FRITZ!Box 7490 sporadische Ausfälle DNS over TLS

[DeusoftheWired]

Moin,

die heimische 7490 mit FRITZ!OS 7.60 meldete vor kurzem mal wieder: »Alle Verbindungen zu den verschlüsselten DNS-Servern sind unterbrochen. Es besteht kein DNS-Verkehr bis ein Rückfall auf unverschlüsselten DNS-Verkehr erlaubt ist.«

Genutzt wird DoT mit folgenden Einstellungen:

Mir ist klar, daß man einfach die Option »Fallback auf unverschlüsselte Namensauflösung im Internet zulassen« aktivieren kann. Das führt die Option aber ad absurdum – würde ich kein DoT nutzen wollen, könnte ich es gleich ganz weglassen. Nach einem Neustart der FRITZ!Box ist das Problem immer verschwunden. Das kann aber auch nicht der Weisheit letzter Schluß sein. Es muß ja einen Grund dafür geben, daß das alle paar Wochen mal auftritt.

Das Problem ist nicht neu und es finden sich etliche Einträge im IP-Phone-Forum, z. B. aus dem Oktober 2023: https://www.ip-phone-forum.de/threads/kompletter-ausfall-von-dns-over-tls-dot.316251/
Oder auch aus dem März 2022 hier bei: CB https://www.computerbase.de/forum/threads/quad9-dns-server-gesicherte-verbindung-scheitert.2077171/

Nach ein wenig Recherche unterstützen FRITZ!Boxen seit FRITZ!OS 7.21 die Funktion für DNS over TLS. Die 7.21 erschien im August 2020. Hält sich dieser Fehler denn schon seitdem und AVM hat es in satten fünf Jahren nicht geschafft, diesen Fehler auszubügeln?

Gibt es einen Workaround, wenn man DoT für alle Geräte im Heimnetz möchte? Ggf. tritt der Fehler ja nur bei manchen DNS auf. Bitte postet, mit welchen DNS der Fehler über mehrere Monate hinweg nicht auftritt.
Könnte sonst auch noch einen der alten Raspis reaktivieren. Hatte bis vor ein paar Jahren einen mit Pi-hole laufen.

 

[Helpmaster5000]

one.one.one.one

Der Großteil des Internets läuft eh über Cloudflare, also warum irgendwas anderes nutzen?
Landet am Ende eh dort.

 

[Blutomen]

Das Problem ist nicht neu und es finden sich etliche Einträge im IP-Phone-Forum

Du findest auch Millionen die Probleme mit ihren DSL Anschlüssen haben. Es ist dann aber idR. immer nen Einzeltehema und betrifft nicht alle gleichzeitig.

Hatte die 7490 bis zum Austausch ewig mit DoT im Einsatz.
Gab kein grundsätzliches Problem.

meldete vor kurzem mal wieder: »Alle Verbindungen zu den verschlüsselten DNS-Servern sind unterbrochen. Es besteht kein DNS-Verkehr bis ein Rückfall auf unverschlüsselten DNS-Verkehr erlaubt ist.«

Was hat die Box davor noch gemeldet?
Aus heiteren Himmel passiert das nicht, da ist eher noch davor was mit der Internetverbindung.

 

[DeusoftheWired]

Der Großteil des Internets läuft eh über Cloudflare, also warum irgendwas anderes nutzen?

Unter anderem darum und weil Zentralisierung in solchen Dingen selten gut ist.

Aber unabhängig vom Anbieter: Es ging mir darum, ob es prinzipielles Problem ist, das mit sämtlichen DNS auftritt, oder ein spezielles, das nur im Zusammenspiel mit bestimmten DNS auftritt. Im IP-Phone-Forum vermutet man, daß AVMs Implementierung von DoT fehlerhaft ist, was sich mangels Einsehbarkeit des Firmware-Quelltextes nicht beweisen läßt. Selbst nach dem Zusenden von Logs schiebt AVM es auf die DNS-Betreiber und die wiederum auf AVM.

Hatte die 7490 bis zum Austausch ewig mit DoT im Einsatz.
Gab kein grundsätzliches Problem.

Okay. Welcher DoT-DNS kam bei dir zum Einsatz? Hattest du mehrere in der Liste eingetragen oder nur einen einzelnen?

