Fritzbox Probleme mit Secure DNS-over-TLS

[dervali]

Hi zusammen,

ich komm leider mit eigenem Wissen nicht wirklich weiter und hoffe daher hier auf Ideen gebracht zu werden die mein kleines Problemchen lösen.

Bin bei Vodafone Kabel, kein DS-Lite und habe eine privat gekaufte Fritzbox 6591 am Anschluß.

Für verschiedene Anwendungszwecke wie Adblock, Blocken bestimmter Websites usw bin ich über Control D gestoßen und habe gemäß deren Anleitung DoT auf meiner Fritzbox eingerichtet.

Grundsätzlich funktioniert es auch problemlos, aber in unbestimmten Zeitabschnitten bricht die DNS Kommunikation immer komplett zusammen und nix geht mehr. Ich muss dann jedes Mal in der Fritzbox auf "neu verbinden" gehen, um den Fehler zu beseitigen.

Klar, ich könnte in der Fritte natürlich das Fallback auf unverschlüsselten DNS Traffic setzen, das macht aber bei dem Anwendungszweck keinen Sinn, dann könnte ich Control D auch einfach weglassen und ein Pihole hinstellen (was theoretisch sogar vorhanden ist, aber anderes Thema)

PS: Das gleiche Fehlerbild tritt auch dann auf wenn ich statt DoT Legacy DNS nehme.

Frage:

1. Hat jemand eine ähnliche Konstellation und ggf. eine Lösung?
2. Ich überlege schon länger mir das Unifi Cloud Gateway Ultra zu holen...
Fritzbox weg -> Vodafone Router hin (nur als Modem genutzt) und dann alles über das CGU managen --> Wäre das eine Lösung für mein oben beschriebenes Problem?


Danke schon mal und wenn ihr noch mehr Input für Hilfestellung benötigt, lasst es mich wissen.

​

 

[norKoeri]

in der Fritzbox auf "neu verbinden"

Weil ich den Menüpunkt bei einer Cable-FRITZe noch nicht kenne: Wo im Menü ist der genau?

 

[dervali]

Internet -> Online-Monitor -> Verbindungsdetails (ganz unten)

Geht aber (bei mir) erst, seitdem ich ne private Fritte hingestellt hab. Mit der von Vodafone gemieteten gabs den Punkt nicht

 

[norKoeri]

OK. Kannte ich bisher nur von PPPoE, also DSL-Fritten. Die Frage wäre nämlich, was dann passiert, dass es wieder klappt. Bekommst Du eine neue IPv4-Adresse bzw. IPv6-Präfix? Dann könnte ich mir vorstellen, dass Deine vorherige Adresse irgendwie geblockt wurde. Oder es ist einfach ein Software-Bug. Bei dem könnte nur AVM helfen …

 

[motorazrv3]

deren Anleitung DoT auf meiner Fritzbox eingerichtet.

Grundsätzlich funktioniert es auch problemlos, aber in unbestimmten Zeitabschnitten bricht die DNS Kommunikation immer komplett zusammen und nix geht mehr.

Ich nutze die Server von Freifunk München, bisher keine Probleme gehabt.
Ist eine 6690 mit aktuellem FritzOS.

 

[chp]

Bin bei Vodafone Kabel, kein DS-Lite und habe eine privat gekaufte Fritzbox 6591

Hi,

ich habe die gleichen Randbedingungen wie du, nur dass ich nicht den Control D Resolver für DoT benutze. Ich habe keine Probleme mit DNS. Daher vermute ich, dass das Problem beim Resolver von Control D begraben liegt.

Viele Grüße

 

[dervali]

OK. Kannte ich bisher nur von PPPoE, also DSL-Fritten. Die Frage wäre nämlich, was dann passiert, dass es wieder klappt. Bekommst Du eine neue IPv4-Adresse bzw. IPv6-Präfix? Dann könnte ich mir vorstellen, dass Deine vorherige Adresse irgendwie geblockt wurde. Oder es ist einfach ein Software-Bug. Bei dem könnte nur AVM helfen …

Gerade getestet und neu verbunden. IP ist jedoch gleich geblieben (allerdings hatte ich das Problem in dem Moment nicht)

Hi,

ich habe die gleichen Randbedingungen wie du, nur dass ich nicht den Control D Resolver für DoT benutze. Ich habe keine Probleme mit DNS. Daher vermute ich, dass das Problem beim Resolver von Control D begraben liegt.

Viele Grüße

Ja, der Gedanke kam mir tatsächlich auch schon, kreuztesten könnte ich das jedoch nur mit einem anderen Router um Gewissheit zu haben

 

[motorazrv3]

unbestimmten Zeitabschnitten bricht die DNS Kommunikation immer komplett zusammen

Kannst du dazu etwas sagen? Ist das sehr unterschiedlich? Mal 1 Stunde, mal 1 Tag oder wie ist das gewesen?

Gerade getestet und neu verbunden. IP ist jedoch gleich geblieben

Bei dual Stack hast du eigentlich immer die gleiche IPv4 und IPv6.

