DNS Reihenfolge Fritz OS 7.30

[rerhafnhabu]

Ich stelle mir gerade die Frage, in welcher Reihenfolge die 2 DNS-Server pro IP-Version in der FritzBox (Reiter Zugangsdaten | DNS-Server) abgefragt werden.

Werden diese DNS-Server abwechselnd benutzt?
Oder wird DNS-Server2 nur verwendet, wenn DNS-Server1 keine Antwort liefert?

Eigene Tests waren nicht so richtig aussagekräftig, vielleicht war da noch etwas im DNS-Cache

Aktuelle Einstellung:
DNS1: PiHole (v4)
DNS2: CloudFlare (v4)

DNS1: PiHole (v6)
DNS2: CloudFlare (v6)

 

[bin/bash]

Die DNS Server werden zufällig ausgewählt. Die alternativen CF DNS Server musst du dann im Pi eintragen.
In der Fritzbox sollten nur die Pi DNS-Server drin stehen.

 

[Engaged]

Beide Einträge auf Pihole leiten sonst hat du trotzdem Werbung weil die DNS Server zufällig gewählt werden wie mein Vorredner schon sagt.
In Pihole kannst du dann mehrere normale DNS Server eintragen damit die ausfallsicherheit besteht.
Für beste Performance würde ich dort dann DNS Server mit ECS Funktion wählen, ich habe da z.b Google und Open DNS.

 

[Ja_Ge]

Sicher dass die zufällig gewählt werden?
https://avm.de/service/wissensdaten...65_Andere-DNS-Server-in-FRITZ-Box-einrichten/
Zitat: "Damit Internetseiten auch bei Ausfall des bevorzugten DNSv4-Servers aufgerufen werden können, tragen Sie die IP-Adresse eines zweiten DNSv4-Servers in das Eingabefeld "Alternativer DNSv4-Server" ein."

Um welche FritzBox handelt es sich denn? FritzOS dürfte da aber nicht groß unterscheiden.

 

[Engaged]

Sicher dass die zufällig gewählt werden?

Um welche FritzBox handelt es sich denn? FritzOS dürfte da aber nicht groß unterscheiden.

Ja es wird immer mal auf den zweiten DNS zugegriffen auch wenn der erste nicht komplett ausgefallen ist.
Wahrscheinlich muss die reaktionszeit nur ein bruchteil zu langsam sein bis auf den zweiten zugegriffen wird, wie genau das funktioniert kein Plan auf jeden Fall wird der zweite auch benutzt.
In Pihole kann man das genauso sehen, fast alle Anfragen gehen über Google aber ein paar sind auch immer mit drinne über open DNS.
Ist kein Fritzbox spezifisches Ding.

 

[pleshA]

Wenn du sicher sein willst, kannst du es testen.
Fritz.box/support.lua lässt dich pcaps erstellen, dann "weisst" du wie die Logik ist. Den pcap kannst du in wireshark öffnen und nach dns Abfragen filtern.

 

[GTrash81]

Jein, hier haben mehrere Seiten recht.
Es kommt drauf an, wie die Software programmiert ist.

Beispiel 1:
Windows arbeitet strikt, zumindest bis Win 10 1809, nach der Reihenfolge
Und das auf dämliche weise:
1) jede Anfrage wird an den ersten Server gesendet
2) man wartet 10 Sekunden
3) man befragt den zweiten DNS Server
4) Springe zu 1)
Durfte ich kennen lernen auf der Arbeit, nachdem der Server ausgefallen war.
AD-Anmeldungen dauerten mal eben 15 Minuten.

Beispiel 2:
Linux arbeitet nach der Reihenfolge, merkt sich aber Ausfälle.
Hat man zwei Server eingetragen, dann wird erste bis zum Ausfall genommen.
Ausfall kann auch eine verlorene Anfrage sein, da gibt es ein paar Optionen
was einen Ausfall definiert.
Danach wird auf den zweiten Server gewechselt und immer der genommen,
bis irgendwann das System prüft, ob der erste Server wieder da ist.
Ausfallzeit ggf. 10 Sekunden

Beispiel 3:
bind9, wie vermutlich andere DNS-Server auch, arbeiten RoundRobin.
In der DNS-Spec ist keine Reihenfolge vorgegeben, daher wird einfach
gewürfelt, welcher Server genommen wird.
Stehen 5 DNS-Server zur Auswahl, kann bei der ersten Anfrage der Vierte genommen werden.
Bei der zweiten Anfrage der erste Server.
Bei der dritten Anfrage der fünfte Server, etc.

 

[Raijin]

Primäre und sekundäre DNS sind nicht im eigentlichen Sinne als Fallback konfiguriert. Das würde im Falle eines Falles viel zu lange dauern. Man stelle sich vor, der primäre DNS ist längere Zeit down und wird dann trotzdem noch jedes Mal als erstes gefragt bis dann irgendwann der sekundäre einspringt - bei j e d e m DNS-Query auf's Neue.

