FRITZ!Box und eigener DNS-Server

[andy_m4]

Hallo Netzwerk-Profis,

hab hier eine FRITZ!Box 7490 an einem Telekom-Anschluss mit IPv4/IPv6. Funktioniert auch alles super.
Wollte jetzt einen eigenen DNS-Server (im LAN) betreiben. Ist ansich auch kein Problem. Man kann ja in der DHCP-Konfiguration einen DNS-Server angeben. Aber halt leider nur einen. Das heißt, fällt der angegebene DNS-Server aus hat man kein Fallback.

Also hab ich mir gedacht: Gut. Dann lass ich die Firtz!Box als DNS-Forwarder und trage dafür in der Internet-DNS-Konfig den eigenen DNS-Server ein. Da lässt sich dann auch ein alternativer DNS-Server eintragen.

Das Problem ist: Der benutzt auch den eigenen DNS-Server. Aber nicht immer. Wenn ich von einem LAN-Client aus DNS-Lookups mache, dann kommen einige beim konfigurierten DNS-Server an. Andere aber nicht.

Meine Theorie ist, das er nicht immer den primären DNS-Server nimmt, sondern abwechseln auch mal den Alternativen. Diese Theorie wird dadurch gestützt das anscheinend alle DNS-Anfragen zum eigenen Server kommen, wenn ich den auch als alternativen DNS-Server eintrage.

Aber das ist natürlich nicht das, was ich will.
Ich möchte, das er den eigenen DNS-Server nimmt und wenn der nicht verfügbar ist erst dann den alternativen DNS-Server.

Hat dazu irgendwer eine Idee, Erfahrungen, ein alternativen Vorschlag?

Freundlicher Gruß in die Runde
von andy_m4

 

[0-8-15 User]

Wenn es geht, kannst du ja mal noch einen dritten Server eintragen und schauen, ob die Anfragerate auf dem Pi-hole entsprechend sinkt.

Nachtrag: Oder gleich eine E-Mail an AVM schicken und nachfragen, was Sache ist.

 

[andy_m4]

Wenn es geht, kannst du ja mal noch einen dritten Server eintragen

Die Fritz!Box-Oberfläche erlaubt leider keinen dritten DNS-Server einzutragen.

Oder gleich eine E-Mail an AVM schicken und nachfragen, was Sache ist.

Das könnte man natürlich tatsächlich mal machen.

 

[Raijin]

Fritzboxxen haben im Expertenmodus doch tcpdump, oder nicht? Wenn ja, wäre es ja easy, die DNS-Queries zu sniffen. Dort müsste man ja sehen ob die Fritzbox alternierend den primären bzw sekundären DNS anfragt.

 

[andy_m4]

Fritzboxxen haben im Expertenmodus doch tcpdump, oder nicht?

Wusste ich bisher nicht. Aber Deinem Tipp folgend hab ich natürlich mal nachgeschaut. Und tatsächlich.
Unter http://fritz.box/html/capture.html kriegt man ne WebGUI zu tcpdump und kann dann Datenverkehr aufzeichnen.
Das muss ich morgen mal ausprobieren.

 

[andy_m4]

Also ich hab das jetzt mal mit der Netzverkehrsaufzeichnung gemacht und mir das angeguckt (mit Wireshark hat man ja ein komfortablen Viewer für tcpdump-Ausgaben).
Dabei zeichneten sich zwei Dinge ab.

Erstens: Der Request-Response-Zyklus über den eigenen DNS-Server (unbound) dauert länger. Was auch vollkommen logisch ist. Der hat einen minimal weiteren Weg (einmal ins LAN und wieder zurück zur Fritz!Box bevor es überhaupt ins Internet geht) und dann noch das TLS was auch Zeit kostet.
Der Abstand ist nicht groß, aber da (und messbar).

Die Zweite Sache ist die, das die Fritz!Box tatsächlich mehrere Queries zu den unterschiedlichen DNS-Servern abzusetzen scheint. So nach dem Motto: Wer als erstes Antwortet macht den Zuschlag.

Es scheint also so zu sein, wie es hier auch in einigen Beiträgen schon beschrieben wurde.

Mögliche Lösungsvorschläge wurden ja auch schon gemacht.

Einfach einen weiteren eigenen DNS-Server als Fallback hinzustellen würde sicher das "Problem" lösen. Bisher kann ich mich aber noch nicht so recht mit Dir Idee anfreunden extra dafür noch ein Gerät hinzustellen.

Den eigenen DNS-Server als einzigen DNS-Server bereitzustellen würde natürlich auch gehen. Mit ein bisschen Backup für den Fall der Fälle könnte ich aber ruhiger schlafen. :-)

Was ich ganz cool fände, wenn jemand noch irgendwie ein Tweak für die Firtzbox wüsste wie man da an dem Query-Verhalten drehen könnte (Time-Outs etc. verändern).
Ich war ja von dem Capture-Feature ziemlich beeindruckt, weil ich gar nicht wusste, das es das gibt (und es ja auch gar nicht über die normale Weboberfläche zugänglich ist und auch nicht im Handbuch beschrieben ist).

Daher meine leise Hoffnung das vielleicht jemand doch noch ein "secret-hint" parat hat, auch wenn sich da meine Hoffnung zugegebenermaßen in Grenzen hält. :-)

 

[0-8-15 User]

Der Abstand ist nicht groß, aber da (und messbar).

