Fritzbox: Alle Verbindungen zu den verschlüsselten DNS-Servern sind unterbrochen

    Hallo,

    ich hatte gestern folgende System-Ereignisse in meiner Fritzbox 7590 am Anschluß der Deutschen Glasfaser (DG):

    Zitat

    21.07.24 13:51:22 Alle Verbindungen zu den verschlüsselten DNS-Servern sind unterbrochen. Es besteht kein DNS-Verkehr bis ein Rückfall auf unverschlüsselten DNS-Verkehr erlaubt ist.
    [4096 Meldungen seit 21.07.24 13:48:39]

    Ab diesem Zeitpunkt waren nur noch Heimnetz interne Webseiten erreichbar. Extern waren von verschiedenen Geräten (PC, Handy, etc.) keine Verbindungen mehr möglich. DoT war Tod.

    Es sind noch weitere gleichlautende Mitteilungen im Protokoll der Fritzbox.

    Im DNS-Server Menü meiner Fritzbox hatte ich schon vor längerer Zeit "DNS over TLS (DoT)" ohne Fallback auf unverschlüsselte Namensauflösung im Internet eingestellt. Es waren folgende Server-Betreiber eingestellt:

    dns.digitale-gesellschaft.ch
    dns3.digitalcourage.de
    dns.quad9.net
    1dot1dot1dot1.cloudflare-dns.com
    dns.google
    one.one.one.one

    Nachdem ich gestern DoT ausgeschaltet hatte war wieder Zugang zum externen Internet möglich.

    Heute Morgen habe ich DoT wieder ohne Fehler aktivieren können.


    Hatte nur ich das Problem oder hat noch jemand gleiche Erfahrung gemacht?

    DoT ist generell sehr heikel. Auch die Browser, die es intern nutzen, brauchen immer mal den Fallback. Ich würde im Moment den Fallback aktiv lassen, wenn du den Internetzugang zuverlässig nutzen willst.

    Ok, danke für den Hinweis:

    Zitat von frank_m

    Ich würde im Moment den Fallback aktiv lassen

    Ich habe jetzt im Router mal die Option:

    Fallback auf unverschlüsselte Namensauflösung im Internet zulassen

    auf aktiv gesetzt.


    Aber eigentlich bin ich davon ausgegangen, dass wenn einer der DoT-DNS-Server ausfällt, der nächste in der Liste vom Router abgefragt wird. Da ich ja einige in der Liste habe, müsste DoT demnach bei allen DNS-Servern ausgefallen sein, oder?


    Zuerst dachte ich daher die Glasfaserverbindung wäre ausgefallen. Daher auch meine Nachfrage hier im Glasfaserforum. Aber pings an 8.8.8.8 sind angekommen.


    Ist mein Router wirklich der einzige mit dem Problem um die Zeit gewesen?

    Oder ist es ein sporadisches Fritzbox Problem?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    DoT Probleme treten sporadisch auf. Das ganze ist auch nicht so einfach, wie es aussieht. Anders als bei klassischem DNS wird nicht einfach eine Anfrage rausgehauen, wenn eine anfällt, denn es wäre viel zu aufwendig, für jede DNS Anfrage eine TLS Session aufzubauen. Viel mehr wird eine generische TLS Session aufgebaut, die langfristig erhalten bleibt, und folglich gegen alle typischen Problemchen einer Internetverbindung empfindlich ist, z.B. IP-Wechsel (im CGNAT Gateway, kommt bei der DG durchaus mal vor) oder Paketverluste etc. Wenn die State Machine in der Fritzbox irgendwann nicht mehr glücklich ist, dann war es das mit DoT.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Bracew

    Hmmmm, aber wie kann das der Provider blockieren?

    Ich dachte, der kann nicht in die verschlüsselte Verbindung reinschauen?

    Aber die IP-Adressen der üblichen öffentlichen DNS-Server sind bekannt, diese könnte er sperren.

