[Problem] FritzBox 7590 FritzOS 7.21 und 7.24 DNS over TLS DoT Verbindungsprobleme Probleme bzw. Bug

[Carlos030]

Ich hoffe das mir die PROs hier helfen können bzw meine Befürchtung bestätigen, dass es Probleme mit "DNS over TLS" = DoT in der aktuellen FritzOS 7.21 und Labor 7.24 gibt.

Habe eine 7590 mit FritzOS 7.21 hatte ich erstmals DoT eingerichtet, zu Anfang funktionierte es, jedoch desto länger es lief, je mehr Seiten habe ich im Browser und meine Geräte nicht mehr erreicht, musste immer DoT in der Fritte aktivieren und reaktivieren, bis das Spiel von vorne losging, dann habe ich viele Foreneinträge zu der Thematik gefunden, die meine Probleme bestätigt hatten, natürlich hatte ich mich vorher an den AVM Support gewendet, dort hieß es wie immer, das Problem ist uns nicht bekannt.

Ich habe immer wieder auf folgenden Seiten DOT überprüft, die natürlich nach einer Weile dauerhaft fehlgeschlagen sind, bis zum Dot Neustart in der Fritte
Selbstverständlich habe ich vor dem Test auf meinem Win10, den DNS Cache geleert --> ipconfig /flushdns & browser (Edge=chromium/chrome/FF) cache und cookies gelöscht

1. https://www.cloudflare.com/ssl/encrypted-sni/
2. https://dnssec.vs.uni-due.de/
3. http://www.dnssec-or-not.com/
4. http://en.conn.internet.nl/connection/

Mit der 7.21 hatte ich auch sehr viele Sync Abbrüche (Telekom VDSL 100 Mbit) soll jetzt hier nicht Thema sein, in den release Notes zur Labor 7.24 habe ich von den Verbesserungen für DoT und DSL Verbindungen gelesen, daher habe ich mir die Labor 7.24 installiert auf meine FB 7590.

Resultat Erfahrung mit Labor 7.24:

• Seit 5 Tagen keine DSL Sync Abbrüche
• DoT aktiviert und die Seiten sind immer noch erreichbar

Jedoch checke ich immer wieder ob DNSSEC aktiv ist

• https://www.cloudflare.com/ssl/encrypted-sni/
• https://dnssec.vs.uni-due.de/
• http://www.dnssec-or-not.com/
• http://en.conn.internet.nl/connection/

Sehr oft schlägt es zwischendurch mal fehl, wenn ich mehrere Stunden später teste oder am nächsten Tag ist es wieder alles OK

So jetzt zu meiner Frage bzw. Vermutung:

1.
Kann es sein, das selbst in der 7.24 DoT immer noch nicht vernünftig funktioniert und AVM ein KeepAlive Workaround eingebaut hat, sobald DoT nicht mehr geht, der quasi einen Neustart macht. Das würde zumindest erklären, warum manchmal meine Tests Fehlschlagen und dann irgendwann wieder OK sind?

2.
Sind die Tests nicht zuverlässig?

3.
Lag es an meinen zuerst favorisierten cloudflare DNS 1.1.1.1 ?
Seit 1 Tag habe ich einen mix aus DNSv4 / DNSv6 Digitalcourage e.V. und Digitale Gesellschaft (CH) und seit dem schlagen die Tests nicht mehr fehl "OK" oder ist das Zufall (die config ist auch erst paar Tage alt). Der Mix daher, weil Digitalcourage anscheinend keinen DNSv6 Server mehr hat für DoT. (update heute 08.01.21 jetzt schlagen wieder einige Test fehl)

4.
Was haltet ihr von NextDNS für diese DoT Geschichte ?

Meine aktuelle DNS-Server config in der FritzBox 7590 für DoT mit Labor 7.24



[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]

 

[Carlos030]

Auch mit der Labor FRITZ!OS: 07.24-85338 BETA ist kein 100% DNSSEC Schutz gegeben :-(
Habe AVM Logfiles geschickt, ob die Sie an die Entwickler weiterleiten?