Ich probiere es jetzt mal mit blank.dnsforge.de als einzigem Eintrag.

Was hat die Box davor noch gemeldet?
Aus heiteren Himmel passiert das nicht, da ist eher noch davor was mit der Internetverbindung.

Das ist ja das Kuriose, es tritt immer aus heiterem Himmel auf. Keinerlei Probleme mit Sync, Down- oder Upload, Leitungsdämpfung etc. oder irgendwas im Ereignisprotokoll vorher – bam, DNS futsch. Immer nach ein paar Wochen. Hab über die letzten Jahre nach dem Einspielen eines FRITZ!OS-Updates DoT in der FRITZ!Box immer mal wieder eine Chance gegeben, es lief immer ein paar Wochen alles wie am Schnürchen, bis es das ohne erkennbaren Grund plötzlich nicht mehr tut.

 

[norKoeri]

Könnte sonst auch noch einen der alten Raspis reaktivieren. Hatte bis vor ein paar Jahren einen mit Pi-hole laufen.

Wäre mein Tipp. Du kannst dann zusätzlich Unbound einbinden und so ebenfalls verschlüsselt arbeiten oder direkt die Root-Server abgreifen.

es tritt immer aus heiterem Himmel auf

Was Du noch probieren könntest, wäre ein Paket-Mitschnitt auf der WAN-Schnittstelle, also der „1. Internetverbindung ← Paket-Mitschnitt ← Support (ganz unten) ← Hilfe ← fritz.box“. Zwar ist die Verbindung verschlüsselt, aber Du kannst so wenigstens überprüfen, ob es am Verbindungsaufbau liegt.

Das Problem ist nicht neu […]

Das Symptom. Ob all jene Meldungen auch die selbe Ursache hatten, wissen wir Dank schlechter Analyse(möglichkeiten) leider nicht.

Keinerlei Probleme mit Sync, Down- oder Upload, Leitungsdämpfung etc. oder irgendwas im Ereignisprotokoll vorher – bam, DNS futsch.

Abgesehen von einem schleichenden Software-Bug, könnte das auch ein Problem im Internet-Peering sein. Welchen Internet-Anbieter nutzt Du in welchem (Bundes-)Land?

 

[DeusoftheWired]

Wäre mein Tipp. Du kannst dann zusätzlich Unbound einbinden und so ebenfalls verschlüsselt arbeiten oder direkt die Root-Server abgreifen.

Mir ist gerade noch eingefallen, daß mna sich ie Hardware inzwischen ja auch sparen kann und Pi-hole einfach in ’nem Container auf dem NAS laufen lassen kann. Wenn das keine zu großen Einschränkungen gegenüber einer echten Installation bringt, werde ich wohl darauf zurückgreifen. Bin aber eigentlich Fan davon, etwas mit einer richtigen Installation laufen zu lassen anstatt mit Docker.

Was Du noch probieren könntest, wäre ein Paket-Mitschnitt auf der WAN-Schnittstelle, also der „1. Internetverbindung ← Paket-Mitschnitt ← Support (ganz unten) ← Hilfe ← fritz.box“. Zwar ist die Verbindung verschlüsselt, aber Du kannst so wenigstens überprüfen, ob es am Verbindungsaufbau liegt.

Jo, das Problem dabei wäre nur die Größe bzw. Dauer des Mitschnitts, weil das ganze ja immer erst nach ein paar Wochen auftritt. Oder meinst du, den Mitschnitt erst dann zu starten, wenn die DoT-Fehlermeldung im Ereignisprotokoll erscheint?

Abgesehen von einem schleichenden Software-Bug, könnte das auch ein Problem im Internet-Peering sein. Welchen Internet-Anbieter nutzt Du in welchem (Bundes-)Land?

Keine Peering-Probleme à la Telekom. Was anliegt, wird bei Verbindung zu allen möglichen Servern auch ausgelastet. Ist ein regionaler Internetanbieter in Thüringen, die Thüringer Netkom.

 

[norKoeri]

den Mitschnitt erst dann zu starten, wenn die DoT-Fehlermeldung im Ereignisprotokoll erscheint?

