DNS over TLS FritzBox - vieles funktioniert danach nicht mehr

[LordB]

Hallo zusammen,

vielleicht hat hier jemand eine Erklärung für das Phänomen welches bei mir auftritt: schalte ich DNS over TLS in meiner Fritzbox ein funktionieren nämlich folgende Dinge nicht mehr:

• smile.amazon.de - Server kann nicht gefunden/aufgelöst werden (amazon.de klappt)
• Gmail & Yahoo Mail Accountfehler - Konten offline, Mails können nicht mehr abgerufen werden, meine anderen Mail-Konten sind nicht betroffen
• Manche 2-Faktor Authentifizierungen bleiben stehen und laufen nicht durch - der Code kommt zwar bei mir an aber nach dem Eintragen passiert nichts mehr, es sind aber nicht alle Seiten betroffen
• iCloud Synchronisation funktioniert nicht mehr korrekt - diverse Dinge werden nicht mehr synchron gehalten

Dies geschieht sowohl auf meinem iMac als auch iPhone / iPad. Nutze ich Probehalber mal LTE als Verbindung klappt sofort wieder alles. Klar, da ist auch kein DNS over TLS aktiv. Schalte ich es in der FritzBox wieder aus funktionieren die genannten Dinge wieder einwandfrei.
Als DNS Server habe ich 9.9.9.9 und 149.112.112.112, bzw. dns9.quad9.net und rpz-public-resolver1.rrdns.pch.net eingetragen, also nichts ungewöhnliches.
Habe ich etwas übersehen? Wo könntet der Fehler liegen?

HG

 

[t0phr]

Ich habe das selbe Problem an einer Fritz!Box 6590, der AVM Support sagt folgendes dazu:

Guten Tag Herr *******,

vielen Dank für Ihre Rückmeldung an den AVM Support.

Ihre neuen Hinweise halfen mir doch etwas weiter.

Mit FRITZ!OS 7.20 bzw. 7.21 kann es zu einem Problem mit der Funktion DNS over TLS (DoT) kommen.

Die Internetverbindung selbst wird von der FRITZ!Box zwar hergestellt, Internetseiten oder andere Ziele können jedoch nicht dargestellt oder erreicht werden, wenn diese Funktion aktiv ist. Es liegt ein Problem in der DNS Auflösung vor.

Es tut mir leid, dass die FRITZ!Box nicht wie gewünscht funktioniert. Wir kennen das Verhalten bereits und werden eine Lösung mit einem kommenden FRITZ!OS Update bereitstellen.

Es hat sich herausgestellt, dass die Funktion durch einen Neustart der FRITZ!Box wieder hergestellt werden kann, jedoch tritt das Verhalten nach unbestimmter Zeit wieder erneut auf, ein weiterer Neustart wäre dann wieder nötig.

Als Alternative böte sich an, bis zum Erscheinen des Fixes die Funktion nicht zu nutzen.
Sofern DoT deaktiviert wird, (bitte die FRITZ!Box dann einmal neu starten) gibt es mit der DNS Auflösung keine Probleme.

Eine entsprechende Lösung wird wie erwähnt im nächsten FRITZ!OS Update verfügbar sein.
In der aktuellen Laborversion der FRITZ!Box 7590 ist die Lösung bereits enthalten.

Ich hoffe, ich konnte Ihnen weiterhelfen, und wünsche Ihnen noch einen schönen Donnerstagnachmittag!

Freundliche Grüße aus Berlin

 

[schmalband]

Ich habe viele Boxen mit one.one.one.one in viele Netzwerken und Haushalten ohne Probleme.
Fallback auf normales DNS ist aus.

 

[StockholmSyndr.]

Der Fehler liegt an der Beta-Hardware, die Du Dir gekauft hast.
Es hilft nur ein Neustart des Routers.

Ich hatte exakt dasselbe Problem gestern (duckduckgo und youtube gingen nicht - alle anderen Websites wurden korrekt aufgelöst und angezeigt) und nach ewigem Rumprobieren und -rätseln war es nach einem Neustart gelöst.
Dies war definitiv meine erste und letzte Fritzbox.

 

[LordB]

Danke für die Info.

 

[till69]

Der Fehler liegt an der Beta-Hardware

Wenn dann wohl Beta-Software

 

[DeusoftheWired]

Ist ein bekanntes Problem der 7.21. An der Behebung wird bei AVM gearbeitet. Lösung: Entweder täglichen Neustart hinnehmen oder DoT bis zum Erscheinen der nächsten Firmware nicht nutzen.

https://www.ip-phone-forum.de/threads/fritz-os-7-20-dns-over-tls-führte-zu-problemen.307760/post-2389577

 

[deo]

Dot wurde erst vor kurzem eingeführt und bis es fehlerfrei funktioniert kann es dauern, wie bei jeder neuen Technik.
Andere Router haben diese Funktion nicht und da ist es leicht von Beta zu sprechen.
Das gute an der Funktion ist, dass sie optional ist und wer sie nicht nutzt, keine Probleme hat.

DoT Probleme sind bereits bei den 7590 ab Labor Firmware 7.24 beseitigt. Alle aktuellen Router werden voraussichtlich ab Fritz!OS 7.25 ebenso ein verbesertes DoT Verhalten haben.

Mit den DNS-Servern habe ich keine Probleme:
Die nutze ich seit Ende 2019, seit der ersten Labor Firmware 7.19.
Damals allerdings funktionierte DoT auch nur zeitweise.

Spoiler: Dot

Auflösungsnamen:
(Fallback deaktivert)

dns2.digitalcourage.de
dns.digitale-gesellschaft.ch
unicast.uncensoreddns.org


Online Monitor:

13.11.

