Jump to content

Dyndns update via https läuft einfach nicht

s.F

Von s.F
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

s.F Fellow

s.F   10

Geschrieben
Geschrieben

Hallo zusammen,

 

Ich zweifel so langsam an meinem Verstand aber ein IP Update bei Dyndns funktioniert über den c836 irgendwie gar nicht. Wie in der Anleitung der Dyndns Website beschrieben habe ich die Einstellungen übernommen.

 

DynDNS.com - Support -- Knowledge Base -- Configuring Cisco Routers with HTTPS

 

Über Google hab ich 2 Lösungen gefunden, die wohl irgendwann auch mal funktioniert haben (beides geht bei mir aber gar nicht).

 

Ebenso stellt sich für mich die Frage, ob innerhalb dieser Update URL am Ende wie in der 2. Config der Zusatz &myip=<a> unbedingt benötigt wird oder nicht. Testweise hab ich beide URL´s mal im Browser eingefügt, und nach Login/Passwort erhält mal auf einer Webpage angezeigt "good <CurrentIP>". Ein Update bei DynDNS über diese Links is also möglich.

 

1. Config:

 

ip ddns update method dyndns
HTTP
 add https://myuserid:mypasswd@members.dyndns.org/nic/update?system=dyndns&hostname=myhostname.homedns.org
interval maximum 28 0 0 0
!

 

2. Config:

 

ip ddns update method dyndns
HTTP
 add https://myuserid:mypasswd@members.dyndns.org/nic/update?system=dyndns&hostname=myhostname.homedns.org[b]&myip=<a>[/b]
interval maximum 28 0 0 0
!

 

Die debug ip ddns update Ausgabe liefert mir folgende Informationen:

 

11:31:16: DYNDNSUPD: Adding DNS mapping for xxx.homedns.org <=> x.x.x.x
11:31:16: DYNDNSUPD: Sleeping for 3 seconds waiting for interface Dialer1 configuration to settle
Sep 25 16:23:25.856: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to up
11:31:19: HTTPDNS: Update add called for xxx.homedns.org <=> x.x.x.x
11:31:19: HTTPDNSUPD: Session ID = 0x6
11:31:19: HTTPDNSUPD: URL = 'https://myuserid:mypasswd@members.dyndns.org/nic/update?system=dyndns&hostname=xxx.homedns.org'
11:31:19: HTTPDNSUPD: Sending request
[b]11:31:19: HTTPDNSUPD: Call returned Request Failed for update xxx.homedns.org <=> x.x.x.x[/b]
11:31:19: DYNDNSUPD: Another update completed (outstanding=0, total=0)
11:31:19: HTTPDNSUPD: Clearing all session 6 info

 

Die Ausgabe 11:31:19: HTTPDNSUPD: Call returned Request Failed for update xxx.homedns.org <=> x.x.x.x könnte ich ja verstehen wenn keine Antwort den Router (mangels ACL) erreicht.

 

Testweise hab ich mal folgende ACL´s hinzugefügt. Eigentlich dürfte dann ja kein Traffic mehr blockiert werden, oder?

 

Extended IP access list ALICE_WAN_IN

10 permit ip any any (336 matches)

Extended IP access list ALICE_WAN_OUT

10 permit ip any any

 

Die 2 ACL´s waren wie folgt dem interface dialer1 hinzugefügt:

 

ip access-group ALICE_WAN_IN in

ip access-group ALICE_WAN_OUT out

 

Wenn ich keinen groben Fehler gemacht habe sollte in dieser Zeit (während die ACL´s aktiv waren) kein Traffic geblockt werden.

 

Diese Fehlermeldung HTTPDNSUPD: Call returned Request Failed for update xxx.homedns.org aus dem Dyndns Debug kommt aber trotzdem.

 

Wäre nett wenn mir jemand helfen würde^^

Link zu diesem Kommentar
deltaMinusT Contributor

deltaMinusT   10

Geschrieben
Geschrieben

@ s.F.

Ich denke Du hättest es geschrieben, aber trotzdem nachgefragt: Du hast nicht zufällig CBAC alias "Cisco IOS Firewall" konfiguriert ("ip inspect") ?

