Keinen Zugriff mehr auf Google DNS im 1&1 Netz

[TOMillr]

Mir ist aufgefallen, dass ich seit heute über meinen 1&1 DSL-Anschluss keine Verbindung mehr zu einigen DNS Servern bekomme.

Wenn ich mit nslockup versuche die Domain google.com über z.B. den Google DNS-Server aufzulösen, bekomme ich nur eine Timeout Fehlermeldung:

nslookup google.com 8.8.8.8     
;; connection timed out; no servers could be reached

nslookup google.com 8.8.4.4
;; connection timed out; no servers could be reached

Auch kann ich den DNS-Server nicht anpingen:

ping 8.8.8.8

92 bytes from fritz.box (192.168.2.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 4805   0 0000  3f  01 6075 192.168.2.119  8.8.8.8

^C
--- 8.8.8.8 ping statistics ---
16 packets transmitted, 0 packets received, 100.0% packet loss

Neben dem Google DNS konnte ich das Verbindungsproblem auch bei einem Smart DNS Proxy-Anbieter feststellen. Über andere DNS Anbieter funktioniert es jedoch weiterhin, wie hier mit Cloudflare oder quad9:

nslookup google.com 1.1.1.1       
Server:        1.1.1.1
Address:    1.1.1.1#53

Non-authoritative answer:
Name:    google.com
Address: 74.125.206.138
Name:    google.com
Address: 74.125.206.101
Name:    google.com
Address: 74.125.206.139
Name:    google.com
Address: 74.125.206.113
Name:    google.com
Address: 74.125.206.100
Name:    google.com
Address: 74.125.206.102


nslookup google.com 9.9.9.9
Server:        9.9.9.9
Address:    9.9.9.9#53

Non-authoritative answer:
Name:    google.com
Address: 142.250.186.110

Hat jemand eine Idee, war hier schief läuft? Nutze eine 1&1 VDSL ip4-Verbindung im Netz von NetCologne.

 

[Novize]

Mal eben selbst vom Handy aus getestet - kein Problem im 1&1-VDSL-Netz via Telekom

 

[TOMillr]

Sehr seltsam. Funktioniert der nslockup denn bei dir? Bekomme bei mir weiterhin keine Rückmeldung.

nslookup google.com 8.8.8.8

 

[Erforderlich]

Betreibst du irgendein VPN?

 

[double-gee]

Bei mir (1&1 Glasfaser 1.000 über Telekom-FTTH mit Versatel-IP) ist so, dass der Google-Server nicht zuverlässig antwortet:

nslookup www.google.de 8.8.8.8
Server: dns.google
Address: 8.8.8.8

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
Nicht autorisierende Antwort:
Name: www.google.de
Addresses: 2a00:1450:4001:812::2003
142.250.185.195

Das gleiche Problem tritt auf mit 8.8.4.4 (ebenfalls google) oder aber 1.1.1.1 als DNS-Server, wohingegen die Versatel-eigenen DNS-Server (z.B. 82.144.41.8 oder 82.145.9.8) sofort und problemlos reagieren.
Der DNS-Server von dns4eu (protective.joindns4.eu / 86.54.11.1) arbeitet problemlos.
Die Traceroutes zeigen unterschiedliche Routen aus dem Versatel-Netz hinuas.

Augenscheinlich gehen Pakete auf Port 53 verloren oder unterliegen einem Ratelimit o.ä.
Vielleicht versucht man hier in Teilen des Backbones eine DDOS-Attacke mittels DNS zu mitigieren?