Leider lese ich sehr oft in Foreneinträgen wo die Leute meinen funktioniert super, wenn ich die bitte mal auf folgenden Seiten zu testen, funktioniert es dann doch nicht :-(

• https://www.cloudflare.com/ssl/encrypted-sni/
• https://dnssec.vs.uni-due.de/
• http://www.dnssec-or-not.com/
• http://en.conn.internet.nl/connection/

Bei Mozilla Firefox kann man einfach "DNS über HTTPS aktivieren" und es funktioniert, die Tests sind alle 100% OK, warum bekommt das AVM nicht hin?

 

[koyaanisqatsi]

Moinsen


Warum sollte AVM das hinbekommen?
DoT ist nich: DNS over HTTPS

Prüf doch mal ob deine WunschDNS-Server überhaupt zum Zuge kommen: https://www.dnsleaktest.com/
...das ist viel wichtiger.

 

[KunterBunter]

wenn ich die bitte mal auf folgenden Seiten zu testen, funktioniert es dann doch nicht :-(

Bei mir schon. Aber ich benutze kein Cloudflare für Secure DNS.

 

[Carlos030]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]

Habe jetzt bisschen umgestellt und etwas andere DNS
Und zusätzlich jetzt die Tage die Labor immer upgedatet

Habe aktuell die FRITZ!OS: 07.24-85841 BETA installiert, seit 1 Version vorher macht es einen stabileren Eindruck bzw. am meisten schlägt dieser Test hier fehl --> DNSSEC? Or Not? (dnssec-or-not.com)



[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote gelöscht - siehe Forumsregeln]

Bin irgendwie zu doof den Test zu verstehen, sollte er da was anzeigen oder eher nicht?


[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]

 

[Profanta]

starten mußt du den Test auf der Seite dann schon auch noch.

 

[HabNeFritzbox]

Was soll DNSSEC Test bringen? Für DoT hat der keine Relevanz, auch bei unverschlüsselter DNS Anfrage kannst DNSSEC nutzen, bieten viele jedoch nicht an.

Schon traurig genug, selbst Banken und so nutzen ganze teils nicht. Dabei kostet DNSSEC oder nen TLSA Record kein extra Geld, aber dass minimal mehr Arbeit ist wohl schon für viele zuviel.

 

[Carlos030]

starten mußt du den Test auf der Seite dann schon auch noch.

ha ha

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]

Na ich dachte da sieht man, ob es aktiv bzw. funktioniert?

 

[HabNeFritzbox]

DoT ist nur Verschlüsselung zwischen deinem lokalen DNS und dem DNS Resolver (Cache) wie Google und so welchen nutzt.

DNSSEC ist verschlüsselter DNS Eintrag am zuständigen DNS. Ob zwischen dir und dem Cache etwas verschlüsselt ist oder nicht, hat da keine Relevanz.

 

[iqjet]

Mögliche freie DoT Server

Vertrauenswürdige DNS-Server

www.privacy-handbuch.de

List of Public DNS Servers

wiki.ipfire.org

Test DNSSEC

Connection test

Test for modern Internet Standards IPv6, DNSSEC, HTTPS, HSTS, DMARC, DKIM, SPF, STARTTLS, DANE, RPKI and security.txt

internet.nl

 

[HabNeFritzbox]

Was Geschwindigkeit bzw. Auswahl des DNS angeht, hatte ich schon Thema gemacht.

Allgemeines zur Auswahl des DNS Servers

Welche DNS Server nutzt ihr, und wieso? Die wohl schnellsten und bekanntesten sind Google und Cloudflare. Ich habe eigenen DNS aufgesetzt im Docker mit Unbound und dort wird die Root Zone direkt befragt, also unzensiert und schnell. Aber wie schnell? Von Ping her unschlagbar mit 0,6ms, jedoch...

www.ip-phone-forum.de

Dass DoT Probleme macht findet man auch in sämtlichen Laborthemen und ggg. extra Themen.

