[Problem] FritzBox 7590 FritzOS 7.21 und 7.24 DNS over TLS DoT Verbindungsprobleme Probleme bzw. Bug

Carlos030

Neuer User
Mitglied seit
7 Jan 2021
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Ich hoffe das mir die PROs hier helfen können bzw meine Befürchtung bestätigen, dass es Probleme mit "DNS over TLS" = DoT in der aktuellen FritzOS 7.21 und Labor 7.24 gibt.

Habe eine 7590 mit FritzOS 7.21 hatte ich erstmals DoT eingerichtet, zu Anfang funktionierte es, jedoch desto länger es lief, je mehr Seiten habe ich im Browser und meine Geräte nicht mehr erreicht, musste immer DoT in der Fritte aktivieren und reaktivieren, bis das Spiel von vorne losging, dann habe ich viele Foreneinträge zu der Thematik gefunden, die meine Probleme bestätigt hatten, natürlich hatte ich mich vorher an den AVM Support gewendet, dort hieß es wie immer, das Problem ist uns nicht bekannt.

Ich habe immer wieder auf folgenden Seiten DOT überprüft, die natürlich nach einer Weile dauerhaft fehlgeschlagen sind, bis zum Dot Neustart in der Fritte
Selbstverständlich habe ich vor dem Test auf meinem Win10, den DNS Cache geleert --> ipconfig /flushdns & browser (Edge=chromium/chrome/FF) cache und cookies gelöscht

  1. https://www.cloudflare.com/ssl/encrypted-sni/
  2. https://dnssec.vs.uni-due.de/
  3. http://www.dnssec-or-not.com/
  4. http://en.conn.internet.nl/connection/

Mit der 7.21 hatte ich auch sehr viele Sync Abbrüche (Telekom VDSL 100 Mbit) soll jetzt hier nicht Thema sein, in den release Notes zur Labor 7.24 habe ich von den Verbesserungen für DoT und DSL Verbindungen gelesen, daher habe ich mir die Labor 7.24 installiert auf meine FB 7590.

Resultat Erfahrung mit Labor 7.24:
  • Seit 5 Tagen keine DSL Sync Abbrüche
  • DoT aktiviert und die Seiten sind immer noch erreichbar
Jedoch checke ich immer wieder ob DNSSEC aktiv ist
Sehr oft schlägt es zwischendurch mal fehl, wenn ich mehrere Stunden später teste oder am nächsten Tag ist es wieder alles OK

;)So jetzt zu meiner Frage bzw. Vermutung:


1.
Kann es sein, das selbst in der 7.24 DoT immer noch nicht vernünftig funktioniert und AVM ein KeepAlive Workaround eingebaut hat, sobald DoT nicht mehr geht, der quasi einen Neustart macht. Das würde zumindest erklären, warum manchmal meine Tests Fehlschlagen und dann irgendwann wieder OK sind?

2.
Sind die Tests nicht zuverlässig?

3.
Lag es an meinen zuerst favorisierten cloudflare DNS 1.1.1.1 ?
Seit 1 Tag habe ich einen mix aus DNSv4 / DNSv6 Digitalcourage e.V. und Digitale Gesellschaft (CH) und seit dem schlagen die Tests nicht mehr fehl "OK" oder ist das Zufall (die config ist auch erst paar Tage alt). Der Mix daher, weil Digitalcourage anscheinend keinen DNSv6 Server mehr hat für DoT. (update heute 08.01.21 jetzt schlagen wieder einige Test fehl)

4.
Was haltet ihr von NextDNS für diese DoT Geschichte ?

Meine aktuelle DNS-Server config in der FritzBox 7590 für DoT mit Labor 7.24

DNS_1.JPG
DNS_2.JPG
[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Ram Tamtam

Carlos030

Neuer User
Mitglied seit
7 Jan 2021
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Auch mit der Labor FRITZ!OS: 07.24-85338 BETA ist kein 100% DNSSEC Schutz gegeben :-(
Habe AVM Logfiles geschickt, ob die Sie an die Entwickler weiterleiten?

Leider lese ich sehr oft in Foreneinträgen wo die Leute meinen funktioniert super, wenn ich die bitte mal auf folgenden Seiten zu testen, funktioniert es dann doch nicht :-(


Bei Mozilla Firefox kann man einfach "DNS über HTTPS aktivieren" und es funktioniert, die Tests sind alle 100% OK, warum bekommt das AVM nicht hin?
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,196
Punkte für Reaktionen
432
Punkte
83
Moinsen


Warum sollte AVM das hinbekommen?
DoT ist nich: DNS over HTTPS

Prüf doch mal ob deine WunschDNS-Server überhaupt zum Zuge kommen: https://www.dnsleaktest.com/
...das ist viel wichtiger.
 
  • Like
Reaktionen: Ram Tamtam

Carlos030

Neuer User
Mitglied seit
7 Jan 2021
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]

Habe jetzt bisschen umgestellt und etwas andere DNS
Und zusätzlich jetzt die Tage die Labor immer upgedatet

Habe aktuell die FRITZ!OS: 07.24-85841 BETA installiert, seit 1 Version vorher macht es einen stabileren Eindruck bzw. am meisten schlägt dieser Test hier fehl --> DNSSEC? Or Not? (dnssec-or-not.com)

DNS-1.JPG
DNS-2.JPG
[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote gelöscht - siehe Forumsregeln]
Bin irgendwie zu doof den Test zu verstehen, sollte er da was anzeigen oder eher nicht?

result.JPG
[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]
 
Zuletzt bearbeitet von einem Moderator:

Profanta

Neuer User
Mitglied seit
8 Mai 2010
Beiträge
195
Punkte für Reaktionen
33
Punkte
28
starten mußt du den Test auf der Seite dann schon auch noch.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,447
Punkte für Reaktionen
550
Punkte
113
Was soll DNSSEC Test bringen? Für DoT hat der keine Relevanz, auch bei unverschlüsselter DNS Anfrage kannst DNSSEC nutzen, bieten viele jedoch nicht an.

Schon traurig genug, selbst Banken und so nutzen ganze teils nicht. Dabei kostet DNSSEC oder nen TLSA Record kein extra Geld, aber dass minimal mehr Arbeit ist wohl schon für viele zuviel.
 

Carlos030

Neuer User
Mitglied seit
7 Jan 2021
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
starten mußt du den Test auf der Seite dann schon auch noch.
ha ha

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]

Na ich dachte da sieht man, ob es aktiv bzw. funktioniert?
 
Zuletzt bearbeitet von einem Moderator:

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,447
Punkte für Reaktionen
550
Punkte
113
DoT ist nur Verschlüsselung zwischen deinem lokalen DNS und dem DNS Resolver (Cache) wie Google und so welchen nutzt.

DNSSEC ist verschlüsselter DNS Eintrag am zuständigen DNS. Ob zwischen dir und dem Cache etwas verschlüsselt ist oder nicht, hat da keine Relevanz.
 

iqjet

Mitglied
Mitglied seit
16 Jul 2006
Beiträge
722
Punkte für Reaktionen
1
Punkte
18

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,447
Punkte für Reaktionen
550
Punkte
113
Was Geschwindigkeit bzw. Auswahl des DNS angeht, hatte ich schon Thema gemacht.

Dass DoT Probleme macht findet man auch in sämtlichen Laborthemen und ggg. extra Themen.
usw.
 
3CX

Statistik des Forums

Themen
237,468
Beiträge
2,094,259
Mitglieder
359,694
Neuestes Mitglied
hc4life