DNS over TLS | angebliche Verbindungsprobleme laut Windows

[gaym0r]

Hallo,

bei meinem Windows kommt es zu interessantem Verhalten, wenn ich DNS over TLS (DoT) über die Fritzbox oder DnsCrypt (über einen lokalen Resolver) nutze.

Symptome:

• Windows meldet in der Netzwerkumgebung, dass es keinen Internetzugriff gibt. Das Icon in der Taskleiste sieht entsprechend so aus:
  
• Namensauflösung klappt aber tadellos, sowohl per nslookup als auch in der "Praxis". Surfen, Zocken und Co.: Keine Probleme!
• Einige Programme verlassen sich aber scheinbar auf die "Rückmeldung" von Windows, ob Internet funktioniert oder nicht. So kann ich z.B. Adobe Creative Cloud nicht benutzen, da das Programm immer meldet es gibt kein Internet. Auch OneDrive will sich nicht connecten. Und einige andere Applikationene ebenfalls.

Workaround: Fallback auf "normales" DNS, warten bis Windows meldet, dass Internet da ist bzw. bis sich Applikationen wieder connecten. Anschließend kann ich DoT wieder anmachen und es gibt keinerlei Probleme mehr bis zum nächsten Reboot.
Ein deaktivieren und Aktivieren des Netzwerkadapters hilft manchmal, aber nicht immer.

Weitere Infos: Es ist unerheblich ob ich das DoT meiner Fritzbox nutze (und auf dem Client meine Fritzbox als DNS-Server angebe) oder ob ich DNSCrypt auf meinem Rechner laufen lasse und 127.0.0.1 als DNS-Server angebe. Die Symptome sind in beiden Fällen die gleichen.

Win20H2, alle Updates installiert.

Vielleicht hat ja jemand eine Idee. :-)

Viele Grüße

 

[leetxyz]

Hat dein DNS-Stack irgendwelche Blocklists (z.B. für Werbung oder Tracking) aktiv?
Ich vermute, dass der Connectivity-Check keine IP für www.msftconnecttest.com oder www.msftncsi.com zurückbekommt.

 

[Marco01_809]

Welche Fritz!OS Version und welcher DNS-Server? Habe auch die Erfahrung gemacht dass DNSoverTLS auf der FritzBox mit 7.20/7.21 noch nicht stabil läuft. Einige Zeit geht es, aber dann schlagen Auflösungen manchmal oder fortwährend fehl. Auch das Fallback auf unverschlüsseltes DNS half bei mir nicht, ich musste DoT ganz deaktivieren und die Internetverbindung neu herstellen damit es wieder läuft.

Dein Symptom #3 halte ich für eine Fehldiagnose, ich nehme an dass die Auflösung von intern verwendeten Domains tatsächlich auch fehlschlägt und die Seiten die funktionieren einfach schon im Cache waren oder so.

Siehe ältere Threads zu dem Thema
https://www.computerbase.de/forum/t...ieles-funktioniert-danach-nicht-mehr.1981108/
https://www.computerbase.de/forum/t...s-sporadisch-seiten-nicht-erreichbar.1973898/

Die Probleme mit DNScrypt auf deinem Rechner kann ich mir nicht erklären. Beachte das DNScrypt und DNSoverTLS unabhängige Protokolle sind und ein DoT-Server nicht unbedingt DNScrypt kann.

 

[madmax2010]

https://www.ip-phone-forum.de/threads/fritz-os-7-20-dns-over-tls-führte-zu-problemen.307760/

kann das ggf in die Richtung gehen?

 

[DeusoftheWired]

DoT in FRITZ!OS 7.21 ist aktuell noch verbuggt. Hat AVM so bestätigt.

DoT vorerst deaktivieren und auf die Behebung in einer der nächsten Firmwares warten oder die Laborfirmware ausprobieren + Patchnotes lesen.

 

[cloudman]

Das "verbuggete" Fritz OS würde ich ausschließen wenn DnsCrypt das gleiche Verhalten zeigt.

Kannst du http://www.msftncsi.com/ncsi.txt herunterladen?
Funktioniert die Auflösung von dns.msftncsi.com ?
Das sind die beiden checks die Windows 10 macht um festzustellen ob das Internet verfügbar ist.

Mehr dazu unter https://docs.microsoft.com/en-US/tr...er-edge-open-connect-corporate-public-network

Welche(n) DOT Server nutzt du denn ?

