[Problem] FritzBox 7590 FritzOS 7.21 und 7.24 DNS over TLS DoT Verbindungsprobleme Probleme bzw. Bug

Carlos030

Neuer User
Mitglied seit
7 Jan 2021
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Ich hoffe das mir die PROs hier helfen können bzw meine Befürchtung bestätigen, dass es Probleme mit "DNS over TLS" = DoT in der aktuellen FritzOS 7.21 und Labor 7.24 gibt.

Habe eine 7590 mit FritzOS 7.21 hatte ich erstmals DoT eingerichtet, zu Anfang funktionierte es, jedoch desto länger es lief, je mehr Seiten habe ich im Browser und meine Geräte nicht mehr erreicht, musste immer DoT in der Fritte aktivieren und reaktivieren, bis das Spiel von vorne losging, dann habe ich viele Foreneinträge zu der Thematik gefunden, die meine Probleme bestätigt hatten, natürlich hatte ich mich vorher an den AVM Support gewendet, dort hieß es wie immer, das Problem ist uns nicht bekannt.

Ich habe immer wieder auf folgenden Seiten DOT überprüft, die natürlich nach einer Weile dauerhaft fehlgeschlagen sind, bis zum Dot Neustart in der Fritte
Selbstverständlich habe ich vor dem Test auf meinem Win10, den DNS Cache geleert --> ipconfig /flushdns & browser (Edge=chromium/chrome/FF) cache und cookies gelöscht

  1. https://www.cloudflare.com/ssl/encrypted-sni/
  2. https://dnssec.vs.uni-due.de/
  3. http://www.dnssec-or-not.com/
  4. http://en.conn.internet.nl/connection/

Mit der 7.21 hatte ich auch sehr viele Sync Abbrüche (Telekom VDSL 100 Mbit) soll jetzt hier nicht Thema sein, in den release Notes zur Labor 7.24 habe ich von den Verbesserungen für DoT und DSL Verbindungen gelesen, daher habe ich mir die Labor 7.24 installiert auf meine FB 7590.

Resultat Erfahrung mit Labor 7.24:
  • Seit 5 Tagen keine DSL Sync Abbrüche
  • DoT aktiviert und die Seiten sind immer noch erreichbar
Jedoch checke ich immer wieder ob DNSSEC aktiv ist
Sehr oft schlägt es zwischendurch mal fehl, wenn ich mehrere Stunden später teste oder am nächsten Tag ist es wieder alles OK

;)So jetzt zu meiner Frage bzw. Vermutung:


1.
Kann es sein, das selbst in der 7.24 DoT immer noch nicht vernünftig funktioniert und AVM ein KeepAlive Workaround eingebaut hat, sobald DoT nicht mehr geht, der quasi einen Neustart macht. Das würde zumindest erklären, warum manchmal meine Tests Fehlschlagen und dann irgendwann wieder OK sind?

2.
Sind die Tests nicht zuverlässig?

3.
Lag es an meinen zuerst favorisierten cloudflare DNS 1.1.1.1 ?
Seit 1 Tag habe ich einen mix aus DNSv4 / DNSv6 Digitalcourage e.V. und Digitale Gesellschaft (CH) und seit dem schlagen die Tests nicht mehr fehl "OK" oder ist das Zufall (die config ist auch erst paar Tage alt). Der Mix daher, weil Digitalcourage anscheinend keinen DNSv6 Server mehr hat für DoT. (update heute 08.01.21 jetzt schlagen wieder einige Test fehl)

4.
Was haltet ihr von NextDNS für diese DoT Geschichte ?

Meine aktuelle DNS-Server config in der FritzBox 7590 für DoT mit Labor 7.24

DNS_1.JPG
DNS_2.JPG
[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Ram Tamtam

Carlos030

Neuer User
Mitglied seit
7 Jan 2021
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Auch mit der Labor FRITZ!OS: 07.24-85338 BETA ist kein 100% DNSSEC Schutz gegeben :-(
Habe AVM Logfiles geschickt, ob die Sie an die Entwickler weiterleiten?