FRITZ!Box 6890 07.24 Labor Serie

Wurde doch bereits weitergegeben, "eskaliert" usw. jedoch wohl eher zwecklos. Kann da leider keine ernsthaften Bemühungen erkennen, obwohl man den vieles mehrfach geschrieben hat, dass Traffic bei VPN Verbindung plötzlich bei LTE angezeigt wird, obwohl DSL aktiv usw. Dabei schon extra neues...

www.ip-phone-forum.de

usw.

 

[user3141]

@Carlos030 ich habe exakt den selben Bug wie du mit exakt der selben Firmware. Wollte ich dir nur sagen, falls du dich fragst wie viele User darunter leiden. Ein Freund von mir hat das selbe Fritz OS wie wir drauf und hat den Bug ebenfalls. Ich würde mal sagen da hat AVM einfach einen deterministischen Bug implementiert.

Der DoT DNS Server ist bei meinem Kumpel und mir jeweils auch Cloudflare (wie bei dir).

Inzwischen gibt es ja ein Update 7.25 - das probiere ich morgen mal.

 

[SurferFritz]

Ich bin mir nicht sicher, ob ich eure Problematik 100%ig verstanden habe.
Vielleicht kann ich aber doch einen Tipp zur Vereinfachung geben.

Im angehangenen Screenshot seht ihr alle von mir vorgenommenen Eingaben zur Aktivierung von DoT.
Sonst ist bzgl. DNS alles bei den Grundeinstellungen geblieben.

Das läuft vollkommen problemlos seit 1/4 Jahr ohne Aussetzer.
Ein Fallback hat bisher nach meiner Beobachtung nicht stattgefunden.

 

[HabNeFritzbox]

Den zensierten DNS von Telekom kannst weglassen.

Kannst im Onlinemonitor schauen ob der überhaupt bevorzugt ist.

 

[SurferFritz]

@HabNeFritzbox

Könnte ich weglassen, will ich aber nicht, da er sehr schnell ist. Die Zensierung, wie sie u.a. explizit die Telekom macht, stört mich nicht.

Der Onlinemonitor zeigt mir bisher eine kontinuierliche Bevorzugung an. Kein Fallback o.ä.!!!

 

[HabNeFritzbox]

Mit Bevorzugt meinte ich ob eher Telekom oder Google verwendet wird, und so eher der eine oder andere obsolet ist.

 

[SurferFritz]

@HabNeFritzbox

Ich schaue jeden Tag in den Onlinemonitor.

Von der FB wird stets 'dns.telekom.de' verwendet.
Entweder weil er der schnellere von beiden ist oder weil er oben steht.

'dns.google' steht nur sicherheitshalber drin, um im Fall des Falles einen Fallback auf unverschlüsselt zu vermeiden.

 

[HabNeFritzbox]

Die Hostnamen gelten ausschließlich für DoT, Fallback sind die IP Adressen oben bzw. Provider DNS.

 

[SurferFritz]

Die Hostnamen gelten ausschließlich für DoT, Fallback sind die IP Adressen oben bzw. Provider DNS.

Das sehe ich genau so. Den Fallback auf die unverschlüsselten Provider DNS will ich möglichst vermeiden.
Ist mir bisher auch gelungen.

 

[user3141]

@SurferFritz danke für deine Konfig - das zeigt mir, dass die FB scheinbar speziell Probleme mit dem Cloudflare DoT Server hat.

Interessanter Weise, hatte ich anfänglich gar keine Probleme, dann kam es zu folgenden merkwürdigen Bugs:

1. Die Fritzbox kann nach einigen Wochen Laufzeit auf meinem HomeServer "plex.tv" nicht mehr auflösen. Ein Neustart der FB behebt das dann jedes mal. Dieser Fehler existiert seit Monaten (habe die Domain per /etc/hosts statisch aufgelöst)

2. Seit kurzem (ca. 2 Wochen) spinnt nun DoT sobald man scheinbar den Cloudflare Server benutzt. Auch hier löst ein Neustart der FB das Problem kurzzeitig. Danach sind aber ALLE Domains tot. Beispielsweise "ping google.de => not found".

Wie angekündigt update ich jetzt aber mal meine Fritzbox. Kann ja nur besser werden. :-D