Fritz!OS 7.20 - DNS over TLS führte zu Problemen

pphi

Neuer User
Mitglied seit
26 Aug 2020
Beiträge
1
Punkte für Reaktionen
1
Punkte
3
Ich hatte nach dem Upgrade meiner 7530 auf 7.20 DNS over TLS aktiviert, mit dns.quad9.net als dem DNS Server.
Zunächst sah alles ok aus, aber in der Zwischenzeit sind Probleme aufgetreten die auf Anhieb nicht mit der Umstellung in Verbindung zu stehen schienen.

1. Ich benutze ein IP Telefon (OBI1062), das direkt für drei Provider konfiguriert ist (nicht als Client an der FB). Mehrere Tage nach der Aktivierung von DNS over TLS klappte die Registrierung bei den Providern auf einmal nicht mehr. Nach allen möglichen vergeblichen Versuchen den Fehler zu finden probierte ich dann mal, direkt einen DNS Server im Telefon einzutragen anstatt die DNS Auflösung über die FB vorzunehmen, und siehe da, das Telefon funktionierte wieder korrekt.

2. Ein bis zwei Wochen nach der Aktivierung von DNS over TLS konnte ich mit meinem iPad (das mit der FB verbunden war) keine existierenden Apps mehr aktualisieren und keine neuen Apps mehr herunterladen. Mit meinem iPhone, verbunden mit der gleichen FB, und beide auf dem neuesten Stand von iOS, funktionierte das alles noch. Nachdem ich alle möglichen Dinge ausprobiert hatte, kontaktierte ich Apple Support. Der sehr kompetente Mitarbeiter führte mich durch diverse Schritte zum Finden des Problemes. Einer der Schritte war die Verbindung mit einem anderen WiFi Netzwerk. Als das iPad mit dem anderen Netzwerk verbunden war, funktionierte alles wieder. Als ich DNS over TLS auf der FB deaktivierte und die FB neu startete, funktionierte es auch dort wieder.
Ich hätte nie gedacht, dass dies die Ursache des Problems war, da es so verspätet auftrat und nur beim iPad, nicht aber beim iPhone.

Nach diesen Erfahrungen lasse ich auf absehbare Zeit DNS over TLS deaktiviert (obwohl ich es im Prinzip gut finde).

Ich wollte auf diese Erfahrungen aufmerksam machen, weil ich so viel Zeit mit der Fehlersuche verbrachte und das vielleicht der einen oder dem anderen ersparen kann.
Also, falls ihr DNS over TLS aktiviert habt und irgendwann später unerklärliche Probleme habt die mit dem Netzwerk zu tun haben könnten, zieht das als die Ursache in Betracht. :)
 
  • Like
Reaktionen: genuede

MegaV0lt

Neuer User
Mitglied seit
11 Sep 2005
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
War bei mir auch so. DoT funktioniert erst mal ein ppar Tage, bis dann verschiedenen Domains nicht mehr aufgelöst werden. Hatte auch ein Ticket bei AVM; jedoch ohne dass es dort nachstellbar gewesen wäre. Nach dem Motto it#s not a bug. It#s a feature.
 

genuede

Neuer User
Mitglied seit
25 Mrz 2009
Beiträge
53
Punkte für Reaktionen
4
Punkte
8
Habe manchmal Merkwürdigkeiten auf meiner 7490 mit DoT:

dot.securedns.eu
1dot1dot1dot1.Cloudflare-dns.com
dns.quad9.net
dot-fi.blahdns.com

Boote zur Zeit die 7490 bei jeder neuen Labor durch, so dass mich die Merkwürdigkeiten nicht nerven. Da ich auch im DNS-Umfeld tätig bin, habe ich nicht lange nach Fehlern gesucht, sondern über Google die Liste der DNS-Server einfach erweitert. Inzwischen läuft es ohne Nervereien. Boote allerdings ca. alle zwei Wochen wegen neuerer Beta.