46.182.19.48 (DoT verschlüsselt)
185.95.218.42 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)
185.95.218.43 (DoT verschlüsselt)
89.233.43.71 (DoT verschlüsselt)


09.11.

46.182.19.48 (DoT verschlüsselt)
185.95.218.43 (DoT verschlüsselt)
185.95.218.42 (DoT verschlüsselt)
89.233.43.71 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)

28.10.

46.182.19.48 (DoT verschlüsselt)
185.95.218.42 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)
185.95.218.43 (DoT verschlüsselt)
89.233.43.71 (DoT verschlüsselt)

23.10.

46.182.19.48 (DoT verschlüsselt)
185.95.218.42 (DoT verschlüsselt)
185.95.218.43 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)
89.233.43.71 (DoT verschlüsselt)

03.10.

46.182.19.48 (DoT verschlüsselt)
185.95.218.42 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)
185.95.218.43 (DoT verschlüsselt)
89.233.43.71 (DoT verschlüsselt)

 

[bender_]

Dot wurde erst vor kurzem eingeführt und bis es fehlerfrei funktioniert kann es dauern, wie bei jeder neuen Technik.

Du meinst leider DoT wird erst seit kurzem von AVM unterstützt und sie bekommen es nicht hin. In ASUS Merlin gibt's die Funktion seit anderthalb Jahren ohne große Auffälligkeiten.
Nur um Mal die selektive Wahrnehmung hier zu justieren...

 

[deo]

AVM kocht auch nur mit Wasser.

Diese Verbesserung hat sich als Fake herausgestellt:

- Verbesserung Für den Internetzugang über LAN 1 sind nun in der Benutzeroberfläche größere Geschwindigkeiten als 1 GBit/s einstellbar

https://www.ip-phone-forum.de/threads/fritz-box-7590-07-24-labor-serie.308190/page-12#post-2394736

 

[till69]

und sie bekommen es nicht hin.

Sie versuchen es zumindest ... wie sieht es bei den Speedports aus?

 

[R4ID]

Der Fehler liegt an der Beta-Hardware, die Du Dir gekauft hast.
Es hilft nur ein Neustart des Routers.

Ich hatte exakt dasselbe Problem gestern (duckduckgo und youtube gingen nicht - alle anderen Websites wurden korrekt aufgelöst und angezeigt) und nach ewigem Rumprobieren und -rätseln war es nach einem Neustart gelöst.
Dies war definitiv meine erste und letzte Fritzbox.

Dir ist bewusst das jeder Hersteller mal Fehler in seiner Software haben kann ?

AVM arbeitet bereits an dem Problem also ist doch alles in Ordnung.

 

[bender_]

@till69
Es gibt viele Speedports, daher viele Antworten

Die passendste ist wohl, dass an den meisten Speedports die Änderung des DNS gar nicht möglich ist sondern der verwendet wird, der über die Serviceschnittstelle vorgegeben wird. Das wiederum wird in den meisten Fällen der Telekom DNS sein. Will man nun so ein Feature wie DNS over TLS nutzen, wird das mit Telekom Hardware höchstwahrscheinlich nicht funktionieren, da Otto Normal diese Funktion nicht benötigt bzw. gar nicht weiß, zu was die gut ist. Er wird einfach den Telekom DNS verwenden ohne je zu wissen, dass er das macht und dass er das ohne DNS over TLS macht. Will er es doch, kann er das immer noch explizit am Endgerät oder einem zusätzlichen Gerät (zum Beispiel von ASUS) einstellen.

Abgesehen davon frage ich mich sowieso, wie wir uns seit Jahren im Internet bewegen konnten ohne verschlüsselte DNS Anfragen. Das ist wirklich ein Feature, das längst überfällig war...
Wer unbedingt günstig und stabil DNS over TLS haben wollte, hat das schon lang auf zum Beispiel nem billigen Raspi laufen. Da gibts schon seit mehr als 2 Jahren stabile Implementierungen.
Manche scheinen sowas halt erst dann zu brauchen, wenns das erste Mal im Changelog eines AVM Produkts auftaucht.

 

[TCHAMMER]

In ASUS Merlin gibt's die Funktion seit anderthalb Jahren ohne große Auffälligkeiten.

Das ist aber keine Offizielle ASUS Firmware sondern eine modifizierte Version egal ob es unauffällig läuft oder nicht auch wenn Ich es Persönlich gut finde das es alternativen gibt.

Unterstützt die Offizielle ASUS Firmware das oder kannst du mir andere Hersteller nennen die das schon längst in Ihrer Original Firmware implementiert haben?

Diese Verbesserung hat sich als Fake herausgestellt:

Das bleibt abzuwarten du weißt schon das auch Parallel an der 7590 AX oder auch an anderen Produkten gearbeitet wird es kann durchaus sein das es ein Hinweis für zukünftige Produkte sein kann die eine schnellere LAN bzw. WAN Schnittstelle haben könnten.

Meist schreibt auch AVM das diese eine Verbesserung nur für bestimmte Router Modelle sind nur in diesem Changelog haben sie es vielleicht ausgelassen das es vielleicht für ein Produkt gilt das noch nicht vorgestellt wurde.

 

[deo]

DoT Probleme sind bereits bei den 7590 ab Labor Firmware 7.24 beseitigt.

Für die 7490 gibt seit heute auch eine 7.24 Labor Firmware.

 

[.Dome]

Problem scheint wieder mit 7.29 aufzutreten. Jedenfalls habe ich nach einigen Tagen das Problem, dass DNS Adressen nicht aufgelöst werden wenn ich DNS over TLS in der Fritzbox 6600 aktiviere.