DNS Abfragen seit Fritzbox Site2Site VPN teilweise langsam

[Zensai]

Hi zusammen,

ich stehe grad auf dem Schlauch und hoffe ihr könnt helfen.

Ich habe seit ein paar Wochen ein Site2Site VPN zwischen meiner Fritzbox und der meines Elternhauses laufen.

Seitdem habe ich ab und an das Problem, dass Seitenauflösungen oder Verbdingungsaufbauten teilweise sehr lange dauern.

Meine Vermutung: Die DNS Abfrage läuft von meiner Fritzbox (DNS: 1.1.1.1 und 8.8.8.8) ab und an über das VPN und erst von da nach außen (oder immer und ist nur manchmal langsam).

an meinen Lokalen Routen liegt es nicht, aber ich bin auch nicht sicher wie ich das troubleshooten/fixen kann.

Habt ihr eine Idee? Ich wüsste spontan nicht wo ich die Ruten der FB nachvollziehen kann oder die dans requests tracen kann.

Meine DNS Lookups sehen seither auch so aus:

C:\Users\zensai>nslookup computerbase.de
Server:  dns.google
Address:  2001:4860:4860::8888

Nicht autorisierende Antwort:
Name:    computerbase.de.fritz.box
Addresses:  2001:19f0:6c00:1b0e:5400:4ff:fecd:7828
          45.76.93.104


C:\Users\zensai>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : Zensai
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Gemischt
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : fritz.box

Ethernet-Adapter Ethernet 3:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: [redacted]
   Beschreibung. . . . . . . . . . . : Check Point Virtual Network Adapter For Endpoint VPN Client
   Physische Adresse . . . . . . . . : 54-80-8C-AD-A3-05
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter Ethernet 4:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Realtek Gaming 2.5GbE Family Controller
   Physische Adresse . . . . . . . . : D8-BB-C1-93-37-BF
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2a02:908:120:a560:da06:d390:2ad1:a9c2(Bevorzugt)
   Temporäre IPv6-Adresse. . . . . . : 2a02:908:120:a560:20d7:6a85:b854:6eee(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::1c42:7697:3620:524a%8(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.59(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Donnerstag, 25. April 2024 18:01:28
   Lease läuft ab. . . . . . . . . . : Sonntag, 5. Mai 2024 18:01:27
   Standardgateway . . . . . . . . . : fe80::ca0e:14ff:fe90:45c5%8
                                       192.168.178.1
   DHCP-Server . . . . . . . . . . . : 192.168.178.1
   DHCPv6-IAID . . . . . . . . . . . : 131644353
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-2A-D3-45-F4-D8-BB-C1-93-37-BF
   DNS-Server  . . . . . . . . . . . : 2001:4860:4860::8888
                                       2001:4860:4860::8844
                                       192.168.178.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Drahtlos-LAN-Adapter WLAN:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Intel(R) Wi-Fi 6E AX210 160MHz
   Physische Adresse . . . . . . . . : 84-14-4D-03-76-4A
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter LAN-Verbindung* 9:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Physische Adresse . . . . . . . . : 84-14-4D-03-76-4B
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter LAN-Verbindung* 10:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #2
   Physische Adresse . . . . . . . . : 86-14-4D-03-76-4A
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
   Physische Adresse . . . . . . . . : 00-FF-3F-6E-2C-8E
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::d580:d32a:fe5a:eadc%7(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 169.254.123.148(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 486604607
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-2A-D3-45-F4-D8-BB-C1-93-37-BF
   DNS-Server  . . . . . . . . . . . : 2001:4860:4860::8888
                                       2001:4860:4860::8844
                                       8.8.4.4
                                       8.8.8.8
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Bluetooth-Netzwerkverbindung:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Physische Adresse . . . . . . . . : 84-14-4D-03-76-4E
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Danke!

 

[riversource]

Wie sehen die VPN Konfigs denn aus? Ist es Wireguard? Sind da DNS Einträge drin? Welche Daten werden übers VPN geleitet? Alle oder nur die Heimnetz-Daten?

 

[Zensai]

Ich hab die normale Anleitung genommen:
https://avm.de/service/vpn/ipsec-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/

Es sollten nur die Anfragen ins fremde Netz übers VPN geroutet werden, "Gesamten verkehr über das VPN leiten" ist also abgeschaltet.

Ich bin in 192.168.178.x, die andere in 192.168.1.x

 

[Pete11]

Versuch das mal nach dieser Anleitung (wenn die Fritzboxen Wireguard unterstützen, OS 7.50 oder neuer):
https://avm.de/service/vpn/wireguard-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/

 

[Zensai]

Meine ist eine 6490 Cable, die kann leider kein Wireguard soweit ich weiß.

Aber davon ab: Das sollte doch auch mit IPSec kein Problem sein oder?

 

[riversource]

Richtig, da sollte das VPN Protokoll keine Rolle spielen.

Man könnte höchstens in der Fritzbox einen Paketmitschnitt anfertigen und darin nach den DNS Anfragen suchen. Damit könnte man beurteilen, ob sie den falschen Weg nehmen. Aber was man dann dagegen machen könnte, weiß ich auch nicht.

Betrifft das Problem vielleicht nur ausgesuchte Apps? Hab zufällig das hier gelesen:
https://www.heise.de/hintergrund/DNS-Leck-Browser-ignorieren-Windows-Konfiguration-9696386.html

 

[Zensai]

Bemerkt hab ich es bei diversen Browsern, beim Start von Discord und Spotify.