Gruß Gerhard
Screenshot_2020-08-26-10-13-11.png
 
Zuletzt bearbeitet:

Whoopie

Aktives Mitglied
Mitglied seit
19 Okt 2004
Beiträge
858
Punkte für Reaktionen
9
Punkte
18
Habe auch ein Ticket bei AVM diesbezüglich offen.
 

deoroller

Mitglied
Mitglied seit
6 Jul 2008
Beiträge
570
Punkte für Reaktionen
21
Punkte
18
Wenn bei mir die Probleme mit DoT anfingen, half es, den Fallback zu aktiveren. Das ist aber keine Lösung, eher Selbstbetrug.
Dann wird wieder unverschlüsseltes DNS genutzt.

Wie läuft es denn bei Firefox mit DoH? Da könnte man Parallelen ziehen, wenn da auch regelmäßig wieder umgestellt werden muss.
Ich lese gerade, dass Firefox DoH nicht aktiviert, wenn es Probleme geben könnte (z.B. bei Kindersicherung), was auch kein Zustand sein kann, wenn man sich darauf verlassen muss oder will.

Mit Fallback ist die Sache uninteressant. Das ist so, als würde das AV-Programm automatisch ohne Kenntnis des Nutzers deaktiviert, wenn es unbequem werden könnte.
Dann kann es auch weg lassen. Man wiegt sich dann auch nicht in trügerische Sicherheit.
 
Zuletzt bearbeitet:

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,068
Punkte für Reaktionen
332
Punkte
83
Thema ist nicht neu, gibt schon einige Einträge zu im 7590 Thema.
 

SnoopyDog

Aktives Mitglied
Mitglied seit
14 Jul 2005
Beiträge
2,700
Punkte für Reaktionen
53
Punkte
48
Aber dort sind sie schwer zu finden. Ich wollte vorhin einen Link posten, aber ich hatte keine Lust, das ganze Thema durchzublättern. Zumal der TE ja eine 7530 hat. Das Problem ist sehr wahrscheinlich in allen 7.20er Versionen enthalten.
 

MegaV0lt

Neuer User
Mitglied seit
11 Sep 2005
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Jetzt geht es sogar mit Standard-Einstellungen (ohne DoT) nicht mehr:
Code:
root auf MCP-Server am 04.09.2020 11:35
[~] # ping darkwing.dynu.net
ping: darkwing.dynu.net: Der Name oder der Dienst ist nicht bekannt
root auf MCP-Server am 04.09.2020 11:35
[~] # nslookup darkwing.dynu.net
Server:        192.168.178.1
Address:    192.168.178.1#53

** server can't find darkwing.dynu.net: NXDOMAIN

root auf MCP-Server am 04.09.2020 11:37
[~] # nslookup darkwing.dynu.net 1.1.1.1
Server:        1.1.1.1
Address:    1.1.1.1#53

Non-authoritative answer:
Name:    darkwing.dynu.net
Address: 80.138.161.33
Name:    darkwing.dynu.net
Address: 2003:ec:5f18:4a00:9aee:cbff:fe24:dde7
Provider ist 1&1 und verwenden der DNS vom Provider ist an...
 

deoroller

Mitglied
Mitglied seit
6 Jul 2008
Beiträge
570
Punkte für Reaktionen
21
Punkte
18
Wie lange ging es störungsfrei?
 

thghh

Mitglied
Mitglied seit
23 Jun 2008
Beiträge
676
Punkte für Reaktionen
5
Punkte
18
Ich habe diese Probleme auch und das seit der Beta für die 7.20.

AVM kennt das Problem und sind am suchen woran es liegt. Es ist aber nicht nur ein DoT Problem, auch wenn mehrere DNS Server eingetragen sind, fängt die FritzBox an zu toggeln und hat auch teilweise keinen davon als aktuellen DNS Server eingetragen.

Diese Sache nervt schon seit vielen Wochen.
 
