Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in

  FAQ | Search | Memberlist | Usergroups | Statistics | Profile | Log in to check your private messages | Log in | Register

Internes DNS hängt beim Internetausfall
 View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
musv
Advocate
Advocate


Joined: 01 Dec 2002
Posts: 3369
Location: de
PostPosted: Wed Jun 08, 2022 9:37 am    Post subject: Internes DNS hängt beim Internetausfall Reply with quote
Guten Mittag,

gestern ist bei mir das Internet ausgefallen. Konkret meldete zwar die Fritzbox eine DSL-Konnektivität zum DLSAM, allerdings kein Internet.

Auf meinem NAS betreibe ich ein DNSMASQ, was soweit auch ganz brauchbar funktioniert.

Da ich keine öffentliche Domain hab, hab ich als lokale Domain "erz" verwendet.

Das Problem ist jetzt, dass sowohl auf dem Smartphone als auch auf dem Desktoprechner die Auflösung der lokalen Domain im Browser ungewöhnlich lange dauert (ca. 30 Sekunden). Frag ich die Rechner (FQDN) per Curl oder Ping ab, bekomm ich sofort eine Antwort. Funktioniert das Internet, dann sind auch die lokalen Rechner im Browser sofort verfügbar.

Es scheint so, als ob die DNS-Abfragen im Browser grundsätzlich erst mal nach draußen gehen wollen, anstatt ausschließlich den lokalen DNS-Server zu verwenden.

Meine Config (/etc/dnsmasq.conf)
Code:
############### DNS #############
# resolv.conf und hosts ignorieren
# no-poll: Änderungen in resolv nicht verfolgen
no-resolv
no-hosts
no-poll
expand-hosts
# keine lokalen Anfragen nach draußen
domain-needed
bogus-priv

############### Logging #############
#log-queries
#log-facility=/var/log/dnsmasq/dnsmasq.log


############### DNS - Authoritative #############
auth-server=dns.erz
listen-address=192.168.109.50,127.0.0.1
auth-zone=erz,192.168.109.0/24
#- Serial,Hostmaster,Refresh,Retry,Expiry -#
auth-soa=42,ich@auch.de,86400,900,86400
domain=erz,192.168.109.0/24,local


############### DNS - Forwarding #############
server=9.9.9.9              # Speedy
server=1.1.1.1              # Cloudflare (1.0.0.1)
server=85.214.20.141        # Digital Courage
server=208.67.222.222       # OpenDNS (208.67.220.220)
server=192.168.109.1        # Fritzbox
cache-size=1000
neg-ttl=600


############### DHCP #############
dhcp-option=3,192.168.109.1                 # Default-GW via Fritzbox
dhcp-option=6,192.168.109.50                # DNS,systemd-resolved workaround
#dhcp-option=6,192.168.109.50,192.168.109.1  # DNS
dhcp-option=15,erz                          # Domain (wird ignoriert)
dhcp-option=42,192.168.109.1                # NTP
dhcp-option=119,erz                     # Search Domain
dhcp-range=192.168.109.100,192.168.109.150,12h


Wo liegt da mein Fehler?
Back to top
View user's profile Send private message
mike155
Advocate
Advocate


Joined: 17 Sep 2010
Posts: 4438
Location: Frankfurt, Germany
PostPosted: Wed Jun 08, 2022 9:42 am    Post subject: Reply with quote
DNS over HTTPS?

Hänge Dich am besten mit tcpdump oder Wireshark dran - und prüfe, welcher DNS Server für die Namensauflösung angefragt wird.

Wenn es DOH ist, kannst Du es in der Firefox Config deaktivieren.

Zusätzlichen kannst Du - zumindest für den Firefox - noch folgende Regel in die dnsmasq.conf aufnehmen:
Code:
# Disable DOH in Firefox
# Firefox uses "use-application-dns.net" as a canary domain
# before it switches to DOH

address=/use-application-dns.net/#
Back to top
View user's profile Send private message
musv
Advocate
Advocate


Joined: 01 Dec 2002
Posts: 3369
Location: de
PostPosted: Wed Jun 08, 2022 2:00 pm    Post subject: Reply with quote
Musste mich jetzt erst mal wieder durch die Wireshark-Optionen wühlen. Hab das Programm ewig nicht mehr benutzt:

Code:
30   2.821838809   192.168.109.20   192.168.109.50   DNS   81   Standard query 0x336d A pyload.erz OPT
31   2.822584408   192.168.109.50   192.168.109.20   DNS   121   Standard query response 0x336d A pyload.erz CNAME kobold.erz A 192.168.109.10 OPT
186   3.255613730   192.168.109.20   192.168.109.50   DNS   91   Standard query 0xe804 A fonts.googleapis.com OPT
187   3.268217177   192.168.109.50   192.168.109.20   DNS   107   Standard query response 0xe804 A fonts.googleapis.com A 142.250.185.106 OPT
199   3.298337609   192.168.109.20   192.168.109.50   DNS   84   Standard query 0x03ac A ocsp.pki.goog OPT
200   3.317989286   192.168.109.50   192.168.109.20   DNS   135   Standard query response 0x03ac A ocsp.pki.goog CNAME pki-goog.l.google.com A 142.250.186.35 OPT
256   3.652838540   192.168.109.20   192.168.109.50   DNS   87   Standard query 0x3937 A tampermonkey.net OPT
257   3.664995458   192.168.109.50   192.168.109.20   DNS   103   Standard query response 0x3937 A tampermonkey.net A 81.169.145.79 OPT

Ich denke, das erklärt jetzt schon einige Sachen.