 

[TOMillr]

Mal zur Ergänzung:

traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 64 hops max, 40 byte packets
 1  fritz.box (192.168.2.1)  7.124 ms  3.272 ms  3.106 ms
 2  fritz.box (192.168.2.1)  3125.382 ms !H  3072.127 ms !H  3172.320 ms !H

traceroute 8.8.4.4
traceroute to 8.8.4.4 (8.8.4.4), 64 hops max, 40 byte packets
 1  fritz.box (192.168.2.1)  3.787 ms  3.160 ms  3.096 ms
 2  fritz.box (192.168.2.1)  3072.686 ms !H  3120.289 ms !H  3072.142 ms !H

traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 64 hops max, 40 byte packets
 1  fritz.box (192.168.2.1)  4.001 ms  3.267 ms  3.346 ms
 2  wup1101aihr001.versatel.de (62.214.63.84)  10.461 ms  10.621 ms  9.811 ms
 3  wup1101aihd001.versatel.de (62.214.42.209)  10.062 ms  10.574 ms  9.881 ms
 4  62.214.73.208 (62.214.73.208)  12.316 ms  11.394 ms  15.566 ms
 5  62.214.73.209 (62.214.73.209)  11.667 ms  12.708 ms  11.428 ms
 6  198.41.240.13 (198.41.240.13)  10.738 ms
    198.41.240.9 (198.41.240.9)  23.665 ms
    198.41.240.13 (198.41.240.13)  10.966 ms
 7  one.one.one.one (1.1.1.1)  10.108 ms  10.927 ms  11.399 ms

Bei einem anderen DNS Server läuft der traceroute auch ins Leere, bis ich ihn schließlich manuell abbreche:

thomasmiller@iMac ~ % traceroute 185.244.194.202
traceroute to 185.244.194.202 (185.244.194.202), 64 hops max, 40 byte packets
 1  fritz.box (192.168.2.1)  3.530 ms  4.122 ms  4.192 ms
 2  wup1101aihr001.versatel.de (62.214.63.84)  9.648 ms  11.522 ms  10.389 ms
 3  wup1101aihd001.versatel.de (62.214.42.209)  9.942 ms  10.262 ms  9.778 ms
 4  xnl1002aihb001.versatel.de (80.249.209.109)  16.137 ms  15.552 ms  16.581 ms
 5  ae3-1337.bbr02.anx63.ams.nl.anexia-it.net (80.249.213.102)  18.187 ms  17.636 ms  16.644 ms
 6  ae2-0.bbr02.anx84.nue.de.anexia-it.net (144.208.208.213)  28.264 ms
    ae1-10.bbr01.anx63.ams.nl.anexia-it.net (144.208.208.156)  24.428 ms
    ae2-0.bbr02.anx84.nue.de.anexia-it.net (144.208.208.213)  29.855 ms
 7  94.16.25.159 (94.16.25.159)  33.558 ms
    ae10-0.bbr01.anx25.fra.de.anexia-it.net (144.208.208.211)  22.320 ms  25.474 ms
 8  ae0-0.bbr02.anx25.fra.de.anexia-it.net (144.208.208.142)  23.649 ms * *
 9  * * *
10  * 94.16.25.155 (94.16.25.155)  39.046 ms *
11  * * *
12  * *^C
thomasmiller@iMac ~ % traceroute 37.114.58.132 
traceroute to 37.114.58.132 (37.114.58.132), 64 hops max, 40 byte packets
 1  fritz.box (192.168.2.1)  8.790 ms  3.247 ms  3.308 ms
 2  wup1101aihr001.versatel.de (62.214.63.84)  11.670 ms  15.392 ms  9.674 ms
 3  wup1101aihd001.versatel.de (62.214.42.209)  10.224 ms  9.668 ms  9.374 ms
 4  185.1.18.60 (185.1.18.60)  11.464 ms  12.660 ms  10.233 ms
 5  lwlcom.do-ix.net (185.1.18.16)  10.375 ms  12.381 ms  10.383 ms
 6  ae1-50.cr10.dus02.lwlcom.net (185.146.230.24)  13.739 ms  12.530 ms  11.657 ms
 7  po5-vl3100.cr1.dus6.bgp.rltx.net (31.209.93.5)  10.402 ms  12.193 ms  10.823 ms
 8  100ge-26-vl2209.edge1.dus7.bgp.rltx.net (43.251.160.15)  11.406 ms  12.885 ms
    100ge-26-vl2201.edge1.dus6.bgp.rltx.net (43.251.161.235)  11.547 ms
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *

 

[Novize]

dass der Google-Server nicht zuverlässig antwortet:

Bei mir ebenso, ping läuft sauber, tracert läuft sauber, einzig das nslookup hakt etwas:

nslookup www.google.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
Nicht autorisierende Antwort:
Name:    www.google.de
Addresses:  2a00:1450:4001:813::2003
          142.250.185.227

tracert läuft bei 8.8.8.8 wie auch 1.1.1.1 sauber durch

tracert 8.8.8.8

Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:

  1     1 ms    <1 ms    <1 ms  fritz.box [...]
  2     7 ms     5 ms     5 ms  mhm0006aihk001.versatel.de [94.134.199.93]
  3     6 ms     5 ms     5 ms  46.189.68.155
  4    12 ms    11 ms    11 ms  89.246.109.249
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6    13 ms    11 ms    12 ms  142.251.65.71
  7    11 ms    10 ms    10 ms  142.250.46.183
  8    12 ms    10 ms    10 ms  dns.google [8.8.8.8]

Ablaufverfolgung beendet.

tracert 1.1.1.1

Routenverfolgung zu one.one.one.one [1.1.1.1]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  fritz.box [...]
  2     7 ms    15 ms     5 ms  mhm0006aihk001.versatel.de [94.134.199.93]
  3    17 ms     5 ms     5 ms  46.189.68.155
  4     7 ms     7 ms     6 ms  62.214.73.208
  5     7 ms     7 ms     6 ms  62.214.73.209
  6    14 ms    25 ms     7 ms  198.41.240.13
  7     7 ms     6 ms     7 ms  one.one.one.one [1.1.1.1]

Ablaufverfolgung beendet.

 

[TOMillr]

Ich habe die Sache die letzten Tage noch etwas verfolgt.

Die DNS Server von Google kann ich über das Versatel Routing weiterhin nicht erreichen.

dig @8.8.8.8 google.com   
; <<>> DiG 9.10.6 <<>> @8.8.8.8 google.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached


dig @8.8.4.4 google.com

; <<>> DiG 9.10.6 <<>> @8.8.4.4 google.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Im Vergleich dazu Cloudflare und quad9.

dig @1.1.1.1  google.com | grep "Query time"
;; Query time: 15 msec


dig @9.9.9.9 google.com | grep "Query time"
;; Query time: 18 msec

Den anderen DNS Provider, den ich Mittwoch auch nicht erreichen konnte, ist zumindest wieder ansprechbar. Allerdings gibt es so alle fünf, sechs anfragen einen extremen Ausschlag bei der Response Time. Sie springt dann von im Mittel 50 ms auf über 2000 ms.

dig @37.114.58.132 google.com | grep "Query time"
;; Query time: 48 msec


dig @37.114.58.132 google.com | grep "Query time"
;; Query time: 2173 msec

 

[Peter_Lehmann]

Hallo @TOMillr,

Dann hätte ich aber spätestens nach 5 Minuten einen alternativen DNS-Server eingetragen.
Es gibt ja datenschutzfreundliche und auch sehr flinke Alternativen zu google. Und dabei sogar welche, die uns einen Großteil der garantiert ungewollten Werbung vom Halse halten.

vy 73 de Peter

 

[Erforderlich]

Versatel Glasfaser:

Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:

  1     1 ms    <1 ms    <1 ms  router [192.168.178.1]
  2     3 ms     3 ms     3 ms  89.246.129.181
  3     3 ms     3 ms     2 ms  46.189.117.170
  4    12 ms    21 ms    42 ms  89.246.109.249
  5    16 ms    17 ms    17 ms  89.246.109.250
  6   159 ms    14 ms    14 ms  142.251.65.73
  7    14 ms    14 ms    14 ms  142.250.236.37
  8    13 ms    11 ms    11 ms  dns.google [8.8.8.8]