Zwar geht der erste Request in der Regel trotzdem an den primären, das Timeout ist aber sehr kurz und dann geht sofort der Request an den sekundären raus, während der primäre einen zweiten Request mit höherem Timeout bekommt. Das schaukelt sich dann nach und nach hoch und beide DNS werden quasi-parallel befragt. Ich bin gerade am Handy und hab keine Muße, den Prozess rauszusuchen, aber bei Microsoft gibt's irgendwo eine Darstellung wie das ganze funktioniert, zumindest bei Windows. Allerdings wird das mit tödlicher Sicherheit überall zumindest ähnlich gemacht.

Hier im Forum hat jemand mal mit WireShark gecheckt wie die Fritzbox das macht. Auch da kam eben raus, dass es kein Fallback ist, sondern entweder zufällig, abwechselnd oder ähnlich dem obigen Schema quasi-parallel. Genau ließe sich sowas nur verifizieren, wenn man konkrete Szenarien mit definiert verzögerten DNS nachstellt. Am Ende ist aber nur wichtig, dass der sekundäre DNS mindestens sporadisch genutzt wird. Im Zweifelsfalle kann hier also ein DNS-Leak entstehen.

Das ist im übrigen auch der Grund warum primärer und sekundärer DNS im Idealfall geklont oder zumindest über dieselben DNS-Informationen verfügen sollten, weil nicht 100%ig sichergestellt ist welcher von beiden genutzt wird

 

[norKoeri]

Aktuelle Einstellung

Fast schon off-topic: Trägt man den Pi-Hole nicht (auch) beim DHCPv4-Server bzw. beim DHCPv6-Server der FRITZ!Box direkt ein? In beiden Fällen erlaubt die FRITZ!Box nur einen Eintrag. Siehe auch diesen Thread … Off-topic ist das Ganze, weil natürlich die Frage blebt, welche DNS-Server die FRITZ!Box für sich benutzt. Aber weil das dann nur noch für das Gast-Netz, Telefonie-, Update- und Zeit-Server ist, könnte man hier den Pi-hole fast weglassen und bei beiden ausschließlich Cloudflare-DNS for Families eintragen.

 

[rerhafnhabu]

Wow, das sind ja viele Antworten in so kurzer Zeit Vielen Dank dafür.
Hintergrund ist der, daß heute Nacht mein PiHole wohl den Dienst eingestellt hat und niemand mehr ins Internet kam.
Im PiHole sind mehrere DNS eingerichtet, hilft halt in diesem Fall nicht.

Daher hatte ich die Hoffnung, den Ausfall einem 2. Eintrag auf einen anderen Server absichern zu können.
Das scheint aber nicht der Fall zu sein, wie ich das aus den Antworten rauslese, da dann ggf. nur noch der 2. Server (mit Werbung) verwendet wird.

Hilft wohl nur ein 2. Pihole
PS: Es ist eine FritzBox 7490, da danach gefragt wurde

 

[hanse987]

Ich stelle mir gerade die Frage, in welcher Reihenfolge die 2 DNS-Server pro IP-Version in der FritzBox (Reiter Zugangsdaten | DNS-Server) abgefragt werden.

In diesem Reiter sollte kein lokaler DNS Server wie ein PiHole eingetragen werden. Für lokale DNS Server gibt es einen eigenen Bereich. Siehe Link:

https://avm.de/service/wissensdaten...65_Andere-DNS-Server-in-FRITZ-Box-einrichten/

 

[Aldjinn]

Ich hab in der FritzBox zwei PiHole als 1. und 2. DNS eingetragen. Die FritzBox selbst ist für die Clients im Netz der einzige DNS Server, d.h. die Clients fragen nie direkt einen der beiden PiHole an. Funktioniert sehr gut, auch der failover. Wann, wie und warum die FritzBox zwischen den beiden PiHole wechselst, hab ich bisher nicht verstanden. Passiert meiner Ansicht nach sehr willkürlich bzw. wenn einer der beiden PiHole nicht verfügbar ist.

Falls du keinen (zweiten) PiHole betreiben willst, könntest du z.B. auch die DNS Server von https://dnsforge.de/ nutzen. Da sind ebenfalls Werbefilter enthalten.

 

[rerhafnhabu]

Die FritzBox selbst ist für die Clients im Netz der einzige DNS Server, d.h. die Clients fragen nie direkt einen der beiden PiHole an. Funktioniert sehr gut, auch der failover.

So habe ich das auch eingestellt. Ich habe zwar mal damit experimentiert, den Clients die Adresse des PiHole per DHCP mitzuteilen, sehe aber keinen Vorteil gegenüber der FritzBox als einzigen DNS-Server, auch Laufzeitunterschiede konnte ich nicht ausmachen.