 

[dervali]

Ist wie erwähnt nicht auf ein bestimmtes Zeitfenster festzulegen... Mal läuft es ein paar Stunden, mal nur 1, 2 Stunden.... Es ist, wenn ich aktiv habe, immer mindestens ein mal pro Tag, eher mehr. Zeitlich aber nicht festlegbar.

Naja nicht ganz, die IP ändert sich nicht bei jedem neu verbinden, das ist richtig. Aber alle paar Tage (oder Wochen) ändert sie sich.... Sehe ich ja auch im Protokoll von Control D welche öffentlichen IP Adressen von der Fritte gemeldet wurden

 

[dervali]

Das sagt glaube ich, alles. Und wie weitere Internet Recherche ergab ein grundsätzliches Fritzbox Problem mit DoT. Leider schiebt es der Anbieter auf AVM und umgedreht wie man zumeist lesen kann.... Es hat auch nix mit dem DoT von Control D zu tun, sondern tritt auch bei anderen DoT Anbietern auf

 

[norKoeri]

Nutze hier ebenfalls DoT ohne Fallback zu erlauben. Meine System-Ereignisse gehen zurück bis September. Ja ich habe die Meldung auch, Spitze waren 266, aber es war jedes Mal die PPPoE-Neuverbindung bzw. tägliche Zwangstrennung. Mein Tipp: Im Fehlerfall schauen, ob IPv4 und IPv6 noch gehen:

• ipv4.icanhazip.com
• ipv6.icanhazip.com

Neuerdings sollen Cable-Boxen auch Paketmitschnitte erlauben. Also dann mal mitschneiden, was genau WAN-seitig geschieht.

 

[dervali]

Danke für den Tip mit dem TEst. Werde ich machen, wenn es das nächste Mal zum Totalausfall kommt. Aber was habe ich dann von der Erkentniss, das ich dann wahrscheinlich eine Fehlermeldung auf den URL´s bekomme wie jetzt bei IPv6, denn IPv6 hab ich deaktiviert.

Lustigerweise heute mit den > 2000 Meldungen im Protokoll ging aber trotzdem alles.... Verstehe ich nicht

 

[norKoeri]

Ich ging davon aus, dass Du IPv6 an hast. Wenn Du IPv6 aus hast, müssten wir nochmal durchgehen, warum Du IPv6 abgeschaltet hast, also ob das eine nachvollziehbare Begründung hat, für die es keine Alternative gibt. Falls ja und das nicht geht, ob Du IPv6 im Heimnetz auch richtig abgeschaltet hast.

Bin bei Vodafone Kabel, kein DS-Lite

Oder hast Du einen Vertrag, der nicht Dual-Stack sondern noch IPv4-only ist?

Paketmitschnitte

Nur damit kein Missverständnis entstand: Jener Ansatz ist unabhängig von der IP-Version.

 

[dervali]

IPv6 habe ich im Grunde nur aus, weil ich es für nichts benötige und ist im Sinne von "weg mit unnötigen Balast" & "Vermeidung von mehr Verwaltungsaufwand".

ob Du IPv6 im Heimnetz auch richtig abgeschaltet hast

Also an der Fritzbox ist das Häkchen raus bei IPv6:

Sonst habe ich keine weiteren Einstellungen vorgenommen an der Fritzbox (alle anderen IPv6 Settings sind weg, wenn das Häkchen nicht gesetzt ist bspw. IPv6 DNS) und ggf. an Clients. Also ich habe jetzt nicht extra am Rechner noch IPv6 deaktiviert, weil der Client bekommt ja keine IPv6 Daten vom Router.

Und nein, ist Dual-Stack, wenn ich IPv6 anmache, bekomme ich auch eine IPv6 Adresse und auch IPv6 DNS ist dann aktiv (an machen ist falsch, nach einem Reboot der Box ist Ipv6 einfach wieder an)

für die es keine Alternative gibt

Grundsätzlich würde es mir nicht wehtun IPv6 an zumachen, mangels Wissen, kann ich jedoch nicht nachvollziehen, ob das was mit meinem Problem zu tun hat. Denn auch wenn ich nach einem Reboot der Fritzbox, mal vergesse, IPv6 aus zu machen, ändert sich nichts an der eingangs beschriebenen Problematik.

 

[norKoeri]

Solange Du kein DS-Lite-Tunnel oder CGNAT hast, ist egal, ob Du IPv6 an hast. Hast Du auch richtig abgeschaltet. Gibt einige Vodafone-Anschlüsse, bei denen das IPv6-Routing defekt ist. Daher der obige Test auf jene Vermutung. Wenn Du ausschließlich IPv4 verwendest, dann habe ich keine wirkliche Idee und rate zum Paketmitschnitt auf dem WAN-Interface, AVM nennt das normal „1. Internetanschluss“. Die erste Frage wäre dann, was jene Taste „Neu verbinden“ in deinem Fall macht, also reich technisch. Vielleicht kannst Du Dich so jenem sporadischen Symptom nähern.