Wie debugge ich DNS-Fehler?

[Krik]

Moin zusammen,

irgendwie ist bei mir der Wurm drin, seit ich meinen neuen Rechner habe (seit Januar). Ich verwende CachyOS, KDE und Librewolf, als DNS-Server verwende ich AdGuard Home (Docker), das auf einem NAS im LAN läuft.

Manchmal mehrfach am Tag und an manchen Tagen gar nicht kann ich eine Webseite nicht aufrufen. Librewolf sagt dann, dass es die Seite nicht finden kann. Das betrifft dann immer nur eine Seite bzw. Domain für ein paar Sekunden bis zu einer Minute (oder so). Danach lässt sie sich ganz normal aufrufen, als wäre nie ein Problem da gewesen. Lade ich parallel eine zweite, andere Webseite (mit anderer Domain), so wird diese problemlos geladen. Das Problem tritt nicht nur bei einer bestimmten Webseite auf. Mal trifft es CB, mal YouTube, mal ganz andere Seiten, auf die ich z. B. vorher noch nie war. Ich erkenne da kein Muster.

Ich gehe davon aus, dass das Problem auf dem Rechner ist, da ich in den Statistiken von AdGuard Home keinen Fehler bei der DNS-Auflösung erkennen kann und das Surfen via Smartphone diese Probleme auch nicht zeigt. Ich surfe zuhause aber selten mit dem Smartphone; es kann daher sein, dass das Problem hier auch vorliegt, ich es aber noch nicht bemerkt habe.

Ich tippe ja fast darauf, dass es ein DNS-Cache-Problem ist und wenn die Vorhaltezeit abgelaufen ist, wird der gecachte Eintrag erneuert und dann geht es wieder. Das ist aber nur eine Vermutung von mir.

Um das besser zu debuggen und zu verstehen, wo der Fehler herkommt, bitte ich hier um Hilfe. Mir ist nicht klar, wo ich hier am besten anfange und welche Tools ich dazu verwenden sollte. Ich betrachte mich als fortgeschrittenen Linux-User, aber von diesen Fehler habe ich bis jetzt noch nie etwas gehört oder gelesen.

Gruß
Krik

 

[kartoffelpü]

Kannst du in Adguard denn die entsprechenden Anfragen sehen oder nicht?
Falls nicht läuft evtl. manches im Browser über DNS over HTTPS.

 

[Krik]

Ich kann gerade nicht sagen, ob AdGuard eine Anfrage loggt, wenn das Problem auftritt. Ich achte beim nächsten Auftreten mal darauf.

Wenn ich DNS over HTTPS aktiviere, kann es dann nicht dazu kommen, dass der Browser dann eventuell einen anderen DNS-Server statt AdGuard verwendet? So interpretiere ich jedenfalls die Beschreibung.

Mit der jetzigen Einstellung zwinge ich ihn, AdGuard zu verwenden.

 

[kartoffelpü]

Mit der jetzigen Einstellung zwinge ich ihn, AdGuard zu verwenden.

Das war auch das, was ich wissen wollte. Dann können wir DoH ja ausschließen.

E: du könntest per tcpdump mal DNS-Abfragen mitschneiden und diese danach analysieren, falls sonst nichts offensichtliches falsch ist.

 

[gaym0r]

Wie ist das Verhalten denn, wenn du mal nicht Adguard nutzt sondern direkt irgendeinen Public DNS?

 

[Krik]

Ich überlege gerade, ob ich nicht ein kleines Skript bastel, dass alle möglichen Dinge austestet. Ich habe ja nur ca. 1 Minute Zeit fürs Debugging. Danach läuft ja alles wieder.

@gaym0r
Ich teste das mal aus. Das wird aber etwas länger dauern, da der Fehler nur alle paar Stunden oder so auftritt. Ich bin nachher bis zum Abend weg, dadurch dauert das sicher bis mindestens morgen, bis ich mir sicher bin, ob das einen Effekt hat.

 

[1776]

Klingt ein wenig so, als versuche der Rechner oder der Adguard Server die Domain aufzuloesen und erhaelt vom Upstream keine Antwort. Waehrend er noch auf die Antwort von Abfrage 1 von Upstream 1 wartet, bekommt er Abfrage 2 rein, schickt das aber zum Upstream DNS 2, weil er mittlerweile gemerkt hat, dass der Upstream 1 irgendwas hat ...
Genau solche Fehler hatte ich schon mit anderen DNS Forwardern. (entweder dnsmasq oder unbound. weiss ich grad nicht mehr)
Da hatte ich irgendeinen super Privacy Public DNS als Upstream 1 drin, der aber oefter mal ausfiel, und das fuehrte zu genau dem Fehlerbild.

