Es besteht keine Verbindung mehr zu den verschlüsselten DNS-Servern

[HerrHirsch]

Hallo liebe Gemeinde

Besitze eine Fritzbox 6820v3 LTE und habe - vor allem seit einiger Zeit - extreme Probleme mit DNS Servern.

Zum einen via DoT und zum anderen generell mit externen DNS Servern.


Sobald ich auf "unverschlüsselte" DNS Verbindungen (Fallback) schalte:


Dabei ist es egal, welchen ich nutze. Habe gefühlt schon alle Anbieter durch (von Cloudflare, Quad9, Google...). Mit dem aktuellen lief es einige Wochen "recht ok".
Aber nun auch hier: Ständig DNS Fehler (also auch das Surfen ist quasi unmöglich geworden).
Dazu sei gesagt, es ist eine o2 unlimited Karte (LTE) drin.


In diesem Status:

Funktioniert nichts (auch keine Requests via :53). Das "(aktuell genutzt für Standardanfragen)" fehlt.

Sobald ich in den Einstellungen->DNS irgendwas ändere, dann funktioniert es temporär:

Danach wieder ohne DoT bzw. Totalausfall (größtenteils).

Woran kann das liegen? Es wurde nichts geändert und aktuell nutzt die Fritze:
FRITZ!OS: 7.59

Liegt das an meiner Box oder macht o2 "Auge"? z.B. durch diese massiv (mittlerweile dauerhafte) schlechte Verbindungen?
Aber selbst die unverschlüsselten (Port 53) Anfragen haben Packetloss/Timeouts zur Hölle, was mich sehr wundert - bzw. die Fritzbox switched immer zwischen beiden, ist immer nur "kurz" angebunden, danach gar nicht mehr für eine Zeit, dann wieder kurz beim anderen "angebunden" etc. (natürlich ohne DoT).

Achso: IPv6 ist gänzlich in der Fritzbox deaktiviert (macht öfters Probleme).

Vielen Dank im Voraus!

Liebe Grüße

 

[Helmut-H]

Achso: IPv6 ist gänzlich in der Fritzbox deaktiviert (macht öfters Probleme).

Hallo,
das dürfte kontraproduktiv sein. Bei mobilen Datenzugängen bekommt man oft nur eine öffntliche IPv6 Adresse.
Ebenso solltest du auch einen IPv6-DNS-Server eintragen und verwenden.
IPv6 dürfe keine Probleme machen - die liegen woanders.

Welche öffentliche IP-Adresse hat deine Fritzbox?
Die ersten drei Blöcke reichen, ist es eine öffentliche oder eine private IPv4 vom Provider?

Habe einen Termin, komme später wieder.

 

[HerrHirsch]

Hi,

danke für die Info.
Sobald ich auf IPv6 stelle, bleibt es bei IPv4. Genau wie auf dem Handy. Nutze ich jedoch eine Homespot Karte ("DSL Ersatz"), da geht ausschließlich IPv6 und IPv4 arbeitet im DS-Lite.

In der Fritzbox wird die IP "zugewiesen":
IP-Adresse: 10.158.82.xxx
bzw. dann öffentlich: 176.5.174.xxx

(IPv6 wird mir auch nicht bei eingeschaltetem IPv6 in der Box angezeigt, weder im Admin noch auf externen Seiten)
Dazu muss ich sagen, dass mein o2 Unlimited (inkl. der Karte) sehr alt ist, damals gab es noch den 20 Mbits unlimited (glaube seit 2019 "nur" noch 15 Mbits). Vielleicht ist diese für "IPv6" noch nicht aktiviert worden (bei Bestellung gab es das damals nicht).

Hatte noch folgendes ausprobiert: Sobald ich auf "Verwende DNS Server des Anbieters" setze (kein DoT, nur PLAIN), dann funktioniert alles wunderbar (auch im IPv4 only).
Schalte ich jedoch externe DNS Server dazu, dann fängt es spätestens nach 1-3 Stunden an "zu krachen". Auch ohne DoT gibt es dann Probleme.

 

[Helmut-H]

Hi,

dann bekommst du nur eine private IPv4-Adresse vom Provider.
- Keine IPv6.
Dein Provider macht CGNAT bei den öffentlichen IPv4 und IPv6 auf privat IPv4 - 10.158.82.xxx.
https://de.wikipedia.org/wiki/Carrier-grade_NAT
Das funktioniert nicht wenn du andere DNS-Server verwenden möchest.

