Fritz!OS 7.20 - DNS over TLS führte zu Problemen

pphi

Neuer User
Mitglied seit
26 Aug 2020
Beiträge
1
Punkte für Reaktionen
2
Punkte
3
Ich hatte nach dem Upgrade meiner 7530 auf 7.20 DNS over TLS aktiviert, mit dns.quad9.net als dem DNS Server.
Zunächst sah alles ok aus, aber in der Zwischenzeit sind Probleme aufgetreten die auf Anhieb nicht mit der Umstellung in Verbindung zu stehen schienen.

1. Ich benutze ein IP Telefon (OBI1062), das direkt für drei Provider konfiguriert ist (nicht als Client an der FB). Mehrere Tage nach der Aktivierung von DNS over TLS klappte die Registrierung bei den Providern auf einmal nicht mehr. Nach allen möglichen vergeblichen Versuchen den Fehler zu finden probierte ich dann mal, direkt einen DNS Server im Telefon einzutragen anstatt die DNS Auflösung über die FB vorzunehmen, und siehe da, das Telefon funktionierte wieder korrekt.

2. Ein bis zwei Wochen nach der Aktivierung von DNS over TLS konnte ich mit meinem iPad (das mit der FB verbunden war) keine existierenden Apps mehr aktualisieren und keine neuen Apps mehr herunterladen. Mit meinem iPhone, verbunden mit der gleichen FB, und beide auf dem neuesten Stand von iOS, funktionierte das alles noch. Nachdem ich alle möglichen Dinge ausprobiert hatte, kontaktierte ich Apple Support. Der sehr kompetente Mitarbeiter führte mich durch diverse Schritte zum Finden des Problemes. Einer der Schritte war die Verbindung mit einem anderen WiFi Netzwerk. Als das iPad mit dem anderen Netzwerk verbunden war, funktionierte alles wieder. Als ich DNS over TLS auf der FB deaktivierte und die FB neu startete, funktionierte es auch dort wieder.
Ich hätte nie gedacht, dass dies die Ursache des Problems war, da es so verspätet auftrat und nur beim iPad, nicht aber beim iPhone.

Nach diesen Erfahrungen lasse ich auf absehbare Zeit DNS over TLS deaktiviert (obwohl ich es im Prinzip gut finde).

Ich wollte auf diese Erfahrungen aufmerksam machen, weil ich so viel Zeit mit der Fehlersuche verbrachte und das vielleicht der einen oder dem anderen ersparen kann.
Also, falls ihr DNS over TLS aktiviert habt und irgendwann später unerklärliche Probleme habt die mit dem Netzwerk zu tun haben könnten, zieht das als die Ursache in Betracht. :)
 
  • Like
Reaktionen: fluffi444 und genuede
War bei mir auch so. DoT funktioniert erst mal ein ppar Tage, bis dann verschiedenen Domains nicht mehr aufgelöst werden. Hatte auch ein Ticket bei AVM; jedoch ohne dass es dort nachstellbar gewesen wäre. Nach dem Motto it#s not a bug. It#s a feature.
 
Habe manchmal Merkwürdigkeiten auf meiner 7490 mit DoT:

dot.securedns.eu
1dot1dot1dot1.Cloudflare-dns.com
dns.quad9.net
dot-fi.blahdns.com

Boote zur Zeit die 7490 bei jeder neuen Labor durch, so dass mich die Merkwürdigkeiten nicht nerven. Da ich auch im DNS-Umfeld tätig bin, habe ich nicht lange nach Fehlern gesucht, sondern über Google die Liste der DNS-Server einfach erweitert. Inzwischen läuft es ohne Nervereien. Boote allerdings ca. alle zwei Wochen wegen neuerer Beta.

Gruß Gerhard
Screenshot_2020-08-26-10-13-11.png
 
Zuletzt bearbeitet:
Habe auch ein Ticket bei AVM diesbezüglich offen.
 
Wenn bei mir die Probleme mit DoT anfingen, half es, den Fallback zu aktiveren. Das ist aber keine Lösung, eher Selbstbetrug.
Dann wird wieder unverschlüsseltes DNS genutzt.

Wie läuft es denn bei Firefox mit DoH? Da könnte man Parallelen ziehen, wenn da auch regelmäßig wieder umgestellt werden muss.
Ich lese gerade, dass Firefox DoH nicht aktiviert, wenn es Probleme geben könnte (z.B. bei Kindersicherung), was auch kein Zustand sein kann, wenn man sich darauf verlassen muss oder will.

Mit Fallback ist die Sache uninteressant. Das ist so, als würde das AV-Programm automatisch ohne Kenntnis des Nutzers deaktiviert, wenn es unbequem werden könnte.
Dann kann es auch weg lassen. Man wiegt sich dann auch nicht in trügerische Sicherheit.
 
Zuletzt bearbeitet:
Thema ist nicht neu, gibt schon einige Einträge zu im 7590 Thema.
 
Aber dort sind sie schwer zu finden. Ich wollte vorhin einen Link posten, aber ich hatte keine Lust, das ganze Thema durchzublättern. Zumal der TE ja eine 7530 hat. Das Problem ist sehr wahrscheinlich in allen 7.20er Versionen enthalten.
 