Check mal welchen upstream_mode Adguard benutzt, sonst den mal auf parallel umstellen

 

[Krik]

Ich habe nur Quad9 (https://dns10.quad9.net/dns-query) als Upstream-DNS-Server drin.

Auf genau den habe ich jetzt am PC umgestellt. Aus der Kette PC -> AdGuard -> Quad9 habe ich jetzt also PC -> Quad9 gemacht. Das sollte eindeutig klären, ob AdGuard am Problem beteiligt oder gar die Ursache ist.

Ich bin mir nicht sicher, was mit upstream_mode gemeint ist. Das hier?

Da ich nur einen Upstream DNS eingetragen habe, sollte es egal sein, was hier ausgewählt ist.

Als Bootstrap DNS habe ich das eingetragen:

9.9.9.10
149.112.112.10
2620:fe::10
2620:fe::fe:10

Das sind alles Quad9-Adressen. IPv6 ist bei mir im Netzwerk deaktiviert, auch wenn ich hier solche Adressen angegeben habe.

 

[1776]

Ich bin mir nicht sicher, was mit upstream_mode gemeint ist. Das hier?
Anhang anzeigen 1721520

Dann trage mal 2 Upstream DNS Server ein, und stelle das auf Paralleles Abfragen.
(jetzt wo du es erwaehnst, ich glaub bei mir war es damals auch der Quad9, der diese Probleme verursachte.)

 

[Krik]

Ich habe mir das FAQ von Quad9 angeschaut und bin über den Abschnitt "Detecting DNS Transparent Redirection (Hijacks)" gestolpert.
Demnach soll dig +short ch txt id.server. @9.9.9.9
zu der Rückgabe resXXX.xxx.rrdns.pch.net führen.
Ich bekomme hingegen res100.ber zurück.

Ich gehe daher im Moment davon aus, dass mein Provider (O2) die DNS-Abfragen umleitet. seufz
Ein Problem nach dem anderen...

---

Ich schau mich mal an anderen DNS-Servern um. Ich würde jetzt aber gerne die jetzige Einstellung bis wenigstens morgen drin lassen, einfach nur um zu testen, ob es daran liegt.

 

[BFF]

Ich habe ja nur ca. 1 Minute Zeit fürs Debugging. Danach läuft ja alles wieder.

Kann es sein, dass Dir da ein Container auf dem NAS einschlaeft?
Passiert das nur mit dem Neuen?

 

[Krik]

Wie kann ich feststellen, ob der Container "einschläft"? Und warum machen das andere Container nicht (es laufen 11 auf dem NAS)? Und warum trifft es gerade AdGuard, wo das doch der wahrscheinlich am meist genutzte Dienst auf dem NAS ist?

Passiert das nur mit dem Neuen?

Ich verstehe nicht, was du meinst.

Nachtrag:
Gegen die Theorie vom Einschlafen spricht, dass der Fehler immer nur eine Domain betrifft. Andere Webseiten kann ich beliebig aufrufen, nur die eine geht dann zeitweilig nicht. Es ist auch schon passiert, dass ich mich hier im CB-Forum rumgetrieben habe, also z. B. in einem Thread die Seiten weitergeblättert habe und plötzlich ging die Seite einfach nicht mehr. Ich kann dann parallel zur blockierten CB-Seite z. B. YouTube aufrufen.

Das ist es, was mich irritiert. Warum trifft es immer nur eine Domain gleichzeitig? Warum geht sonst alles? Warum geht es nach ein paar Sekunden bis ca. 1 Minute wieder? Warum geht es dann hinterher stundenlang problemlos?
Dieses selektive, willkürliche Verhalten kann ich nicht zuordnen, ansonsten würde man die Ursache ja recht schnell eingrenzen können.

 

[tRITON]

Ich habe einen ähnlichen Effekt bei AdGuard Home in einer Home Assistent Installation.

Der Effekt ist: Aufruf der Domain geht schief. Fehler Meldung im Browser. Manchmal hilft reload der Seite. Manchmal warten.

Den Grund hab ich auch noch nicht gefunden. Außer 9.9.9.9 ist kein anderer DNS als Forwarder eingetragen.

Klingt für mich recht ähnlich vom Problem her.