Hatte noch folgendes ausprobiert: Sobald ich auf "Verwende DNS Server des Anbieters" setze (kein DoT, nur PLAIN), dann funktioniert alles wunderbar (auch im IPv4 only).

Dann wirst du das, wegen dem CNAT, so lassen müssen.

Schalte ich jedoch externe DNS Server dazu, dann fängt es spätestens nach 1-3 Stunden an "zu krachen". Auch ohne DoT gibt es dann Probleme.

Dann ist die Lease Time abgelaufen und dein Router verwirft die bekannten Adressen.
Lease Time (DHCP) - Begriff einfach erklärt

Funktion und Bedeutung der Lease Time​

Die Lease Time ist die Zeitspanne, während der ein DHCP-Client eine IP-Adresse von einem DHCP-Server nutzen darf. Nach Ablauf dieser Zeit muss der Client die IP-Adresse entweder erneuern oder eine neue anfordern.

 

[HerrHirsch]

Hi,

danke für die ausführliche Erklärung.

Ja Mist, also müsste ich als letzte Option sonst auch mal o2 kontaktieren und mal fragen, ob man das umstellen kann?
Denn technisch KÖNNEN sie ja, wenn sie wollen (wie bei den Homespot Karten).
Wundert mich halt nur, dass es dann doch zwischendurch mal geht.

Also ist es kein Bug von der Box, dass die DoT verloren geht und dadurch ein Totalausfall entsteht, selbst bei "unverschlüsselte Verbindungen zulassen (bei eigenen DNS)"?
Dann frage ich mal beim Anbieter nach. Hatte auch erst die Vermutung, dass die nicht wollen, dass man eigene DNS einträgt (vor allem DoT) hehe...

Edit: Habe gerade dort im Forum gelesen, dass man CGNAT auch durch den Erwerb einer öffentlichen IPv4 (einmalig 49€) umgehen kann.

 

[blurrrr]

Moin,

Dein Provider macht CGNAT bei den öffentlichen IPv4 und IPv6 auf privat IPv4 - 10.158.82.xxx.
https://de.wikipedia.org/wiki/Carrier-grade_NAT
Das funktioniert nicht wenn du andere DNS-Server verwenden möchest.

sorry, aber... Routing (egal ob mit CGNAT oder nicht) hat erstmal rein "garnichts" mit dem Thema DNS zu tun. Das DNS/DoT/DoH/etc. nicht funktioniert, hat - meiner Meinung nach - erstmal nichts mit CGNAT zu tun, von daher wäre das Problem eher anderweitig zu suchen.

Dann ist die Lease Time abgelaufen und dein Router verwirft die bekannten Adressen.

In welchem Zusammenhang soll das bitte stehen? Ich lasse mich gerne aufklären

Liegt das an meiner Box oder macht o2 "Auge"?

Mal ganz blöd gefragt: Nutzt Du "nur" Internet darüber? Falls noch Telefonie darüber läuft, dürfte diese nicht mehr funktionieren, wenn die Fritz!Box für eigene Anfragen externe Server nutzt, zzgl. ggf. anderweitiger Provider-Dienste.

Liegt das an meiner Box oder macht o2 "Auge"? z.B. durch diese massiv (mittlerweile dauerhafte) schlechte Verbindungen?
Aber selbst die unverschlüsselten (Port 53) Anfragen haben Packetloss/Timeouts zur Hölle, was mich sehr wundert - bzw. die Fritzbox switched immer zwischen beiden, ist immer nur "kurz" angebunden, danach gar nicht mehr für eine Zeit, dann wieder kurz beim anderen "angebunden" etc. (natürlich ohne DoT).

Da würde ich das Problem vielleicht doch eher bei der Leitung/Verbindung suchen. Wie sieht es denn da überhaupt bzgl. Latenzen/Verbindungsstabilität aus?

 

[HerrHirsch]

Mal ganz blöd gefragt: Nutzt Du "nur" Internet darüber? Falls noch Telefonie darüber läuft, dürfte diese nicht mehr funktionieren, wenn die Fritz!Box für eigene Anfragen externe Server nutzt, zzgl. ggf. anderweitiger Provider-Dienste.


Da würde ich das Problem vielleicht doch eher bei der Leitung/Verbindung suchen. Wie sieht es denn da überhaupt bzgl. Latenzen/Verbindungsstabilität aus?

Moin.

Also Box wird ausschließlich für Internet genutzt. Die Box an sich kann auch gar keine Telefonie, höchstens SMS empfangen/senden.