Jetzt geht es sogar mit Standard-Einstellungen (ohne DoT) nicht mehr:
Code:
root auf MCP-Server am 04.09.2020 11:35
[~] # ping darkwing.dynu.net
ping: darkwing.dynu.net: Der Name oder der Dienst ist nicht bekannt
root auf MCP-Server am 04.09.2020 11:35
[~] # nslookup darkwing.dynu.net
Server:        192.168.178.1
Address:    192.168.178.1#53

** server can't find darkwing.dynu.net: NXDOMAIN

root auf MCP-Server am 04.09.2020 11:37
[~] # nslookup darkwing.dynu.net 1.1.1.1
Server:        1.1.1.1
Address:    1.1.1.1#53

Non-authoritative answer:
Name:    darkwing.dynu.net
Address: 80.138.161.33
Name:    darkwing.dynu.net
Address: 2003:ec:5f18:4a00:9aee:cbff:fe24:dde7
Provider ist 1&1 und verwenden der DNS vom Provider ist an...
 
Wie lange ging es störungsfrei?
 
Ich habe diese Probleme auch und das seit der Beta für die 7.20.

AVM kennt das Problem und sind am suchen woran es liegt. Es ist aber nicht nur ein DoT Problem, auch wenn mehrere DNS Server eingetragen sind, fängt die FritzBox an zu toggeln und hat auch teilweise keinen davon als aktuellen DNS Server eingetragen.

Diese Sache nervt schon seit vielen Wochen.
 
Zuletzt bearbeitet:
Die DNS Implementierung von AVM ist war schon immer eine Katastophe, auch ohne DoT. Eigentlich bringt Linux alls für DNS mit, aber das ist AVM wohl zu einfach und zu open-source.
Die IPs der Providers DNS werden bei AVM seit jeher auf 192.168.180.1 und 192.168.180.2 gemappt. Eine Information darüber gab es nicht. Wenn man diese IPs bzw IP Bereich nutze gibt es Problem. Für diese IPs wird eine feste Route über das Interface "dsl" erzeugt.

Es gibt aber noch andere dadurch verursachte Probleme. Vor kurzem hab ich eine Fritzbox an einem externen Modem eingerichtet, also routing über das "wan" Interface. Als DNS war ein interner Server eingetragen. Die Konsequenz war dass dieser Server nicht mehr die Fritzbox erreichen konnte noch umgekehrt! Die komplette Kommunikation war unterbinden. Die Ursache dafür dass der Server nicht mehr ins Internet konnte zu finden hat schon etwas Zeit in Anspruch genommen
 
Man sollte sich an den Support wenden, denn man hat wohl einen ersten Ansatz, um das Problem, gefunden.
 
Ich habe ein Ticket laufen. sende auch immer bav Support-Daten zu
 
Habe dasselbe Problem und zwar auch wenn der "Fallback auf unverschlüsselte Namensauflösung" aktiviert ist und es bleibt auch wenn ich DoT ganz deaktiviere bis zum Neustart. Der DNS daemon ist offenbar ziemlich verbuggt.
 
  • Like
Reaktionen: fluffi444
Man sollte sich an den Support wenden, denn man hat wohl einen ersten Ansatz, um das Problem, gefunden.
Gerde eine Mail von AVM bekommen. Zitat:
Grundlegend sind uns zu Ihrem Fehler keine derartigen Probleme bekannt.
Deshalb bitte ich Sie zu überprüfen, ob die Probleme mit anderen DNS-Servern auch auftreten.
Also so ganz rund läuft das dort auch nicht.
 
Sagt AVM doch ständig... den ist dieses und jenes nicht bekannt, aber sämtlichen Nutzern die sich hier zu Wort melden bei FW Themen.

Bei AVM darf man nicht viel erwarten... hab langsam auch kein Bock mehr auf deren "Support"... kommt nix bei rum... gibt man weiter... melden uns (wenn mindestens 2 Vollmonde gleichzeitig am Himmel sind)...

Schon peinlich genug das mein Ticket da über 1,5 Jahre läuft und immer noch nicht erledigt ist...
 
  • Like
Reaktionen: chrisulin
In meinem Fall, mit den DNS Problem, hat AVM sehr gut reagiert und gearbeitet. Ich habe eine neuen FW bekommen, zum Testen. Leider kann ich das nicht mehr probieren, da ich mitlerweile einen anderen Weg gehe und einen eigenen DNS Server betreibe. Ohne das DNS Problem bei AVM wäre ich nie zu einem unbound pi-hole gekommen, also auch hier einen Dank an AVM :)
 
Der Trend zum eigenen unbound scheint ungebrochen.
 
Hey Freunde...

gibts bei einem von Euch Neutigkeiten Seitens AVM?

Hab genau das gleiche Problem...

DNS over TLS ist aktiviert:
dns2.digitalcourage.de
dns.digitale-gesellschaft.ch

Das geht dann ein paar Tage gut... Aber dann fällt meist google.de zuerst aus... Mache Seiten gehen noch...

Auch Deaktivieren hilft dann nicht mehr... Egal welche Server oder auch nur IP Adressen (bei nicht DoT) verwendet werden.

Nur ein Neustart der Box hilft!

Freie 6591 FW 7.21
 
Nö, nix neues, auch in Inhouse 7.24 besteht Bug weiter.

Funktion also weiterhin abschalten.

Evt. zur nächsten IFA mit FritzOS 8? ;)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.