 

[Krik]

@tRITON
Das klingt ziemlich gleich zu meinem Problem. Die unterschiedliche Zeitdauer liegt wahrscheinlich nur daran, dass wir den Fehler nicht sofort bemerken.

 

[tRITON]

Dein Thread @Krik hat mich motiviert da einmal genauer hinzu sehen.

Meine Änderungen:

https://dns10.quad9.net/dns-query
https://dns.cloudflare.com/dns-query

für den Upstream

1.1.1.1:53
9.9.9.9:53

für Bootstrap

und parallele Abfragen. Ich lasse das jetzt mal ein paar Tage so laufen und beobachte dies einmal.

 

[qiller]

Ich gehe daher im Moment davon aus, dass mein Provider (O2) die DNS-Abfragen umleitet.

Dagegen hilft DoT.

 

[Dragon0001]

Ich habe mir das FAQ von Quad9 angeschaut und bin über den Abschnitt "Detecting DNS Transparent Redirection (Hijacks)" gestolpert.
Demnach soll dig +short ch txt id.server. @9.9.9.9
zu der Rückgabe resXXX.xxx.rrdns.pch.net führen.
Ich bekomme hingegen res100.ber zurück.

Ich gehe daher im Moment davon aus, dass mein Provider (O2) die DNS-Abfragen umleitet. seufz

Ich tippe auf einen Fehler. Bei mehreren anderen Providern bekomme ich ebenfalls nur resXXX.xxx zurück, der Rest fehlt.

 

[thrawnx]

Hm also ich hab Adguard auch als Container laufen, mit den default DNS Server und läuft auch als DHCP. Bisher keine Probleme dieser Art.

 

[BFF]

ich AdGuard Home (Docker), das auf einem NAS im LAN läuft.

Da rein schauen, ob da irgendwas zu finden oder nicht zu finden ist.
Docker auf NAS han ich persoenlich abgesagt fuer mich. Auchy wenn es in Theorie genug Bums hat, man weiss nie ob das NAS nicht einfach etwas macht und den Docker mit nimmt.

Ich verstehe nicht, was du meinst.

Sind die DNS Ausfaelle nur mit dem neuen PC oder von alles Geraeten?

Weil wenn nur mit dem Neuen, ist es eher der Neue. Und weil da wohl ein Cachy rennt, such mal danach im Netz. Ich meine das ich dazu schon was gelesen habe.

 

[Krik]

Ich bin jetzt ein Stück weiter.

• Die ganzen Tage lief ein direkt in den Netzwerkeinstellungen vom PC eingetragener 9.9.9.9 problemlos.
• Vor ein paar Stunden habe ich wieder zurück auf AdGuard (1.0.1.1) gestellt und vor ein paar Minuten hatte ich quasi einen Totalausfall. AdGuard hat keine Anfragen vom PC aufgezeichnet. Ich konnte weder das Internet noch meinen Router (!) erreichen (= er lädt sich tot). Das NAS hingegen habe ich aber aufrufen können.
• Das Surfen mit dem Handy im WLAN funktionierte hingegen und dort wird auch Adguard als DNS verwendet. Die Anfragen von diesem Gerät habe ich gesehen, auch als zeitgleich am PC nichts mehr ging.

Ich schließe jetzt daraus, dass Adguard an sich i. O. ist. D. h. irgendwo in meinen Netzwerkeinstellungen ist der Wurm drin. 🤔


Mein PC bekommt von einer Fritze eine fest zugeordnete IP (immer 10.0.0.1). Den DNS-Server stelle ich in den Netzwerkeinstellungen am PC ein. IPv6 ist sowohl am PC als auch in der Fritze deaktiviert (auch wenn mir der ISP eine IPv6 gibt).
Der PC ist mit einem 2,5 GBits/s Switch verbunden und der wiederum mit 1 GBits/s mit der Fritzbox. Daher sind die Geschwindigkeitsangaben auf den Screenshots so unterschiedlich.

[krik@krix ~]$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp9s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
    altname enXXXXXXXXXXXX
    inet 10.0.0.1/8 brd 10.255.255.255 scope global dynamic noprefixroute enp9s0
       valid_lft 862930sec preferred_lft 862930sec
3: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc htb state DOWN group default qlen 1000
    link/ether 52:54:00:11:dc:b3 brd ff:ff:ff:ff:ff:ff
    inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
       valid_lft forever preferred_lft forever

Hat jemand eine Idee, was ich noch prüfen könnte? Für mich sieht das alles nämlich okay aus.