 

Zu Deiner Frage zu den "zwei Configs" (der Zusatz &myip=<a>") die Antwort:

Weder noch :wink2: – hier: DynDNS.com - Support -- Developers' Connection -- Update Specifications: Perform Update ist die Syntax beschrieben. Wenn Du nicht wildcard, mx etc. Features nutzt, lautet der aktuell richtige URL:

http://username:password@members.dyndns.org/nic/update?hostname=yourhostname&myip=

Link zu diesem Kommentar
s.F Fellow

s.F   10

Geschrieben
  • Autor
Geschrieben

Hallo zusammen,

 

@rob_67

 

Was genau meinst du mit "die Definition auf dem Interface?" ?

Verstehe die Frage nicht, was genau meinst damit?

 

@deltaMinusT

 

Würde mich was Cisco / IOS Betrifft eher als Einsteiger einstufen. Aktuell bereite ich mich auf die CCNET (IND1) Zertifizierung vor. Bis auf fehlende Praxis Erfahrung hab ich jedoch (würd ich behaupten) einen Wissenstand vom CCNA. Leider hat Cisco die Prüfungen "umgestickt" bevor ich noch die alte CCNA Prüfung ablegen konnte.

 

1. ip inspect Konfiguration(en) hab ich bisher noch gar nicht vorgenommen. Wie bereits beschrieben hatte ich 2 ACL´s (je 1x traffic in und traffic outgoing) dem WAN Interface (Dialer1) hinzugefügt in denen ich jeglichen Traffic "durchgelassen" habe. Wollte das quasi nutzen um irgendwie festzustellen, ob der Router von Dyndns keine Antwort erhält, weil eingehender Traffic blockiert wird. In den FAQ´s bzw howto´s waren auch Hinweise das man per Access List dafür sorgen soll, dass die Antwort beim Router an kommt.

 

Per Debug konnte ich keine Hinweise finden das diese Rückmeldung geblockt werden könnte. Muss ich für Dyndns innerhalb der ip inspect settings irgendwas aktivieren?

 

2.

 

Unsicher bin ich mir auch ob das update Problem besteht, weil mit dem importieren des SSL Zertifikats etwas schief gelaufen ist. Update normal über http funktioniert ebenfalls auch nicht deshalb denke ich das SSL nicht das problem sein kann.

 

Bei Cisco hab ich versucht via Special File Access die Freischaltung für ein IOS Update erhalten zu können, aber keine Chance. Cisco verweisst mich an einen Cisco Partner und ich hab mehrere angeschrieben (Unterlagen, Preisanfage ect) allerdings bekam ich keine Antwort. Vermutlich weil die Cisco Partner eher sich nur bei entsprechenden Umsatz anfangen sich zu bewegen.

 

Auf dem Router läuft die IOS Version 12.4(3a) und an eine neuere komme ich leider auf legalem Weg nicht ran. Ich hätte da noch die Vermutung ob bei Dyndns vielleicht etwas umgestellt wurde, und der Router vielleicht auf einen anderen "Update ok String" wartet.

 

Diesen o.g Link was den Syntax der update url betrifft kannte ich nicht, danke!

 

Hab aus verzweiflung schon überlegt auf Dyndns zu verzichten und es mit einem anderen Anbieter zu probieren. Allerdings gebe ich ungern klein bei .... *grummel*.

 

Was könnte ich noch tun!?

Link zu diesem Kommentar
deltaMinusT Contributor

deltaMinusT   10

Geschrieben
Geschrieben

Hallo s.F.! Da Du keine ip inspect Einstellungen getroffen hast, hat sich das, wie schon vermutet, erledigt.

Gefragt habe ich deshalb, da ich ein ähnliches Problem habe: Ab einem bestimmten Stichtag funktioniert bei mir ddns einfach nicht mehr, ohne das sich in der Konfig etwas verändert hätte. Im log ("ip inspect log drop-pkt") kann ich dann sehen, das genau das entscheidende Paket verworfen wird und es einen time-out gibt, woraufhin das ddns update scheitert . . .

Was Du noch tun kannst? Wenn Du Dir bezüglich des SSL Zertifikates unsicher bist, kannst Du das debuggen:

deb ip ddns update
deb cry ver
deb cry pki mess
deb cry pki trans
deb cry pki val

 

Du könntest auch Deine inbound ACL so modifizieren, das Du den dyndns traffic "mitschneidest" und dann im log kontrollierst - so in der Art:

Extended IP access list ALICE_WAN_IN
permit ip host <IP DynDNS> any log-input DynDNS_perm
permit ip any any

Du siehst dann wenigstens ob und was passiert.