Naja, die Verbindungen hier sind so lala. Latenz echt schlecht und die Verbindungen genauso.
Bisher ging es aber, aber seit einigen Wochen sind verstärkt DNS Probleme zu erkennen (also mittlerweile schon extrem).
Außer der Anbieter hatte nun einige Änderungen eingespielt. Weil es gab weder ein Fritzbox Update noch sonst was, was sich geändert hat.
Durch das CGNAT ist natürlich meine "öffentliche" IP komplett geblockt - was ich sogar gut finde (quasi "firewalled").
Aber dennoch "schwimmt" die Box ständig zwischen den beiden DNS Servern her - sowohl PLAIN als auch (dann doch mal wieder) DoT mit jeweils immer Pausen des "Totalausfalls".

Zumindest habe ich keine "DNS_ERR" bei den "vom Anbieter genutzten". Aber da sind die Latenzen auch extrem.
Hier mal ein aktueller Speedtest (bis kurz nach Mittags ist die Verbindung (bis auf die DNS Probleme) "sehr gut"):
https://www.speedtest.net/result/18616762907

Ab Nachmittags/Abends dann Latenz so im hohen 3 stelligen Bereich und immer unter 6 Mbits DL.

 

[blurrrr]

DoT und DoH laufen via TCP (normale unverschlüsselte DNS-Anfragen laufen i.d.R. via UDP, wobei bei UDP auch Pakete verloren gehen können). Bei TCP wird noch versucht, verlorene Pakete erneut zuzustellen. Bei wackeligen Verbindungen ist es daher immer so eine Sache mit UDP, wenn es "zu sehr" wackelt, ist es mit TCP dann allerdings mitunter auch so eine Sache...

Aber da sind die Latenzen auch extrem.

Jut, erhöhte Latenzen aufgrund einer Funkverbindung sind jetzt nicht so unüblich (im Gegensatz zum Kabel).

Ab Nachmittags/Abends dann Latenz so im hohen 3 stelligen Bereich und immer unter 6 Mbits DL.

Das ist aber schon nicht mehr so schön... Vielleicht machst Du einfach mal ein entsprechendes Ticket beim Provider auf. Die werden zwar bzgl. DNS vermutlich einfach abwimmeln und die Schuld auf AVM schieben (dran bleiben könnte helfen!), aber die Geschwindigkeit in den Abendstunden sind dann schon echt nicht mehr feierlich. Mit einer (etwas) höheren Latenz muss man bei Funk halt leben.

Kannst halt mal schauen, wie es sich in den Abendstunden verhält, wenn Du mal einen Ping in Richtung DoT-Server schickst (Eingabaufforderung: ping -t 217.154.82.11 + ping -t 217.154.82.12). Das hat zwar jetzt erstmal nichts mit DNS-Anfragen zu tun, aber mit der Latenz (und ggf. Paketverlust) auf dem Weg dorthin.

Alternativ könntest Du es ggf. auch mal via DoH versuchen, was von der Fritz!Box selbst allerdings nicht unterstützt wird. Das könntest Du aber z.B. im Browser konfigurieren (sichere DNS-Server, gibt es z.B. in allen gängigen Browsern).

Was natürlich noch sein "könnte"... je nachdem, wieviele Clients Du im Netz hast, wäre ein Rate-Limit seitens des DNS-Servers. So wie ich das sehe, scheint das ja eher ein "kleinerer" Anbieter zu sein, welchen Du da nutzt. Da wäre es evtl. ratsam, wenn man - rein zu Testzwecken - mal die DNS-Server von grösseren Anbietern diesbezüglich nutzt (z.B. Cloudflare via 1.1.1.1/1.0.0.1), womit man schon mal eine Fehlerquelle weniger haben sollte. Zudem sind die DNS-Server von Cloudflare auch auf wesentlich mehr Traffic ausgelegt, als irgendwelche DNS-Server von kleineren Anbietern. Also ich will hier nix "schlecht" reden oder so, einfach nur die Problematik etwas eingrenzen - heisst nicht, dass Deine o.g. DNS-Server jetzt irgendwie minderwertig oder so wären.