    Ob das zulässig oder sinnvoll ist, ist eine andere Frage, auf die ich jetzt nicht eingehen will.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Bracew

    Ist das nicht ein bisschen viel "Verschwörungsphantasie"?

    Vermutlich derzeit ja, aber seit DNS-Sperren in Deutschland in Mode gekommen sind, wer weiß, was noch kommen wird.

    Es war ja nur eine technisch korrekte Antwort auf Deine Frage wie.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Dass die Fritzbox Probleme hatte und dabei das DoT weggeflogen ist.

    Das kann nachträglich keiner sagen, was war .


    Aber was zum Beispiel passieren könnte (nein, ich glaube nicht, dass es so war, aber eine Möglichkeit, wie alles ausfallen könnte):

    TLS benötigt eine genaue Uhrzeit, ohne das werden die Zertifikate ungültig, weil nicht geprüft werden kann, ob die Zertifikate gültig sind - oder sie sind gleich ungültig, weil die Uhrzeit zu falsch ist.

    Eine Fritzbox hat keine eingebaute RTC, sie holt sich beim Starten die Uhrzeit aus dem Internet. Dazu muss sie aber dem DNS-Namen eines Zeitservers auflösen können. Das kann sie aber nicht, weil DoT nicht geht (falsche Zeit) und Fallback nicht zugelassen ist.

    Also ein Henne-Ei-Problem.

    Es gibt bestimmt auch andere Szenarien, die im laufenden Betrieb passiert sein könnten.

    Wegen solcher potentiellen Fallen würde ich den Fallback immer erlauben.

    Zitat von Bracew

    Ist das nicht ein bisschen viel "Verschwörungsphantasie"?

    Versuche mal, https://www.rt.com auf verschiedenen DNS-Servern (Deutschland vs. außerhalb EU) aufzulösen. Dabei aber nicht 8.8.8.8 oder 1.1.1.1, die erkennen, wenn eine Anfrage aus der EU kommt.

    (nicht, dass ich die Seite bräuchte, aber mir ist gerade kein anderes Beispiel eingefallen)

    Mein DNS:

    Code
    xxx> nslookup www.rt.com xxx.xxx.xxx.2
Server: xxx.xxx.xxx.2
Address: xxx.xxx.xxx.2#53

Non-authoritative answer:
www.rt.com canonical name = en.wpc.rt.com.
Name: en.wpc.rt.com
Address: 89.191.237.192
Name: en.wpc.rt.com
Address: 91.215.41.4

    Fritzbox mit DNS vom Provider:


    Code
    xxx> nslookup www.rt.com xxx.xxx.xxx.1
Server: xxx.xxx.xxx.1
Address: xxx.xxx.xxx.1#53

** server can't find www.rt.com: NXDOMAIN


    Wenn die EU das bei DoT mal ganz sperren will, bleibt nur, die Verbindungen zu "fremden" DNS-Servern auf IP-Ebene zu blockieren.


    Edit: und wenn da oben überall http:// vor der Adresse steht, das hat die Software vom Forum gemacht. Ich habe es ohne eingetragen ;)

    Edit2: Über Codeblöcke gefixt

    Einmal editiert, zuletzt von Elemir (25. Juli 2024 um 11:53)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Bracew

    Wie kann ich das auf der Fritzbox 7590 (7.59) einstellen nicht die DNS der Deutschen Glasfaser zu nehmen und welche ist gut?

    Warnung: in der Fritzbox einen anderen DNS als dem vom Provider zu nutzen kann zu Problemen führen, z.B. bei der Telefonie, da die dort nötigen Namen oft nur vom Provider-DNS bereitgestellt werde. Man sollte wissen, was man tut.

    ich betreibe meinen eigenen DNS per Pi-Hole (bzw. ähnlichem), daher habe ich da keine Empfehlungen. Dieser wird von den anderen Endgeräten im Netz genutzt, nicht von der Fritzbox.