Leider lese ich sehr oft in Foreneinträgen wo die Leute meinen funktioniert super, wenn ich die bitte mal auf folgenden Seiten zu testen, funktioniert es dann doch nicht :-(


Bei Mozilla Firefox kann man einfach "DNS über HTTPS aktivieren" und es funktioniert, die Tests sind alle 100% OK, warum bekommt das AVM nicht hin?
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
14,068
Punkte für Reaktionen
566
Punkte
113
Moinsen


Warum sollte AVM das hinbekommen?
DoT ist nich: DNS over HTTPS

Prüf doch mal ob deine WunschDNS-Server überhaupt zum Zuge kommen: https://www.dnsleaktest.com/
...das ist viel wichtiger.
 
  • Like
Reaktionen: Ram Tamtam

Carlos030

Neuer User
Mitglied seit
7 Jan 2021
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]

Habe jetzt bisschen umgestellt und etwas andere DNS
Und zusätzlich jetzt die Tage die Labor immer upgedatet

Habe aktuell die FRITZ!OS: 07.24-85841 BETA installiert, seit 1 Version vorher macht es einen stabileren Eindruck bzw. am meisten schlägt dieser Test hier fehl --> DNSSEC? Or Not? (dnssec-or-not.com)

DNS-1.JPG
DNS-2.JPG
[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote gelöscht - siehe Forumsregeln]
Bin irgendwie zu doof den Test zu verstehen, sollte er da was anzeigen oder eher nicht?

result.JPG
[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]
 
Zuletzt bearbeitet von einem Moderator:

Profanta

Mitglied
Mitglied seit
8 Mai 2010
Beiträge
394
Punkte für Reaktionen
71
Punkte
28
starten mußt du den Test auf der Seite dann schon auch noch.
 
H

HabNeFritzbox

Guest
Was soll DNSSEC Test bringen? Für DoT hat der keine Relevanz, auch bei unverschlüsselter DNS Anfrage kannst DNSSEC nutzen, bieten viele jedoch nicht an.

Schon traurig genug, selbst Banken und so nutzen ganze teils nicht. Dabei kostet DNSSEC oder nen TLSA Record kein extra Geld, aber dass minimal mehr Arbeit ist wohl schon für viele zuviel.
 

Carlos030

Neuer User
Mitglied seit
7 Jan 2021
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
starten mußt du den Test auf der Seite dann schon auch noch.
ha ha

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]

Na ich dachte da sieht man, ob es aktiv bzw. funktioniert?
 
Zuletzt bearbeitet von einem Moderator:
H

HabNeFritzbox

Guest
DoT ist nur Verschlüsselung zwischen deinem lokalen DNS und dem DNS Resolver (Cache) wie Google und so welchen nutzt.

DNSSEC ist verschlüsselter DNS Eintrag am zuständigen DNS. Ob zwischen dir und dem Cache etwas verschlüsselt ist oder nicht, hat da keine Relevanz.
 

iqjet

Mitglied
Mitglied seit
16 Jul 2006
Beiträge
722
Punkte für Reaktionen
1
Punkte
18
H

HabNeFritzbox

Guest
Was Geschwindigkeit bzw. Auswahl des DNS angeht, hatte ich schon Thema gemacht.

Dass DoT Probleme macht findet man auch in sämtlichen Laborthemen und ggg. extra Themen.
usw.
 

user3141

Neuer User
Mitglied seit
16 Apr 2021
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
@Carlos030 ich habe exakt den selben Bug wie du mit exakt der selben Firmware. Wollte ich dir nur sagen, falls du dich fragst wie viele User darunter leiden. Ein Freund von mir hat das selbe Fritz OS wie wir drauf und hat den Bug ebenfalls. Ich würde mal sagen da hat AVM einfach einen deterministischen Bug implementiert.

Der DoT DNS Server ist bei meinem Kumpel und mir jeweils auch Cloudflare (wie bei dir).