Jepp, schließlich hast Du das Problem bis zum Neustart der FRITZ!Box. Alternativ wäre das WAN über einen Switch mit Port-Mirroring mitzuschneiden. Hast Du DSL oder Glasfaser? Im letzteren Fall bräuchtest Du nur so einen Switch. Im Fall von DSL bräuchtest Du ein externes DSL-Modem … für den Test wäre mein Tipp auch nicht drei parallel sondern nur einen Anbieter zu nehmen, also z. B. Digitalcourage.

Keine Peering-Probleme à la Telekom.

Aber vielleicht andere. Du könntest die Anfragen auch manuell machen, also von einem Computer aus simulieren und schauen, ob Deine IP-Adresse irgendwie geblockt wird oder das Peering langsam ist.

Thüringer Netkom

Ist das CG-NAT, also Du siehst in der Web-Oberfläche der FRITZ!Box eine Shared-IP? In dem Fall: Hast Du IPv6 eingeschaltet, also kannst Du Webseiten wie ipv6.icanhazip.com erreichen? Digitalcourage bietet IPv6 aber blockiert bei zu vielen Anfragen. Nicht dass ein Nachbar und Du über IPv4 surft und Euch das Kontingent wegnehmt.

 

[DeusoftheWired]

Hast Du DSL oder Glasfaser?

DSL.

für den Test wäre mein Tipp auch nicht drei parallel sondern nur einen Anbieter zu nehmen, also z. B. Digitalcourage.

Jo, hab wie oben beschrieben jetzt erst mal nur blank.dnsforge.de als einzigen drin. Mal schauen, wielange es damit funktioniert.

Aber vielleicht andere. Du könntest die Anfragen auch manuell machen, also von einem Computer aus simulieren und schauen, ob Deine IP-Adresse irgendwie geblockt wird oder das Peering langsam ist.

Wenn das ganze noch mal auftritt, werde ich einen Rechner im Heimnetz mit nslookup den gleichen DNS anfragen lassen, von dem die FRITZ!Box meint, er sei ausgefallen.

Und selbst wenn es Probleme beim Peering gäbe: Das sollte keine Auswirkungen auf die winzigen Pakete zur Namensauflösung haben.

Ist das CG-NAT, also Du siehst in der Web-Oberfläche der FRITZ!Box eine Shared-IP?

Kein CG-NAT, hab eine echte und voll funktionsfähige IPv4. Kein DS (weder voll noch lite), obwohl vollwertiges IPv6 vom Anbieter her möglich wäre. Auch lokal keine IPv6 in Verwendung. WAN- und LAN-seitig also alles IPv4.

 

[norKoeri]

wenn es Probleme beim Peering gäbe

Puh, keine Ahnung, welche Parameter FRITZ!OS alles anlegt, um einen Ausfall zu erkennen. Falls es die Latenz wäre, dann kann das Peering reinschlagen, siehe auch dieses ganz andere Beispiel …

Kein CG-NAT, hab eine echte und voll funktionsfähige IPv4.

OK. Das bedeutet Du hast IPv4-only oder Dual-Stack? Würde auch mal IPv6 einschalten, wenn möglich. Nicht das irgendein Gerät bei Dir im Haus einen Schuss hat und die IPv4 versaut.

Wenn das ganze noch mal auftritt, werde ich einen Rechner im Heimnetz mit nslookup den gleichen DNS anfragen lassen, von dem die FRITZ!Box meint, er sei ausgefallen.

Oder so. Meinte eigentlich direkt den DNS-Anbieter anfragen, also den DNS-Server in der FRITZ!Box umgehen, also mit allem Drum-und-Dran. Mozilla Firefox macht zwar kein DoT sondern DoH, aber wäre wohl auf die Schnelle das Einfachste. Scheint aber auch für DoT schon Tools zu geben …

 

[DLMttH]

obwohl vollwertiges IPv6 vom Anbieter her möglich wäre

Sicher? @Tanzmusikus meinte, das sei nicht so. Vielleicht ist bei denen was kaputt, er ist wohl auch eher so mittelmäßig zufrieden mit dem Anbieter.

 

[DeusoftheWired]

Das bedeutet Du hast IPv4-only oder Dual-Stack?

Ich nutze ausschließlich IPv4, könnte IPv6 via Dual Stack aber verwenden, wenn ich wollte. Ich teste es mal.