 

Ich glaube, rob67 meinte die ddns Konfig auf Deinem dialer Interface ...

Link zu diesem Kommentar
s.F Fellow

s.F   10

Geschrieben
  • Autor
Geschrieben

@deltaMinusT

 

Danke für die Infos´s werde das heut Abend mal probieren.. Gibt halt so viele Debug Commands da kann man unmöglich alles wissen. Allerdings hab ich lieber viele Debug möglichkeiten, als gar keine :D Werde das Gefühl nicht los Dyndns hat lediglich die Antwort geändert die jeder Client nach einem Update erhält.

 

Könnte also sein das Cisco Router auf "ja danke passt schon" warten aber Dyndns "ok ich hab alles aktualisiert" zurück sendet. Sowas ähnliches halt.

 

Weitere Komments, Erfahrungen? Würde bei mir das http update funktionieren aber https nicht könnte es an meinem IOS bzw einem Kompatibilitätsproblem (eigene Fehler beim SSL Cert importieren ect pp liegen). Es läuft aber beides nicht und das wurmt mich total. Ich mein man kann doch nicht zu unfähig sein paar Zeilen in die Console einzuegeben. Wenn man mit Google jedoch sucht merkt man schnell das man mit dem Problem nicht alleine dar steht.

 

p.s: Welche IOS Version verwendest du? Update möglichkeit eventuell? Um was für einen Router gehts bei Dir?

 

@rob_67

 

Die Einstellungen sind in meiner Config vorhanden. Hab schon sehr viel herum gesucht, weil ich es kaum glauben kann/will das es nicht funktioniert. Danke trotzdem ... manchmal is man ja Blind und übersieht es durchaus schnell mal.

Link zu diesem Kommentar
s.F Fellow

s.F   10

Geschrieben
  • Autor
Geschrieben

@rob_67

 

Wie oben schon erwähnt wurde kann ich das IOS leider mangels fehlendem Cisco Smartnet Contract für den Router nicht aktualisieren. Bedingt durch deine Frage ob dyndns.com überhaupt mit nichtkostenpflichtigen Zertifikaten funktionieren würde weiss ich nicht ob du meine Postings korrekt gelesen hast. Eventuell nur überflogen?

 

1. Dyndns.org verwendet laut Support Seite ein SSL Zertifikat Signiert von der Equifax Secure Certificate Authority. Das dazu passende "Root" Zertifikat von Equifax habe ich nach Anleitung aus dem Dyndns Support Artikel auf dem Router "importiert" weil der Router sonst das SSL Zertifikat von Dyndns vermutlich wohl nicht als "Echt" akzapetieren würde und/oder es probleme bei einer Verbindung per https mit dem Update API Server members.dyndns.org kommet.

 

Würde dies funktionieren per https müsste der Router also nicht die Dyndns Account Daten zum Update unverschlüsselt durchs Internet versenden.

 

2. Ein ddns hostname update funktioniert leider weder per http noch https.

Egal ob die Update URL beginnend mit http oder https in der Router Config verwende, der Router erhält entweder keine Antwort oder eine die er verwirft. Es erscheint die folgende Fehlermeldung in der Debug Anzeige beim DDNS Update:

 

HTTPDNSUPD: Call returned Request Failed for update xxx.homedns.org <=> x.x.x.x

 

Also auch das "normale" http update macht der Router nicht. Da ich leider an kein neues IOS Image komme kann ich nicht nachprüfen ob es eventuell mit der veralteten IOS Version zusammen hängt. Eigentlich denkt man ja an ein Access-List problem, aber auch eine "permit any" Rule für in / out Traffic brachte keinen erfolg.

 

Gebe ich die Update URL im Browser ein wird meine IP bei Dyndns aktualisiert. Die URL ist also Korrekt - die Dyndns Web API funktioniert also offensichtlich.

 

Nur warum der Router das selbst nicht machen will verstehe ich nun auch nicht mehr. Allerdings haben viele das Problem - Google´d man nach findet man dutzende Forum Einträge wo leute exakt das selbe problem haben.

 

p.s: Config werde ich nachher mal Posten.