 

[Raijin]

Wenn man pihole als DNS via DHCP verteilt, muss man auch die lokake Namensauflösung bedenken. Pihole weiß nicht, dass das NAS mit der IP x.y.z.123 den Namen "MeinNAS" hat und somit könnte man das NAS im Heimnetzwerk auch nicht so ohne weiteres mit "MeinNAS" erreichen, sondern nur mit der IP. Das ist unpraktisch. Dazu gibt es in pihole die Funktion conditional forwarding, mit der pihole Anfragen zu lokalen Namen an den DHCP-Server bzw den dort laufenden DNS-Server weiterleiten kann.


Wenn Clients direkt den pihole-dns verwenden, kann pihole auch clientspezifisch antworten, weil pihole ja alle Clients mit ihrer eigenen IP sieht. Fragen die Clients hingegen immer die Fritzbox und diese leitet an pihole weiter, sieht pihole nur die Fritzbox als einzigen Client, aber dafür geht die lokale Auflösung ohne weiteres Zutun, weil die Fritzbox lokale Namen selbst beantwortet und gar nicht erst an pihole weiterreicht.


Ob man nun

Client --> Fritzbox --> pihole --> zB 8.8.8.8

oder

Client --> pihole --> 8.8.8.8
+
Client --> pihole ---conditional--> Fritzbox


konfiguriert, ist Ansichtssache. Es gibt kein richtig oder falsch und beide Varianten haben Vor- und Nachteile. Ich persönlich bevorzuge die zweite Variante, weil ich im pihole log einzelne Clients identifizieren kann.

 

[rerhafnhabu]

In diesem Reiter sollte kein lokaler DNS Server wie ein PiHole eingetragen werden. Für lokale DNS Server gibt es einen eigenen Bereich. Siehe Link:

https://avm.de/service/wissensdaten...65_Andere-DNS-Server-in-FRITZ-Box-einrichten/

Das funktioniert aber nur bei Geräten, die ihre IP per DHCP erhalten.
Geräte mit fester IP müssen alle einzeln konfiguriert werden.
Oder sehe ich das falsch?

 

[hanse987]

Wo liest du die Sache mit den Geräten mit der festen IP heraus?

Das der PiHole wo anderes eingetragen werden soll hat mir der AVM Support mitgeteilt. Vorher hatte ich den PiHole auch wie du eingetragen.

 

[rerhafnhabu]

Das vermutete ich in der Netzwerk-Einstellung in Windows, wo ich bei fest eingestellter IP-Adresse den DNS-Server auch manuell angeben muss.
Wird, wenn ich hier als DNS-Server die IP der Box angebe, dann der lokale DNS-Server verwendet oder die FritzBox?

 

[Raijin]

Wird, wenn ich hier als DNS-Server die IP der Box angebe, dann der lokale DNS-Server verwendet oder die FritzBox?

Hä?

Vereinfacht ausgedrückt läuft das so ab:

Ein Endgerät fragt stets den DNS, den es in seinen eigenen IP-Einstellungen vorfindet. Ob der dortige DNS von Hand eingestellt oder via DHCP automatisch bezogen wurde, spielt keine Rolle. Das Gerät schickt sämtliche Standard-DNS-Queries an eben diesen DNS-Server. Ist das die Fritzbox, ist es die Fritzbox. Ist es pihole, ist es pihole. Ist es 8.8.8.8, ist es 8.8.8.8.

Der DNS-Server, der eben diesen DNS-Query bekommen hat, prüft nun ob er ihn selbst beantworten kann. Wenn ja, antwortet der DNS direkt, wenn nein, leitet dieser DNS an seinen eigenen Upstream-DNS weiter und das Spiel geht von vorne los bis der DNS gefunden wurde, der den gültigen Eintrag in seiner Liste hat.

DNS besteht also aus einer Kette von Aufrufen. In #14 habe ich exemplarisch zwei Setups dargestellt. Bei der Auflösung von lokalen Namen, also "MeinNAS" o.ä. ist es wichtig, dass der DHCP-Server, der in der Regel auch DNS ist (zB Fritzbox), irgendwo in dieser Kette auftaucht, ob an erster Stelle oder irgendwann später, ist einerlei.

 

[norKoeri]

Wird, wenn ich hier als DNS-Server die IP der Box angebe, dann der lokale DNS-Server verwendet oder die FritzBox?

Ja, bitte, die Frage bitte nochmal formulieren. Ich probiere mal: Theoretisch kannst Du bei statischen IP-Clients die DNS-Server frei lassen. Dann sollten sich diese nur den DNS-Server per DHCP holen. Praktisch? Keine Ahnung.

Allerdings ist das alles noch viel komplexer – leider existieren Geräte, die intern Fallback-Server hinterlegt haben: Wenn der zentrale DNS-Forwarder ausfällt (oder … oder wenn der Mond und Sonne im Zenit stehen), fangen die an ihren Fallback-Server zu nehmen. Dann geht das am lokalen DNS-Forwarder bzw. Deinem Pi-hole vorbei. Die sauberste Lösung wäre, Dein Internet-Router hätte einen DNS-Proxy – er schaut sich alles auf Port 53 an, was ins Internet geht. Das bietet FRITZ!OS leider (noch) nicht. DrayTek macht das so.