EDIT: Die o.g. DNS-Server liegen allerdings auch bei IONOS und sind vermutlich auch nur virtuelle Server - nix gegen virtuelle Server, aber bei Cloudflare wird das Konstrukt einfach massiv grösser und leistungsstärker sein. Es dient auch einfach nur dazu, die Problematik ggf. etwas einzudämmen

EDIT2: Naja, ich hab mir den Anbieter jetzt nochmal etwas genauer angeschaut... ganz viel kostenloses Zeugs, Status-Seite kommt schon mit einem falschen Zertifikat und wenn man das bestätigt, landet man bei "403 Forbidden". Ruft man den im Zertifikat genannten FQDN auf, landet bei auf einer Seite wo es heisst "100% ai controlled ad network"... ich weiss ja nicht, ich weiss ja nicht...

 

[HerrHirsch]

Hi,

okay, also Ping:

Spoiler: 217.154.82.11

PING 217.154.82.11 (217.154.82.11) 56(84) bytes of data.
64 bytes from 217.154.82.11: icmp_seq=1 ttl=45 time=44.0 ms
64 bytes from 217.154.82.11: icmp_seq=3 ttl=45 time=33.5 ms
--- 217.154.82.11 ping statistics ---
10 packets transmitted, 2 received, 80% packet loss, time 9142ms
rtt min/avg/max/mdev = 33.525/38.777/44.030/5.252 ms

Spoiler: 8.8.8.8

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
--- 8.8.8.8 ping statistics ---
9 packets transmitted, 0 received, 100% packet loss, time 8185ms

Spoiler: 217.154.82.12

PING 217.154.82.12 (217.154.82.12) 56(84) bytes of data.
64 bytes from 217.154.82.12: icmp_seq=2 ttl=45 time=44.6 ms
64 bytes from 217.154.82.12: icmp_seq=7 ttl=45 time=55.5 ms
64 bytes from 217.154.82.12: icmp_seq=12 ttl=45 time=58.0 ms
--- 217.154.82.12 ping statistics ---
14 packets transmitted, 3 received, 78.5714% packet loss, time 13218ms
rtt min/avg/max/mdev = 44.579/52.664/57.950/5.806 ms

Gut, sehe jetzt erst (weiß nicht wie es vorher war), dass o2 so dermaßen hohen Packetloss hat.
Tickets wurden seit 2021 schon geschrieben. Erst war der Mast kaputt, dann liegt seit dem eine "Überlastung" vor -> da ging es nur um extrem langsames Internet (so max. 1 Mbits).
Dann wurde aufgerüstet mit 2600 MHz und 2100 MHz, seit dem habe ich wenigstens ~5-10. Das ist ok für mich.

Habe auch gerade gesehen, an meiner Adresse kann man auch nicht mal mehr die LTE Homespot Tarife bestellen (weil keine Ressourcen mehr).
Die großen Anbieter machen (bei mir) sogar größere Probleme als bei den "kleinen". Wie man sieht, Google schneidet in "meiner Zelle" sogar noch schlechter ab mit 100% Packetloss.

Mist... Dann ist das wohl neu? Bei einem erneuten Ticket wird (wie immer) gesagt "es liegt keine Störung vor, Sie waren ja mindestens einmal kurz im Internet", also seitens o2.
Eine Sonderkündigung wurde zumindest mit der Begründung auch abgelehnt.

Hmm... dann wirds das sein. Aber so schlecht waren die Werte noch nie.
Verdammt... Zumindest ist es AKTUELL so. Aber so schlecht hatte ich das noch nie erlebt. In letzter Zeit waren es "nur" 15-30% Packetloss (wo auch alles lief DNS technisch).

Edit: Ah, seit heute:


Das wusste ich natürlich nun nicht, aber dann macht das Sinn. Dann sorry für diesen Thread. Aber habe echt die Nadel im Heuhaufen gesucht.
Aber danke für die Hilfe hier! Hatte schon Angst, dass meine Box langsam nicht mehr will (ist auch schon gut 3 Jahre alt).

 

[blurrrr]

Könntest ja mal via https://www.cellmapper.net/map schauen, wie es bei Dir in der Gegend so aussieht, aber tendentiell würde ich definitiv erstmal ein Ticket beim Provider aufmachen. Ich weiss zwar nicht, was Dir für Datenraten zugesagt worden sind, aber auch Provider haben seit einiger Zeit gewisse Auflagen und wenn diese nicht erfüllt werden, hast Du auch - so oder so - ein Sonderkündigungsrecht.