Link zu diesem Kommentar
  • 3 Wochen später...
s.F Fellow

s.F   10

Geschrieben
  • Autor
Geschrieben

Hi rob_67,

 

Irgendwie ist das ganze ziehmlich merkwürdig. Scheint so als habe ich das problem mehr oder minder lokalisieren können. Ob es nun an meiner veralteten IOS Version liegt, oder aber einen anderen Hintergrund hat, weiss ich jedoch beim besten willen (noch) nicht.

 

In meinen vorherigen Konfigurationen hab ich einen Update interval ziehmlich hoch angesetzt. Wenn nach einem Disconnect automatisch ein Update erfolgt eigentlich kein problem. Erzeuge ich einen re-connect mittels "clear pppoe all" erscheint die Fehlermeldung ...

 

00:06:18: HTTPDNSUPD: Sending request
00:06:18: HTTPDNSUPD: Call returned Request Failed for update xx.xx.org <=> xxx.xxx.xxx.xxx

 

Setze ich den Update interval herunter z.B auf alle 10 min so das der Router alle paar min ein DDNS Update via sendet dann funktioniert es auf einmal.

 


00:41:26: DYNDNSUPD: Adding DNS mapping for xx.xx.org <=> xxx.xxx.xxx.xxx
00:41:26: HTTPDNS: Update add called for xx.xx.org <=> xxx.xxx.xxx.xxx
00:41:26: HTTPDNSUPD: Session ID = 0xB
00:41:26: HTTPDNSUPD: URL = 'http://user:pass@dynupdate.no-ip.com/nic/update?hostname=xx.xx.org&myip=xxx.xxx.xxx.xxx'
00:41:26: HTTPDNSUPD: Sending request
00:41:26: HTTPDNSUPD: Response for update xx.xx.org <=> xxx.xxx.xxx.xxx

00:41:26: HTTPDNSUPD: DATA START
nochg 85.182.0.128
00:41:26: HTTPDNSUPD: DATA END, Status is Response data recieved, successfully
00:41:26: HTTPDNSUPD: Call returned SUCCESS for update xx.xx.org <=> 85.182.0.128
00:41:26: DYNDNSUPD: Another update completed (outstanding=0, total=0)
00:41:26: HTTPDNSUPD: Clearing all session 11 info

 

Ich kam durch zufall nur drauf weil ich noch eine Console Verbindung offen hatte und paar min später etwas nachschauen wollte. Debug war eingeschaltet und dann wurde ich auf die debug Ausgabe aufmerksam.

 

In diesem Fall wollte ich eigentlich mal no-ip.com testen weil ich halt noch ein älteres IOS auf dem Router habe. Ich schätze mal das es mit Dyndns auch funktioniert wenn man den Update interval einfach etwas absenkt.

 

Muss man sowas verstehen? *grübel*

Link zu diesem Kommentar
  • 2 Wochen später...
s.F Fellow

s.F   10

Geschrieben
  • Autor
Geschrieben

Hi deltaMinusT

 

Danke für die Infos, DNSomatic kannte ich bisher noch nicht.

By the way - wenn DynDNS einen Account sperrt dann gibt es normalerweise anstatt einer "Update OK" Meldung stattdessen eine Fehlermeldung zurück :)

 

@ALL

 

Offenbar besteht ein zusammenhang bei meinem Problem mit den von mir verwendeten Alice/Hansenet Nameserver´n. Aus den Debug konnte man ja aus der Zeile "HTTPDNSUPD: Call returned Request Failed" entnehmen, dass der Router vom DynDNS Provider (Backend) keine Antwort erhält.

 

Da mein Internetzugang meistens normal funktionierte, kam ich nicht auf die Idee das es velleicht am Nameserver liegen würde. Aus einem HowTo habe ich einfach "unbewusst" fremde DNS Server in die Router Konfiguration eingetragen. Nachdem ich die Nameserver wieder auf die vom Provider zurückgesetzt habe war es mit dem DynDNS Update auch vorbei. Ebenso war eine Internet Verbindung gestört.

 

Höchstwahrscheinlich sind bzw waren die Alice/Hansenet DNS Server stark ausgelastet so das Timeouts beim DNS Resolve Lookup zu stande kamen.

 

Alice hat von mir mal eine E-Mail bekommen mit der bitte die DNS Server Performance Technisch zu prüfen. Seit dem ich andere DNS Server verwende läuft es vernünftig. Für die sporadischen Störungen des Internet Zugangs werde ich bei Alice aber noch mal auf den Putz klopfen.

 

Nochmals danke an alle hier im Forum :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...