[Frage] Kompletter Ausfall von DNS over TLS (DoT)

TeomaHK

Neuer User
Mitglied seit
21 Mai 2023
Beiträge
71
Punkte für Reaktionen
22
Punkte
8
Halli Hallo allerseits,

ich beobachte seit langem dass sämtliche in der/den FRITZ!Box/en eingetragene DoT-DNS-Server von jetzt auf gleich nicht mehr erreichbar sind. Erst nachdem ich mittels dem Button "Neu verbinden" eine neue Verbindung zum Internetanbieter herstelle sind die eingetragenen DoT-DNS-Server wieder erreichbar.
Dies betrifft im praktischen Betrieb u.a. folgende FRITZ!Boxen:
  • FRITZ!Box 6890 LTE
  • FRITZ!Box 6850 LTE
  • FRITZ!Box 6820v3 LTE.
Die Firmware dieser FRITZ!Boxen ist aktuell die 7.57. Diese Problematik trat jedoch schon unter früheren Versionen auf.

Die eingetragenen DoT-DNS-Server sind derzeit folgende:
  • dns3.digitalcourage.de
  • fdns1.dismail.de
  • fdns2.dismail.de
  • dnsforge.de
  • dns.adguard-dns.com
  • adblock.dns.mullvad.net
  • dot.ffmuc.net
  • dns.digitale-gesellschaft.ch
  • anycast.uncensoreddns.org
  • unicast.uncensoreddns.org.
Diese Liste der DNS-Server wird einmal im Quartal überprüft und gegebenenfalls aktualisiert.

Die Einstellungen in den FRITZ!Boxen sind überall gleich gehalten:
  • Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen: aktiviert
  • Fallback auf unverschlüsselte Namensauflösung im Internet zulassen: deaktiviert *
Zusätzlich verwende ich keine vom Internetanbieter zugewiesene DNSv4-Server sondern derzeit diese:
  • Primär: 094.140.014.140
  • Sekundär: 176.009.093.198
Die Option "Bei DNS-Störungen auf öffentliche DNS-Server zurückgreifen" ist deaktiviert.

Internet-Anbieter (SIM-Karte):
  • ALDI Talk
  • Freenet
Meine Beobachtungen bzw. Erfahrungen gehen soweit, dass ich teilweise schon erahnen kann, wann der nächste Komplettausfall stattfindet. So z.B. beim Download neuer Firmware für die FRITZ!Box. Während ein Image am herunterladen ist, kann ich z.B. nicht mehr den nächsten Download-Vorgang einleiten. Der Browser hat plötzlich zum Internet keine Verbindung mehr. Der aktuell laufende Download jedoch wird aber noch vollständig zu Ende geführt. Danach habe ich in demselben Browser (aber auch andere) erst wieder eine Verbindung zum Internet, wenn ich in der FRITZ!Box manuell eine neue Verbindung herstelle. Bis sich dieses Verhalten erneut wiederholt.

Mir persönlich geht es hierbei mehr um das Verständnis der möglichen Ursachen, die diesen beschriebenen Zustand herbeiführen können. Weniger um eine direkte Beseitigung - da ich mit dem Umstand, die Verbindung in der FRITZ!Box manuell zu erneuern - leben kann. Die oben aufgeführten FRITZ!Boxen sind zu verschiedenen Zwecken im Einsatz. Desweiteren kommt eine Aktivierung der Option mit dem * weiter oben nicht in Frage, weil damit meiner Meinung nach der eigentlichen Sinn der Verwendung von DNS over TLS ad absurdum geführt wird. Zusätzlich möchte ich darüber informieren, dass ich hier zuhause ein größeres Arsenal an aktuellen Produkten von AVM zur Verfügung habe, als in meiner Signatur angegeben.

Mir wäre es recht, wenn hier eine konstruktive Diskussion zu diesem Thema entsteht. Ich suche alle möglichen Ursachen für diese Problematik. Sozusagen der Blick von außen durch Dritte. Wenn noch Fragen bestehen oder Info's fehlen, dann nur zu. Dankeschön.

Mit freundlichem Gruß
Teoma
 
  • Like
Reaktionen: Ram Tamtam
Test doch mit deiner 7590 ob die aktuelle LabPLUS-Version mit dem "DNSSEC Fix" das Problem ggf. behebt.
 
Halli Hallo @NDiIPP ,

zuerst einmal Dankeschön für den Hinweis. Leider ist mir dieser nicht wirklich behilflich. Wie in meinem Eröffnungsthread beschrieben betrifft diese Problematik eher die FRITZ!Boxen für Mobilfunk.

Meine FRITZ!Box 7590 läuft an einem VDSL-Anschluss der Telekom. Dort passiert es gelegentlich auch, dass die Verbindung zu DoT-Servern verloren geht. Jedoch nicht komplett. Ich habe also immer eine funktionsfähige Verbindung zum Internet. Undzwar unter den gleichen Vorgaben wie oben beschrieben.

Zurück zu der oben beschriebenen Problematik. Ich beobachte dieses Verhalten auch an meinen Smartphones (beruflich und privat) oder dem ein oder anderen Tab, welche mit den o.g. Internetanbietern betrieben werden. Auf diesen Geräten verwende ich neben der Personal-Firewall "NetGuard" auch das Programm "personalDNSFilter". Dieses stellt mir im Mobilfunk die Nutzung der gewünschten DoT-Server bzw. auch DoH-Server zur Verfügung. Beide Programme laufen in Kombination, da ich nur einen VPN-Zugang nutzen kann. Wenn eine Verbindung zum Internet besteht dann laufen die DNS-Anfragen grundsätzlich verschlüsselt. Soweit so gut.

