Fritzbox Probleme mit DoT?

[Skellgon]

Hallo zusammen,

ich habe aktuell ein Problem mit meiner Fritzbox 7530AX, welches mich sehr frustriert.
Und zwar ist es so, dass ich NextDNS mit DoT verwende. Eigentlich klappt das auch gut nur taucht ab und zu das Problem auf, dass meine DNS Anfragen einfach nicht mehr bearbeitet werden. Schaue ich dann in die Fritzbox, sehe ich beispielsweise:

"Alle Verbindungen zu den verschlüsselten DNS-Servern sind unterbrochen. Es besteht kein DNS-Verkehr bis ein Rückfall auf unverschlüsselten DNS-Verkehr erlaubt ist. (XXX Meldungen seit XXXXXX)"

Ich habe Fallback auf unverschlüsselten DNS Verkehr deaktiviert (wie in der Fehlermeldung zu sehen).

Ich habe hier verschiedenste DNS Server probiert. Ob Cloudflare, Google, AdGuard und und und - überall das selbe Problem.

Haben Fritzboxen generell ein Problem mit DoT?
Kann man hier irgendwas tun, außer das Fallback zu aktivieren? Dies würde ich eigentlich gerne vermeiden.

Danke euch für eure Rückmeldungen.

 

[Blutomen]

Haben Fritzboxen generell ein Problem mit DoT?

Nope

Kann man hier irgendwas tun, außer das Fallback zu aktivieren?

Dein Anschluss ist stabil?
Ansonsten mal nen anderen DNS Anbieter nutzen. Kann ja auch an deiner Gegenstelle liegen.
Selbst nutze ich die von doh.sb, bislang ohne Probleme und sind für mich die schnellsten DNS.

 

[SilenceIsGolden]

Ich hab mit meiner 7490 den Digitalcourage-DNS per DoT eingestellt und es funktionert ohne Probleme. Den Fallback hab ich aber aktiviert gelassen, falls es mal einen Ausfall geben sollte. Im Ereignislog der Fritzbox stehen bei mir auch keine Fehler bezüglich des DNS.
Ein generelles Problem mit Fritzboxen gibt es also nicht.

 

[Skellgon]

Dein Anschluss ist stabil?
Ansonsten mal nen anderen DNS Anbieter nutzen. Kann ja auch an deiner Gegenstelle liegen.
Selbst nutze ich die von doh.sb, bislang ohne Probleme und sind für mich die schnellsten DNS.

Yes, ist stabil. Keine Sync-Ausfälle oder Ähnliches.
Habe schon sehr viele DNS Anbieter getestet und überall das selbe Phänomen. Teste aber gerne mal doh.sb.

 

[Marco01_809]

Scheint tatsächlich ein Problem zu sein bei der 7530 AX. So eine habe ich bei Familie im Einsatz mit DoT über Adguard (Non-filtering) und da fällt auch regelmäßig DNS komplett aus wenn der Fallback deaktiviert ist. Unverschlüsselter DNS ist auf den gleichen Anbieter gesetzt.

Bei einer 7590 AX die genau gleich eingestellt ist gibt es keine Probleme, genau so wenig wie bei meinen eigenen Anschluss mit OpenWRT+unbound.

Alle 3 sind FTTH bei verschiedenen Internetanbietern. Wenn es nicht am DoT-Stack auf der 7530 AX liegt dann bliebe eigentlich nur dass der Internetanbieter da irgendwie rummurkst... oder die Anbindung ist überlastet und UDP Port 53 wird bevorzugt behandelt...

 

[Skellgon]

Naja das Problem hatte ich auch mit der 7590, die sich letztens verabschiedet hat.
Jetzt könnte man auf die Idee kommen und sagen, dass es an meiner Leitung liegt.
Aber wie gesagt: Es gibt keine Sync-Unterbrüche und mein Nachbar gegenüber hat eine Fritzbox 7690 mit dem selben Phänomen. Mein Cousin, der hunderte Kilometer weg wohnt, hat diese ebenfalls.

Also eure Empfehlung: Fallback erlauben?

 

[Helge01]

Was soll da passieren? Ich nehme mal an du nutzt DoT um die DNS Auflösung zu verschlüsseln, damit z.B. dein Provider nicht sieht welche Seite du aufrufst. Er sieht es aber trotzdem da über HTTPS Port 443 der Hostname der aufgerufenen Seite in Klartext übertragen wird. Das passiert in der unverschlüsselten "Client Hello" Nachricht vor dem TLS-Handschake.

 

[Engaged]

Jetzt könnte man auf die Idee kommen und sagen, dass es an meiner Leitung liegt.

Was ist denn der gemeinsame Nenner mit deinen Freunden, selbe Provider oder sowas?

Aber wie gesagt: Es gibt keine Sync-Unterbrüche und mein Nachbar gegenüber hat eine Fritzbox 7690 mit dem selben Phänomen. Mein Cousin, der hunderte Kilometer weg wohnt, hat diese ebenfalls.

Hier damals mit 7590, und heute mit 4060, Google DNS, kein Fallback erlaubt, nie ein Problem, Kollege 7690, vor paar Monaten wie bei mir eingerichtet, bis jetzt auch kein Problem, einzige gemeinsamer Nenner, haben beide echtes DS, ich habe Congstar DSL (davor Telekom), und er hat o2 glasfaser.

 

[Skellgon]

Bei mir DS bei Easybell - davor Telekom. Bei den anderen verteilt DSLite über 1&1 sowie DS über o2

 

[Skuros]

Das passiert in der unverschlüsselten "Client Hello" Nachricht vor dem TLS-Handschake.

Da du das "vor" extra fett geschrieben hast.
"Client Hello" passiert nicht vor dem TLS-Handshake sondern ist der erste Schritt von genau diesem. Unverschlüsselt ist sie (ohne ECH) natürlich trotzdem.

Haben Fritzboxen generell ein Problem mit DoT?

DoT läuft auf meiner FB 4050 über Cloudflare (mit aktivem Fallback) ziemlich stabil. Hatte in ca. einem Jahr bis jetzt einen Ausfall, der auf DoT zurückzuführen war.

 

[Helge01]

"Client Hello" passiert nicht vor dem TLS-Handshake sondern ist der erste Schritt von genau diesem.

Sollte eigentlich klar gewesen sein wie das gemeint war.

 

[motorazrv3]

DoT läuft auf meiner FB 4050 über Cloudflare ziemlich stabil.

Bei uns auf der 6690 auch eine rock stable Verbindung per Cloudflare.

Selbst nutze ich die von doh.sb

Danke, die werde ich mir mal ansehen.

 

[Skellgon]

Also. Ich habe ChatGPT zu dem Problem mal gelöchert.
Bei NextDNS schlägt mir ChatGPT vor, dass ich die IPv4 und 6 Adressen manuell eingebe (IPv6 habe ich aktuell nicht manuell mitgegeben). Dann sollte man nicht den personellen TLS Hostname (z. B. xyz123.dns.nextdns.io) verwenden - dies führt zu Handhake Problemen bei der Fritzbox. ChatGPT schlägt mir nun vor, dass man den allgemeinen TLS Hostname (dns.nextdns.io) verwendet. NextDNS erkennt mich dann über meine über DynDNS verknüpfte öffentliche IP.

Werde das mal testen. Klingt aber an sich sinnvoll.