Sicher?

Nicht hundertprozentig. Ich probier’s heute abend mal aus. Habe schon bei der Einrichtung der FRITZ!Box 2017 die Option für das WAN-seitige IPv6 deaktiviert. Die Beschreibung auf der Hilfeseite des Anbieters liest sich jedenfalls wie voller Dual Stack:

 

[DLMttH]

Traurig und lustig, die haben da wohl Texte direkt aus der Fritz Wissensdatenbank kopiert, über tatsächliche IPv6-Unterstützung des Anbieters sagt das nichts aus...

 

[Tanzmusikus]

Es muß ja einen Grund dafür geben, daß das alle paar Wochen mal auftritt.

Das Problem ist nicht neu und es finden sich etliche Einträge im IP-Phone-Forum

Diese sporadischen Internet-Aussetzer hatte ich früher auch alle paar Wochen oder so.

@Tanzmusikus meinte, das sei nicht so.

Ja, ich hatte manchmal sogar in den Logs der 7590 stehen, dass die IPv6-Verbindung verfügbar sei.
Leider hatte das nie wirklich funktioniert. Bei mir war's immer DSL (100/40) bzw. jetzt (75/15).

Ich hatte auch schon den Service der Thüringer Netkom kontaktiert. Leider nur IPv4 verfügbar*.

---

*... und doch ist anscheinend eine IPv6-Verbindung möglich(?)

sowie:

Einstellungen:

---

ipv6.icanhazip.com -> Antwort: "die öffentliche IPv6-Adresse der FB"

Ich vermute mal einfach so, dass die öIPv6 nur dann verfügbar ist, wenn die DNS der Thüringer Netkom genutzt werden. QED steht noch aus ... 😁

 

[DLMttH]

Danke, ich denke mal, das ist noch ziemlich neu.

 

[Tanzmusikus]

Was meinst du, was neu sein soll (die FW ist 8.20 ... oder die Info, dass IPV6 anscheinend mit Provider-DNS geht)?

P.S.
Das ist die FB7590 meiner Familie.

 

[DLMttH]

Dass IPv6 überhaupt unterstützt wird.

 

[DeusoftheWired]

@Tanzmusikus Danke für die Screenshots. Hab IPv6 jetzt mal aktiviert, laut Menü wurde auch eine zugewiesen. Die DNS-Server des Anbieters nutze ich allerdings nicht. Wäre auch etwas seltsam, wenn man IPv6 an deren Benutzung koppeln würde.

Lustigerweise soll mein DynDNS-Anbieter https://freedns.afraid.org/ nun nicht mehr via IPv4 erreichbar sein. o_O Mal weiter beobachten.

 

[Tanzmusikus]

Dass IPv6 überhaupt unterstützt wird.

Vielleicht liegt's am Umzug von vor 4 Monaten oder ich hatte bei IPv6 etwas falsch eingestellt.
Wer weiß ... (?) 🤷‍♂️

@DeusoftheWired
Freut mich, dass/wenn IPv6 nun auch nutzbar ist. 👍
Danke für den Hinweis auf FreeDNS!

 

[norKoeri]

mein DynDNS-Anbieter https://freedns.afraid.org/ [soll] nun nicht mehr via IPv4 erreichbar sein.

Könnte auch sein, dass FRITZ!OS jetzt zwei IP-Adressen übermittelt und Dein Anbieter sagt: „Mag ich nicht.“ Wie genau sieht Dein Update-URL aus? Angeblich musst Du zwei hintereinander schreiben …

 

[BobDschingis]

Ich hatte dieses Phänomen gerade auch mal wieder. Vorher auch mit einer 7490 7590 und nun mit einer 5690 Pro. Ich hab ein Telekom DSL Anschluss mit Dual Stack und nutze IPv4 sowie IPv6. Mir ist im Log aufgefallen, dass ich ca. ne Stunde vorher mein Smartphone von wo anders per Wireguard verbunden hab. Ich kann mich leider nicht mehr daran erinnern, ob es das letzte mal auch so war. Ich werde es jetzt aber mal beobachten. Ich nutze die DNS Server von Freifunk München (https://ffmuc.net/wiki/doku.php?id=knb:dohdot)