im WebIf.

Ist also noch nicht so ganz durchdacht/fertig.
Aber wer NAS und Myfritz Webinterface nicht nutzt kanns egal sein.