Wie schon gesagt beobachte ich auch bei diesen Geräten manchmal für längere Zeit einen Komplett-Ausfall der Verbindung zu DoT- oder DoH-Servern. Schalte ich den Einsatz von personalDNSFilter dauerhaft ab, dann läuft es auch mit dem Internet. Undzwar über den Internetanbieter. Hier stellte sich mir grundlegend die Frage, ob das auch mit anderen Geräten passiert und - wenn ja - warum das so ist. Der wochenlange Test mit den 3 o.g. FRITZ!Boxen bestätigte meine erste Vermutung, dass dies kein spezifisches Hard- oder Software-Problem ist.

@NDiIPP gibt es diesen DNSSEC Fix auch für eine der o.g. FRITZ!Boxen? Außerdem wüsste ich gern auch von Dir theoretische Ansätze zu den möglichen Ursachen dazu.

Mit freundlichem Gruß
Teoma
 
gibt es diesen DNSSEC Fix auch für eine der o.g. FRITZ!Boxen?
Für welche Modelle diese Version (zumindest offiziell, mehr weiß ich auch nicht) verfügbar sind kann man dem Link in #2 entnehmen.
 
Den Workaround hat er ja in Beitrag #1 bereits (für sich) ausgeschlossen:
Die Option "Bei DNS-Störungen auf öffentliche DNS-Server zurückgreifen" ist deaktiviert.
[…]
Desweiteren kommt eine Aktivierung der Option mit dem * weiter oben nicht in Frage, weil damit meiner Meinung nach der eigentlichen Sinn der Verwendung von DNS over TLS ad absurdum geführt wird.

Edit:
@TeomaHK scheint sich ja eher eine Diskussion über mögliche Ursachen für das Problem zu wünschen. Aber da AVM das Problem wohl bereits bekannt zu sein scheint, wird das letztlich wohl eher "nur" noch auf ein Warten auf ein offizielles Update seitens AVM hinauslaufen…
 
Zuletzt bearbeitet:
  • Like
Reaktionen: TeomaHK
Die eingetragenen DoT-DNS-Server sind derzeit folgende:
apropos
leider schein AVM die nicht der Reihe nach abzuarbeiten,
also z.b nur wenn der DOT-DNS in der ersten Zeile nicht reagiert nimm den aus der zweiten Zeile, etc
sondern verwendet diese in zufälliger Reihenfolge
 
Das war doch schon immer so, dass die DNS Server der Fritzbox nicht als Fallback, sondern gleichberechtigt benutzt werden.
 
ja, was ich meinte es wäre gut wenn die Reihenfolge beachtet werden würde.
 
  • Like
Reaktionen: TeomaHK
Halli Hallo zusammen,

Entschuldigung für die späte Rückmeldung. Ich bin beruflich sehr eingespannt.

Also...
...scheint sich ja eher eine Diskussion über mögliche Ursachen für das Problem zu wünschen. Aber da AVM das Problem wohl bereits bekannt zu sein scheint, wird das letztlich wohl eher "nur" noch auf ein Warten auf ein offizielles Update seitens AVM hinauslaufen…
...bevor ich jetzt weitergehe, möchte ich erst einmal sicherstellen, dass wir über das gleiche Thema sprechen.

In den FRITZ!Boxen taucht immer wieder die folgende Ereignismeldung auf:
Alle Verbindungen zu den verschlüsselten DNS-Servern sind unterbrochen. Es besteht kein DNS-Verkehr bis ein Rückfall auf unverschlüsselten DNS-Verkehr erlaubt ist.
Zu diesen Zeitpunkten besteht logischerweise auch keine Verbindung zum Internet, weil keine Namensauflösung stattfinden kann.
Ist das identisch mit diesem Workaround? Was mich dabei stutzig macht: diese Problematik gab es schon unter FRITZ!OS 07.29 und, wenn ich mich nicht täusche, auch früher.
Merkwürdigerweise funktioniert das Ganze ja in der FRITZ!Box 7590 mit der Telekom. Wenn ein DoT-Server ausfällt, springt ein anderer ein. Ich habe dort noch nicht einen Komplettausfall erlebt.

Mit freundlichem Gruß
Teoma

Nachtrag:

Wie @NDiIPP bereits in diesem Post anmerkte, scheint sich hier meiner aktuellen Beobachtung nach in diesem Forum zwischenzeitlich einiges verändert zu haben. Ich habe gehofft und hoffe immernoch, dass hier der ein oder andere etwas mit seinem Wissen dazu beitragen kann, etwas Licht in meine Dunkelheit zu bringen. Sei es nur aus der praktische Erfahrung heraus oder aber auch theoretisches Fachwissen, das mir vielleicht noch fehlt. Ich entschuldige mich vorsorglich, sollte meine Bemerkung auf den einen oder anderen etwas provokant wirken. Doch ich weiß gerade eben nicht, wie ich mich anders ausdrücken soll.

Mit freundlichem Gruß
Teoma
 
Zuletzt bearbeitet:
Gibts hier ein Update, d.h. läuft DNS over TLS nun endlich mal stabiler? Bei mir zumindest nicht, wenn ich die Fallback-Haken wegmache, ist es nur eine Frage der Zeit bis die DNS-Auflösung nicht mehr geht, weil er die Verbindung verloren hat.
 
Heute frisch die 8.00 auf meiner 7530AX eingespielt und DoT verliert regelmässig die Verbindung zu ControlD und baut sie auch nicht mehr auf. :( Das bekommt AVM nicht in den Griff.
 
Hast Du es denn überhaupt an AVM (selbst) gemeldet?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.