Meine aktuelle Liste

forward-zone:
    name: "."
#    forward-addr: 146.185.167.43@443#dot.securedns.eu
    forward-addr: 80.241.218.68@853#fdns1.dismail.de
    forward-addr: 145.100.185.15@443#dnsovertls.sinodun.com
    forward-addr: 2001:610:1:40ba:145:100:185:15@443#dnsovertls.sinodun.com
    forward-addr: 145.100.185.16@443#dnsovertls1.sinodun.com
#   forward-addr: 2001:610:1:40ba:145:100:185:16  #dnsovertls.sinodun.com
    forward-addr: 185.49.141.37@853#getdnsapi.net
    forward-addr: 2a04:b900:0:100::37 #     getdnsapi.net
#    forward-addr: 94.130.110.185@853#ns1.dnsprivacy.at
#   forward-addr: 2a01:4f8:c0c:3c03::2 #    ns1.dnsprivacy.at
#    forward-addr: 94.130.110.178@853#ns2.dnsprivacy.at
#   forward-addr: 2a01:4f8:c0c:3bfc::2     ns2.dnsprivacy.at
#   forward-addr: 8.8.8.8@853#dns.google
#   forward-addr: 9.9.9.9@853#dns.quad9.net
#   forward-addr: 2620:fe::fe@853#dns.quad9.net
    forward-tls-upstream: yes
    forward-ssl-upstream: yes

 

[gaym0r]

Danke für alle Antworten!

https://www.ip-phone-forum.de/threads/fritz-os-7-20-dns-over-tls-führte-zu-problemen.307760/

kann das ggf in die Richtung gehen?

Die beschreiben Probleme, dass manche Domainnamen gar nicht aufgelöst werden können. Das Probleme habe ich nicht.

Kannst du http://www.msftncsi.com/ncsi.txt herunterladen?
Funktioniert die Auflösung von dns.msftncsi.com ?
Das sind die beiden checks die Windows 10 macht um festzustellen ob das Internet verfügbar ist.

Mehr dazu unter https://docs.microsoft.com/en-US/tr...er-edge-open-connect-corporate-public-network

Ja, kann ich runterladen und auflösen, sowohl via DNScrypt als auch via Fritzbox.

C:\Users\xxx>nslookup dns.msftncsi.com.
Server:  UnKnown
Address:  ::1

Nicht autorisierende Antwort:
Name:    dns.msftncsi.com
Addresses:  fd3e:4f5a:5b81::1
          131.107.255.255


C:\Users\xxx>nslookup dns.msftncsi.com.
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
Name:    dns.msftncsi.com
Addresses:  fd3e:4f5a:5b81::1
          131.107.255.255

Ich hatte den Check in der Vergangenheit sogar mal deaktiviert (aktuell ist er aktiviert) und es brachte keine Änderung. Microsoft selbst warnt ja in dem Artikel ohnehin davor es zu deaktivieren.

Welche(n) DOT Server nutzt du denn ?

Aktuell Censurfridns Denmark, hatte aber auch schon Freifunk und Digitalcourage.

Bei DNScrypt nutze ich die automatische Auswahl (nach meinen Kriterien) von "Simple DNSCrypt".


Habe gerade mal testweise IPv6 in den Adaptersettings deaktiviert - sofort funktionierte alles. Auch nach einem erneuten Aktivieren von IPv6 geht es weiterhin. Ob es da jetzt wirklich ein Problem in Bezug auf IPv6 gibt oder es jetzt nur funktioniert weil ich generell die Adaptersettings "aktualisiert" habe (nach einem Deaktivieren und Aktivieren funktioniert es ja auch manchmal)... who knows. Das ist für mich aber eigentlich auch keine Lösung...

 

[cloudman]

Ich finde nur noch das: https://social.technet.microsoft.co...ernet-is-working-fine?forum=win10itprogeneral

 

[gaym0r]

Ich finde nur noch das: https://social.technet.microsoft.co...ernet-is-working-fine?forum=win10itprogeneral

Ich habe noch drei weitere Einträge:
CaptivePortalTimer
CaptivePortalTimerBackOffIncrementsInSeconds
CaptivePortalTimerMaxInSeconds

Hab ich einfach mal gelöscht und werde gucken was passiert.

Außerdem hat der User den Wert von "EnableActiveProbing" auf 0 gesetzt, also den Check deaktiviert. Das würde ich dann als nächstes machen und bin gespannt ob das irgendwelche anderen Nebeneffekte hat.

Danke!