Routenverfolgung zu one.one.one.one [1.1.1.1]
über maximal 30 Hops:

  1     1 ms     1 ms     1 ms  router [192.168.178.1]
  2     4 ms     3 ms     3 ms  89.246.129.181
  3     6 ms     3 ms     3 ms  46.189.117.170
  4     3 ms     3 ms     3 ms  62.214.73.216
  5     4 ms    16 ms     4 ms  62.214.73.217
  6     4 ms     3 ms     2 ms  one.one.one.one [1.1.1.1]

1. DNS-Server:
dns.versatel-west.de: 62.220.18.8
dns.versatel-nord.de: 89.246.64.8
dns.versatel-ost.de : 82.144.41.8 <<<
dns.versatel-sued.de: 82.145.9.8

2. DNS-Server:
1.1.1.1

Keine Probleme seit 2021.

 

[TOMillr]

Schalte ich einen VPN dazwischen, bekomme ich eine Verbindung hergestellt:

traceroute to 8.8.8.8 (8.8.8.8), 64 hops max, 40 byte packets
 1  100.64.3.185 (100.64.3.185)  33.120 ms  31.555 ms  33.647 ms
 2  unn-149-36-50-253.datapacket.com (149.36.50.253)  33.305 ms  34.196 ms
    unn-149-36-50-252.datapacket.com (149.36.50.252)  34.029 ms
 3  vl253.fra-itx7-core-2.cdn77.com (79.127.195.98)  33.213 ms
    vl253.fra-itx7-core-1.cdn77.com (79.127.195.97)  33.751 ms  35.832 ms
 4  * * 142.250.168.224 (142.250.168.224)  31.423 ms
 5  * * *
 6  dns.google (8.8.8.8)  35.720 ms  35.845 ms  34.450 ms


traceroute to 8.8.4.4 (8.8.4.4), 64 hops max, 40 byte packets
 1  100.64.3.185 (100.64.3.185)  27.833 ms  28.793 ms  28.606 ms
 2  unn-149-36-50-253.datapacket.com (149.36.50.253)  30.667 ms  28.511 ms  28.056 ms
 3  vl253.fra-itx7-core-2.cdn77.com (79.127.195.98)  31.505 ms  28.667 ms
    vl253.fra-itx7-core-1.cdn77.com (79.127.195.97)  29.496 ms
 4  142.250.168.224 (142.250.168.224)  29.569 ms * *
 5  * * *
 6  dns.google (8.8.4.4)  36.803 ms  35.648 ms  36.405 ms

Interessant finde ich, dass schon der erste Hop nicht zustande kommt:

traceroute to 8.8.8.8 (8.8.8.8), 64 hops max, 40 byte packets
 1  fritz.box (192.168.2.1)  5.046 ms  5.336 ms  5.309 ms
 2  fritz.box (192.168.2.1)  3061.884 ms !H  3069.628 ms !H  3074.553 ms !H

traceroute to 8.8.4.4 (8.8.4.4), 64 hops max, 40 byte packets
 1  fritz.box (192.168.2.1)  4.369 ms  4.011 ms  3.794 ms
 2  fritz.box (192.168.2.1)  3053.194 ms !H  3071.368 ms !H  3071.019 ms !H

 

[Erforderlich]

Vielleicht ist es auch Teil der angeordneten 1&1/Versatel-Jugendschutz-Sperren (nur der deutschen Portale, lach!) von P0rnhub und Y0uP0rn und damit sie sich nicht total lächerlich machen, sperren die auch wenigstens noch die Google-DNSs.

Zufällig aus Rheinland-Pfalz?

 

[double-gee]

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

also wenn es wirklich stört, dann eröffnet doch einfach ein Ticket bei 1&1.
Ich verwende ohnehin andere Nameserver...