 

[HerrHirsch]

Könntest ja mal via https://www.cellmapper.net/map schauen, wie es bei Dir in der Gegend so aussieht, aber tendentiell würde ich definitiv erstmal ein Ticket beim Provider aufmachen. Ich weiss zwar nicht, was Dir für Datenraten zugesagt worden sind, aber auch Provider haben seit einiger Zeit gewisse Auflagen und wenn diese nicht erfüllt werden, hast Du auch - so oder so - ein Sonderkündigungsrecht.

Also sollte 20 DL, 10 UL bekommen.
In guten Zeiten kommen 50% an, nachts evtl. mehr hehe.

Aber da ich weiß das Telefonica alles gnadenlos überbucht, um günstiger zu sein, sage ich mir selbst ja "you get what you pay for"... und das sind halt 14,99€ für unlimited LTE.
Sonderkündigung wurde abgelehnt, da "es manchmal erreicht werden kann". Trotz Nachweise etc.

Ich habe mich an das langsame Internet gewöhnt und ist soweit ok. Aber langsames Internet + DNS Error (also 1-4 Minuten Totalausfall), das ist dann selbst für mich zu viel.
Vielleicht wird das Problem (da bekannt) ja irgendwann zum neuen Jahr behoben. Jetzt zur Weihnachts-/Neujahrszeit wird da denke ich nicht viel passieren. Die 3 unterbezahlten und überlasteten Techniker deutschlandweit für o2 brauchen auch ihren Urlaub.

Aber dann ist es klar, wieso die Fritzbox komplett am Limit ist mit diesem Loss. Die kämpft sowieso schon gut "in guten Zeiten". #FritzboxLoben

 

[blurrrr]

14,99€ für unlimited LTE

Also den Preis finde ich schon etwas sonderbar für "unlimited"

Sonderkündigung wurde abgelehnt, da "es manchmal erreicht werden kann". Trotz Nachweise etc.

Ja ne, "manchmal" reicht da nicht. Würde sich beim Auto ja auch nicht anders verhalten, wenn das Auto auf der Autobahn "manchmal" 100km/h erreicht und ansonsten nur 30km/h bringt... https://www.breitbandmessung.de/desktop-app besser damit messen, damit kann man sich dann auch die Protokolle generieren lassen (s. https://www.verbraucherzentrale.de/...-ausgefallen-was-betroffene-tun-koennen-12763). Ist schon klar, dass es bei LTE noch div. andere Faktoren gibt, aber wenn es unter'm Strich "unbenutzbar" wird, ist damit ja auch keinem geholfen.

Vielleicht musst Du auch einfach den Tarif wechseln.... 15€ für unlimited LTE halte ich für nicht sonderlich realistisch bzw. wenn, dann doch eher ziemlich stiefmütterlich behandelt. Hast Du echt keine Möglichkeit an "irgendwas" anderes zu kommen (DSL/Kabel/etc.)? Starlink wäre ggf. noch eine Alternative (glaube, da geht es ab 30€/Monat oder so los), sofern es mehr als 15€/Monat kosten darf. Weisst ja, wer billig kauft, kauft meistens 2x

 

[HerrHirsch]

Wieso? Der mit 300 Mbits bzw. ohne Speed-Limit gibt es ja schon für 20€ bei denen (Anfang Dezember sogar mtl. kündbar) - hatte ich aber abgelehnt. Wieso sollte ich 5€ mehr zahlen, nur um am Ende auch nur 5-10 Mbits (hier) zu bekommen.

Gibt hier leider nicht wirklich eine Alternative. Starlink ist auch Mist wegen den ganzen hohen Gebäuden und ich bin im EG.
Zudem kann man keine Fritzbox dafür verwenden.

Ne, also an sich bin ich sonst happy, nur halt das erste mal diese Problematik mit dem DNS. Aber gut, ist wohl echt der miese Packetloss.
Aber schon erstaunlich, wie krass sowas werden kann.

Hatte sogar schon überlegt eine 6850 LTE/5G oder die 6820v4 (CAT 6) zu holen - also die aktuelle "upgraden".
Denke aber das es nicht daran liegt, dass meine 6820v3 nur CAT 4 kann.

Aproro:
6 Versuche.

 

[blurrrr]

Na dann warte vllt erstmal ab, bis die Störung vorbei ist

EDIT: Als kleine abschliessende Anmerkung: Die beiden genutzten DNS-Server hängen via IPv4 im gleichen Netz (.11/.12). Gibt es beim Anbieter (IONOS) diesbezüglich mal ein Problem, geht direkt garnichts mehr. Sollte man bei der Wahl seiner genutzten DNS-Resolver ggf. auch mal überdenken