Das interpretier ich dann so, dass mein DNS das macht, was er machen soll. Aber wenn das Internet aus ist, können halt diverse (eigentlich nicht benötigte) Sachen nicht nachgeladen werden. Da kann ich wohl nicht allzuviel machen.

Die Firefox-DOH-Deaktivierung hab ich trotzdem mal mit aufgenommen.
Danke.
Back to top
View user's profile Send private message
mike155
Advocate
Advocate


Joined: 17 Sep 2010
Posts: 4438
Location: Frankfurt, Germany
PostPosted: Wed Jun 08, 2022 4:03 pm    Post subject: Reply with quote
Ich habe gerade mal einen Stromausfall simuliert - durch Ziehen des DSL Kabels.

Mein Browser startet aber trotzdem in Sekundenbruchteilen - und zeigt auch die interne Homepage an.

Entweder liegt es daran, dass die Website, die Dein Browser beim Starten anzeigt, auf externe Inhalte zugreift. Oder Deine dnsmasq Konfiguration ist anders als meine.
Back to top
View user's profile Send private message
musv
Advocate
Advocate


Joined: 01 Dec 2002
Posts: 3369
Location: de
PostPosted: Wed Jun 08, 2022 4:58 pm    Post subject: Reply with quote
Hab auch grad noch mal das Kabel rausgezogen.

Der Browserstart war jetzt nicht das Problem. Allerdings verwende ich Speeddial 2. Und anscheinend laden einige meiner lokal genutzten Dienste einige Inhalte aus dem Web nach bzw. versuchen das zumindest.

Das Mediawiki war sofort verfügbar.

Ich denke, wir können das Thema hier abschließen. Danke für Deine Unterstützung.
Back to top
View user's profile Send private message
firefly
Watchman
Watchman


Joined: 31 Oct 2002
Posts: 5329
PostPosted: Wed Jun 08, 2022 5:34 pm    Post subject: Reply with quote
musv wrote:
Und anscheinend laden einige meiner lokal genutzten Dienste einige Inhalte aus dem Web nach bzw. versuchen das zumindest.

Je nachdem um was es sich für dienste handelt würde es sich lohnen zu prüfen ob man die nicht umkonfigurieren kann und die extern gehosteten ressourcen (unter anderem fonts) lokal zu haben.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2403
Location: Germany
PostPosted: Sun Jun 12, 2022 9:03 pm    Post subject: Reply with quote
Hi musv,

Digitalcourage hat jetzt den Server mit einer neuen IP: 46.182.19.48

Wenn du aber schon deren Existenz kennst, frage ich mich warum du Cloudflare oder Speedy nutzt.
Wenn du deinem ISP misstraust, empfehle ich Digitalcourage - die haben jetzt auch einen D(NS)O(ver)T(SL): 5.9.164.112
Quelle: https://digitalcourage.de/support/zensurfreier-dns-server

Wenn du beiden nicht so recht trauen willst und einige Anfragen hast, kannst du mit unbound und dnscrypt-proxy einen Dienst aufsetzen der IP-Adressen cached und bei den Root-Servern auflösen lässt und diesen Deinst auch via DNS over HTTPS im LAN bereit stellt.

Hier noch ein kurzer Anriss warum es wichtig ist:
Hintergrund: https://media.ccc.de/v/Camp2019-10213-doh_or_don_t

Es hilft aber nicht gegen Anwendungen und Apps, die sofort den (Appeigenen) DNS-Service nutzen. Die IT-Riesen nutzen halt bewusst immer öfter auch Browser, die beim Dienst in der Cloud nach DNS-Infos nach fragen statt es über das Betriebssystem oder lokale Netzwerk aufzulösen. So fallen einfach viel mehr Informationen zur Analyse bei Nutzung der App oder des Internets an, die sich halt verkaufen lassen.

Wenn du mal Zeit hast, solltest du es dir genauer anschauen.
Back to top
View user's profile Send private message
musv
Advocate
Advocate


Joined: 01 Dec 2002
Posts: 3369
Location: de
PostPosted: Mon Jun 20, 2022 11:12 am    Post subject: Reply with quote
Hi, danke für die Infos. Ich hab die IP von Digital Courage angepasst und Cloudflare sowie Speedy in der Liste weiter unten angeordnet.

Mir geht's gar nicht so sehr um Privatsphäre oder Misstrauen. Unabhängige DNS-Server sind für mich einfach die Sicherheit, dass bestimmte URLs nicht per DNS-Sperre "geblockt" werden.

Unbound will ich nicht aufsetzen. Das wäre wohl zuviel des Guten. Es geht hier um mein Heimnetzwerk. Ich verwende ja schon dnsmasq, da DHCP + Bind unnötig groß wären.

Die Gründe für den eigenen DNS-Server:
  • Werbeblocker für das Netzwerk. Spart mir die Addons bei jedem einzelnen Browser
  • VHosts für den heimischen Webserver (Mediawiki, NFS, TV-Headend)
  • Umgehung von potentiellen DNS-Sperren durch den Provider
  • Und zusammen mit dem DHCP-Teil: Zuweisung von IP-Adressen der lokalen Rechner + Rechner im Familien-VPN
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum



 Links: forums.gentoo.org | www.gentoo.org | bugs.gentoo.org | wiki.gentoo.org | forum-mods@gentoo.org

Copyright 2001-2025 Gentoo Foundation, Inc. Designed by Kyle Manna © 2003; Style derived from original subSilver theme. | Hosting by Gossamer Threads Inc. © | Powered by phpBB 2.0.23-gentoo-p11 © 2001, 2002 phpBB Group
Privacy Policy