Zuletzt bearbeitet:

fda89

Neuer User
Mitglied seit
31 Aug 2020
Beiträge
97
Punkte für Reaktionen
21
Punkte
8
Die DNS Implementierung von AVM ist war schon immer eine Katastophe, auch ohne DoT. Eigentlich bringt Linux alls für DNS mit, aber das ist AVM wohl zu einfach und zu open-source.
Die IPs der Providers DNS werden bei AVM seit jeher auf 192.168.180.1 und 192.168.180.2 gemappt. Eine Information darüber gab es nicht. Wenn man diese IPs bzw IP Bereich nutze gibt es Problem. Für diese IPs wird eine feste Route über das Interface "dsl" erzeugt.

Es gibt aber noch andere dadurch verursachte Probleme. Vor kurzem hab ich eine Fritzbox an einem externen Modem eingerichtet, also routing über das "wan" Interface. Als DNS war ein interner Server eingetragen. Die Konsequenz war dass dieser Server nicht mehr die Fritzbox erreichen konnte noch umgekehrt! Die komplette Kommunikation war unterbinden. Die Ursache dafür dass der Server nicht mehr ins Internet konnte zu finden hat schon etwas Zeit in Anspruch genommen
 

thghh

Mitglied
Mitglied seit
23 Jun 2008
Beiträge
676
Punkte für Reaktionen
5
Punkte
18
Man sollte sich an den Support wenden, denn man hat wohl einen ersten Ansatz, um das Problem, gefunden.
 

MegaV0lt

Neuer User
Mitglied seit
11 Sep 2005
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Ich habe ein Ticket laufen. sende auch immer bav Support-Daten zu
 

inquisitor

Aktives Mitglied
Mitglied seit
7 Aug 2004
Beiträge
1,493
Punkte für Reaktionen
4
Punkte
38
Habe dasselbe Problem und zwar auch wenn der "Fallback auf unverschlüsselte Namensauflösung" aktiviert ist und es bleibt auch wenn ich DoT ganz deaktiviere bis zum Neustart. Der DNS daemon ist offenbar ziemlich verbuggt.
 

MegaV0lt

Neuer User
Mitglied seit
11 Sep 2005
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Man sollte sich an den Support wenden, denn man hat wohl einen ersten Ansatz, um das Problem, gefunden.
Gerde eine Mail von AVM bekommen. Zitat:
Grundlegend sind uns zu Ihrem Fehler keine derartigen Probleme bekannt.
Deshalb bitte ich Sie zu überprüfen, ob die Probleme mit anderen DNS-Servern auch auftreten.
Also so ganz rund läuft das dort auch nicht.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,068
Punkte für Reaktionen
332
Punkte
83
Sagt AVM doch ständig... den ist dieses und jenes nicht bekannt, aber sämtlichen Nutzern die sich hier zu Wort melden bei FW Themen.

Bei AVM darf man nicht viel erwarten... hab langsam auch kein Bock mehr auf deren "Support"... kommt nix bei rum... gibt man weiter... melden uns (wenn mindestens 2 Vollmonde gleichzeitig am Himmel sind)...

Schon peinlich genug das mein Ticket da über 1,5 Jahre läuft und immer noch nicht erledigt ist...
 
  • Like
Reaktionen: chrisulin

thghh

Mitglied
Mitglied seit
23 Jun 2008
Beiträge
676
Punkte für Reaktionen
5
Punkte
18
In meinem Fall, mit den DNS Problem, hat AVM sehr gut reagiert und gearbeitet. Ich habe eine neuen FW bekommen, zum Testen. Leider kann ich das nicht mehr probieren, da ich mitlerweile einen anderen Weg gehe und einen eigenen DNS Server betreibe. Ohne das DNS Problem bei AVM wäre ich nie zu einem unbound pi-hole gekommen, also auch hier einen Dank an AVM :)
 

StAugustin

Neuer User
Mitglied seit
20 Feb 2017
Beiträge
75
Punkte für Reaktionen
12
Punkte
8
Der Trend zum eigenen unbound scheint ungebrochen.
 
3CX

Statistik des Forums

Themen
235,935
Beiträge
2,068,027
Mitglieder
356,996
Neuestes Mitglied
b13s