Es ist auch egal ob ich eine Seite mit per v4 oder v6 ansteuere.

Es muss eigentlich auch die DNS Auflösung sein, da direkt der erste Schritt überlal so lange dauert, Discord im "Starten" Splashscreen, bei neuen Browsertabs hängt es so weit, dass oben im Tab noch "neuer Tab" steht etc.

Ein Mitschnitt wäre machbar, ich hatte allerdings gehofft hier gibt es ein-zwei Ideen, bevor ich mich durch ein Log wühlen muss^^

Ich dachte es könnte sonst evtl an v6 hängen, aber dann sollte ich das Problem ja nicht bei Anfragen via v4 haben.

DSlite hab ich auch nicht, ich hab eine eigene IPv4 (sonst würd das ganze ja auch überhaupt nicht gehen)

 

[riversource]

Es muss eigentlich auch die DNS Auflösung sein, da direkt der erste Schritt überlal so lange dauert,

Ja, da ist DNS naheliegend.

Ergänzung (25. April 2024)

Nachtrag: Über
https://www.dnsleaktest.com/
kann man herausfinden, welcher DNS Server benutzt wird. Wenn das nicht die gleichen sind mit und ohne VPN Verbindung, dann könnte das Rückschlüsse erlauben, ob sich der Browser anders verhält, als nslookup.

 

[Zensai]

Zumindest im Moment gehen die DNS Anfragen definitiv zu Google, ergo von mir aus direkt raus (wohl aber über den 2. DNS und nicht über Cloudflare/1.1.1.1 ?? die DNSv6 einstellung kann es auch nicht sein, die steht auf Automatisch und dann wäre es auch Vodafone, nicht Google)

Aber wenns grade nicht geht, kann ich sie ja auch nicht testen, komm ja dann nicht rechtzeitig zu dnsleaktest.com
Werd aber weiter testen.

Die Remote Fritzbox nutzt die automatisch zugewiesenen Telekom-DNS Server.


Edit: In meinen Adapterienstellungen Stand DNS warum auch immer auf IPV6 only, mit Google als Adresse... bin auf Autmatisch zurpck..ich beobachte das mal...

 

[qiller]

Wenn der erste DNS-Server nicht reagiert, kommt es zu Timeouts und die können durchaus die Verzögerung erklären. Wäre nur die Frage, warum der Cloudflare-DNS Server bei dir nicht so will.

 

[Zensai]

Jetzt gehts über Vodafone.

Bin nicht sicher wie die FB das regelt, aber kanns sein dass jetzt die DNS Einstellung für DNSv4 ignoriert wird, weil die FB auf native IPV6 eingestellt ist?

 

[qiller]

Dachte du hast Google/Cloudflare als DNS hinterlegt? Oder hast du das hier bei dir aktiviert?

Spoiler

 

[Raijin]

Also grundsätzlich sind es schon mal denkbar ungünstige Voraussetzungen, wenn bereits am lokalen Netzwerkadapter mehrere DNS konfiguriert sind, zB google DNS als IPv6 und die Fritzbox als IPv4. Die Namensauflösung ist ein relativ komplexer Vorgang, der nach sehr kurzen Timeouts quasi-parallel abläuft. Bei DNS-Problemen ist es daher schwierig, eine vernünftige Diagnose zu stellen, wenn es mehrere Alternativen gibt. Hinzu kommt, dass die lokale Namensauflösung fehlschlägt, sollte in einer Situation tatsächlich mal der google-dns greifen.

Ich rate dazu, die DNS-Konfiguration auf ein Minimum zu reduzieren. Also am Endgerät DNS = Fritzbox only und auch in der Fritzbox den Internet-DNS entweder auf Standard belassen oder dort 2x google oder 2x cloudflare, aber nicht gemischt. Es ist sonst nahezu unmöglich, sowas zu diagnostizieren, weil gar nicht nachvollziehbar ist was wie wo in dem Moment passiert ist. Weil wenn dann noch VPN ins Spiel kommt und womöglich sogar noch der DNS darüber geroutet wird, gibt's am Ende ein halbes Dutzend verschiedener Möglichkeiten wie DNS in diesem speziellen Moment nu gerade abgelaufen ist.

 

[Zensai]

In meiner Fritzbox: Cloudflare/Google DNS, steht auf IPV6 Verbindung verwenden
In der Remote Fritzbox: Provider-DNS

Auf meinem Client hatte ich dann die manuelle DNSv6 Konfig für Google gefunden (und dann gestern rausgenommen, kann mich nicht erinnern die mal gesetzt zu haben, aber manchmal macht mein Gehirn auch komische Sachen )

Grade scheint es zu fluppen, ich denke die manuelle DNSv6 Konfig in meinem Client könnte das Problem auf jeden Fall mitverursacht haben. Auch wenn es technisch gehen sollte, ists wie @Raijin sagt ein ganz schönes durcheinander dadurch gewesen.

 

[Zensai]

Update:
Manchmal hilfts einfach darüber zu schreiben, sodass man über die Lösung stolpert.

Das Problem hat sich seit der Entfernung der manuellen DNS Config vom Client gelöst. Ich kann mich nur beim besten willen nicht erinnern, da mal eine IPV6 gesetzt zu haben. Ich nutze schon immer ausschließlich für alle Clients DHCP und weise da NIE was manuell in einem Client zu. Deshalb hatte ich das wohl auch einfach nicht auf dem Schirm. Danke für eure Mitarbeit!