Inzwischen gibt es ja ein Update 7.25 - das probiere ich morgen mal. :)
 

SurferFritz

Neuer User
Mitglied seit
16 Feb 2021
Beiträge
65
Punkte für Reaktionen
14
Punkte
8
Ich bin mir nicht sicher, ob ich eure Problematik 100%ig verstanden habe.
Vielleicht kann ich aber doch einen Tipp zur Vereinfachung geben.

Im angehangenen Screenshot seht ihr alle von mir vorgenommenen Eingaben zur Aktivierung von DoT.
Sonst ist bzgl. DNS alles bei den Grundeinstellungen geblieben.

Das läuft vollkommen problemlos seit 1/4 Jahr ohne Aussetzer. :)
Ein Fallback hat bisher nach meiner Beobachtung nicht stattgefunden.
 

Anhänge

  • Screenshot_20210416-063918_Chrome.jpg
    Screenshot_20210416-063918_Chrome.jpg
    411.9 KB · Aufrufe: 23
H

HabNeFritzbox

Guest
Den zensierten DNS von Telekom kannst weglassen.

Kannst im Onlinemonitor schauen ob der überhaupt bevorzugt ist.
 

SurferFritz

Neuer User
Mitglied seit
16 Feb 2021
Beiträge
65
Punkte für Reaktionen
14
Punkte
8
@HabNeFritzbox

Könnte ich weglassen, will ich aber nicht, da er sehr schnell ist. Die Zensierung, wie sie u.a. explizit die Telekom macht, stört mich nicht.

Der Onlinemonitor zeigt mir bisher eine kontinuierliche Bevorzugung an. Kein Fallback o.ä.!!!
 
H

HabNeFritzbox

Guest
Mit Bevorzugt meinte ich ob eher Telekom oder Google verwendet wird, und so eher der eine oder andere obsolet ist.
 

SurferFritz

Neuer User
Mitglied seit
16 Feb 2021
Beiträge
65
Punkte für Reaktionen
14
Punkte
8
@HabNeFritzbox

Ich schaue jeden Tag in den Onlinemonitor.

Von der FB wird stets 'dns.telekom.de' verwendet.
Entweder weil er der schnellere von beiden ist oder weil er oben steht.

'dns.google' steht nur sicherheitshalber drin, um im Fall des Falles einen Fallback auf unverschlüsselt zu vermeiden.
 
Zuletzt bearbeitet:
H

HabNeFritzbox

Guest
Die Hostnamen gelten ausschließlich für DoT, Fallback sind die IP Adressen oben bzw. Provider DNS.
 

SurferFritz

Neuer User
Mitglied seit
16 Feb 2021
Beiträge
65
Punkte für Reaktionen
14
Punkte
8
Die Hostnamen gelten ausschließlich für DoT, Fallback sind die IP Adressen oben bzw. Provider DNS.
Das sehe ich genau so. Den Fallback auf die unverschlüsselten Provider DNS will ich möglichst vermeiden.
Ist mir bisher auch gelungen. :)
 

user3141

Neuer User
Mitglied seit
16 Apr 2021
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
@SurferFritz danke für deine Konfig - das zeigt mir, dass die FB scheinbar speziell Probleme mit dem Cloudflare DoT Server hat.

Interessanter Weise, hatte ich anfänglich gar keine Probleme, dann kam es zu folgenden merkwürdigen Bugs:

1. Die Fritzbox kann nach einigen Wochen Laufzeit auf meinem HomeServer "plex.tv" nicht mehr auflösen. Ein Neustart der FB behebt das dann jedes mal. Dieser Fehler existiert seit Monaten (habe die Domain per /etc/hosts statisch aufgelöst)

2. Seit kurzem (ca. 2 Wochen) spinnt nun DoT sobald man scheinbar den Cloudflare Server benutzt. Auch hier löst ein Neustart der FB das Problem kurzzeitig. Danach sind aber ALLE Domains tot. Beispielsweise "ping google.de => not found".

Wie angekündigt update ich jetzt aber mal meine Fritzbox. Kann ja nur besser werden. :-D
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.