Der Unterschied zwischen DNSSEC + DNS-over-TLS mit z.B. dem DNS von Digitalcourage und dem Telekom DNS liegt bei mir bei Faktor 10 (ca. 16 ms vs. ca. 160 ms).

vielleicht jemand doch noch ein "secret-hint" parat hat

Du könntest mal einen Blick in die "ar7.cfg" werfen. Mit viel Glück findet sich ja da was Passendes.

 

[Raijin]

Den eigenen DNS-Server als einzigen DNS-Server bereitzustellen würde natürlich auch gehen. Mit ein bisschen Backup für den Fall der Fälle könnte ich aber ruhiger schlafen. :-)

Tut mir leid, aber ich kann nach wie vor nicht so recht nachvollziehen woher dieser intensive Fallback-Gedanke herkommt.

Wenn jemand einen pihole betreibt und dieser regelmäßig die Grätsche macht und neu gestartet werden muss, kann ich das ja noch verstehen, aber du scheinst hier einen fiktiven Fehlerfall zu konstruieren und willst dich darauf vorbereiten - wie ein Prepper

Dazu sage ich dann nur: Was ist denn wenn die Fritzbox ausfällt? In Millionen und Abermillionen von Haushalten steht nur ein Router, der Modem, Firewall, DHCP, DNS, DECT-Basis, NAS, Medien-, Print- und VPN-Server gleichzeitig spielt, alles in einem, ein riesig großer SPOF, deutlich größer als ein pihole, weil viel mehr Dienste/Aufgaben betroffen sind.

Einfach einen weiteren eigenen DNS-Server als Fallback hinzustellen würde sicher das "Problem" lösen. Bisher kann ich mich aber noch nicht so recht mit Dir Idee anfreunden extra dafür noch ein Gerät hinzustellen.

Je nachdem was du für Möglichkeiten hast, kann sich ggfs auch ein NAS mit pihole anbieten oder ein kleiner PI zero, der für pihole vollkommen ausreicht.

 

[andy_m4]

Wenn jemand einen pihole betreibt und dieser regelmäßig die Grätsche macht und neu gestartet werden muss, kann ich das ja noch verstehen, aber du scheinst hier einen fiktiven Fehlerfall zu konstruieren und willst dich darauf vorbereiten - wie ein Prepper

Ja. Da hast Du völlig recht.
Vor allem weil der Rechner auf dem der DNS-Server läuft gefühlt schon ewig funktioniert. Der hat auch kein Lüfter mehr oder irgendwelche anderen mechanischen Teile die ja potentiell immer anfällig sind.

Dazu sage ich dann nur: Was ist denn wenn die Fritzbox ausfällt?

Das ist der schlimmere Fall. :-) Weil dann gibts definitiv kein Internet.
Mein Gedanke dahinter ist ja:
Jetzt ist Internet nur kaputt, wenn ein Gerät (nämlich die Fritz!Box) ausfällt.
Wenn ich jetzt DNS extra habe, hab ich sozusagen die doppelte Chance das Internet kaputt geht.

Mal gucken, was ich mache.

 

[Raijin]

So ist das aber in professionellen Netzwerken grundsätzlich. Eine eierlegende Wollmilchsau, die alles macht, ist der größte Feind eines Admins. Deswegen werden die einzelnen Aufgaben jeweils ausgelagert und weitestgehend exklusiv auf der jeweiligen Hardware betrieben. Zusätzlich werden die Aufgaben dann noch redundant gebaut, also eben genau die Lösung mit zwei identischen DNS. Das ist dann Ausfallsicherheit.

Du musst dich also im Prinzip entscheiden ob du einen einzelnen SPOF hast oder derer zwei.

Unter Umständen ist aber auch ein Zwischending eine Option. Die Fritzbox nur noch als reiner Internetlieferant und dahinter zB eine HW-Firewall mit pfSense inkl. BlockerNG Plugin, das effektiv das gleiche bietet wie pihole. Ein sekundärer DNS ist dann hinfällig.

 

[Bob.Dig]

Ich war ja von dem Capture-Feature ziemlich beeindruckt, weil ich gar nicht wusste, das es das gibt (und es ja auch gar nicht über die normale Weboberfläche zugänglich ist

Doch, man kann sich dahin durchklicken. 😉

Spoiler

 

[andy_m4]

Eine eierlegende Wollmilchsau, die alles macht, ist der größte Feind eines Admins.

Grundsätzlich gebe ich Dir recht.
Wobei man fast sagen könnte: So ne Fritz!Box ist billig. Man legt sich einfach eine auf Halde. Und wenn die mal ausfällt, tauscht man die einfach aus und fertig.

Die Fritzbox nur noch als reiner Internetlieferant und dahinter zB eine HW-Firewall mit pfSense inkl. BlockerNG Plugin, das effektiv das gleiche bietet wie pihole. Ein sekundärer DNS ist dann hinfällig.

Kann man im Prinzip auch machen. Hab ich dann aber auch wieder das Problem, das ich zwei Geräte hab, von denen "Internetverfügbarkeit" abhängt.
Noch ne Möglichkeit: Die Fritz!Box komplett ersetzen durch nen Router z.B: mit freier Firmware (OpenWRT und Co.), wo man dann alles machen und einstellen kann was man möchte.
Allerdings ist es gar nicht so einfach einen Router zu bekommen, der VDSL hat, die Telefoniefunktionen der Fritz!Box und das dann noch zu nem akzeptablen Preis.

Auf der anderen Seite ist die DNS-basierte Filterung auch nicht so ein Must-Have das man da unbedingt eine Lösung für zurechtbasteln müsste.

Doch, man kann sich dahin durchklicken

Stimmt. Jetzt hab ichs auch geschafft. Guter Tipp.
Du bist ein Fuchs! :-)