Aktuell kann der Internet-Zugang von Fritzboxen gestört sein, wenn sie verschlüsselte DNS-Anfragen an bestimmte Resolver des DNS-Anbieters Cloudflare senden.
Bei Fritzbox-Nutzern, die zum Schutz ihrer Privatsphäre die verschlüsselte DNS-Kommunikation aktiviert haben und dafür einen DNS-Resolver von Cloudflare verwenden, kann aktuell der Internet-Zugang gestört sein.
Das Symptom: Geräte, die an solchen Fritzboxen angeschlossen sind und zur DNS-Auflösung die Fritzbox nutzen, können keine Ziele im Internet erreichen (Geräte, die einen anderen Resolver als den in der Fritzbox nutzen, haben kein derartiges Problem).
Der Auslöser: Der in der DNS-over-TLS-Konfiguration der Fritzbox eingetragene Resolver cloudflare-dns.com reagiert zurzeit nicht auf DNS-Anfragen. Bei manchen Fritzboxen scheitert dann die DNS-Auflösung komplett, auch wenn noch weitere Resolver eingetragen sind, die fehlerfrei funktionieren.
Ein Nutzer meldet, dass er das Problem durch Abschalten der Zertifikatsprüfung gelöst habe. Das verbessert zwar die Zuverlässigkeit des DNS-Dienstes, aber so kann die Fritzbox nicht sicherstellen, ob sie ihre DNS-Anfragen tatsächlich an die konfigurierten Resolver schickt (oder an einen, der nur vortäuscht, der konfigurierte zu sein). In Umgebungen mit geringen Anforderungen an die Sicherheit der DNS-Antworten kann man das machen. Ebensogut hilft dann die Funktion "Fallback auf unverschlüsselte Namensauflösung im Internet zulassen". Dann schaltet die Box automatisch auf herkömmliche DNS-Kommunikation im Klartext um, wenn die verschlüsselte Kommunikation aus welchem Grund auch immer scheitert.
Abhilfe: Wenn man weiterhin auf verschlüsselte und vertrauenswürdige DNS-Kommunikation wert legt, sollte man die Zertifikatsprüfung nicht abschalten und auch keinen Fallback auf unverschlüsselte DNS-Kommunikation erlauben. Dann kann man sich am einfachsten behelfen, indem man den aktuell stummen DNS-Resolver aus der Liste streicht. Danach sollte die DNS-Auflösung wieder reibungslos funktionieren. Unter Umständen braucht die Fritzbox noch einen Neustart, um sich wieder zu berappeln.
Cloudflares Problem dürfte nur von vorübergehender Natur sein. Wir haben das Unternehmen benachrichtigt und um Stellungnahme gebeten. Im Internet kursieren diverse Listen von öffentlich zugänglichen Resolvern, die man anstatt des Cloudflare-Resolvers eintragen kann. Empfehlenswert ist die
echo | openssl s_client -connect 'example.com:853'
Mit example.com ist die Domain des Resolvers gemeint, den man prüfen möchte (z. B. dns11.quad9.net), 853 ist die Portnummer, unter der DNS-over-TLS-Resolver normalerweise antworten. Wenn der Resolver antwortet, sollte der Befehl das Server-Zertifikat liefern. Andernfalls meldet OpenSSL nach einer Weile "operation timed out".
Das ist aber nur ein grober Verbindungstest auf TLS-Ebene und kein vollständiger Funktionstest. Linux-, BSD- und Mac-User können dafür das Tool kdig verwenden, um auch konkrete Domainnamen aufzulösen. kdig gehört zur Toolbox knot-dnsutils, die man mit gängigen Paket-Managern installieren kann (z. B. apt oder homebrew). So lässt sich testen, ob ein Resolver DNS-Anfragen auflöst:
kdig @example.com ct.de +tls
Mit example.com ist wiederum die Domain des Resolvers gemeint, den man prüfen möchte (z. B. cloudflare-dns.com). Anschließend folgt der Name einer Domain, den man vom Resolver auflösen lassen will (z. B. ct.de). Mit dem Schalter +tls stellt man ein, dass kdig TLS-verschlüsselt mit dem Resolver kommuniziert. Wenn der Resolver funktioniert, sollte er für ct.de die Antwort 193.99.144.80 liefern.
Quelle; heise
Bei Fritzbox-Nutzern, die zum Schutz ihrer Privatsphäre die verschlüsselte DNS-Kommunikation aktiviert haben und dafür einen DNS-Resolver von Cloudflare verwenden, kann aktuell der Internet-Zugang gestört sein.
Das Symptom: Geräte, die an solchen Fritzboxen angeschlossen sind und zur DNS-Auflösung die Fritzbox nutzen, können keine Ziele im Internet erreichen (Geräte, die einen anderen Resolver als den in der Fritzbox nutzen, haben kein derartiges Problem).
Der Auslöser: Der in der DNS-over-TLS-Konfiguration der Fritzbox eingetragene Resolver cloudflare-dns.com reagiert zurzeit nicht auf DNS-Anfragen. Bei manchen Fritzboxen scheitert dann die DNS-Auflösung komplett, auch wenn noch weitere Resolver eingetragen sind, die fehlerfrei funktionieren.
Ein Nutzer meldet, dass er das Problem durch Abschalten der Zertifikatsprüfung gelöst habe. Das verbessert zwar die Zuverlässigkeit des DNS-Dienstes, aber so kann die Fritzbox nicht sicherstellen, ob sie ihre DNS-Anfragen tatsächlich an die konfigurierten Resolver schickt (oder an einen, der nur vortäuscht, der konfigurierte zu sein). In Umgebungen mit geringen Anforderungen an die Sicherheit der DNS-Antworten kann man das machen. Ebensogut hilft dann die Funktion "Fallback auf unverschlüsselte Namensauflösung im Internet zulassen". Dann schaltet die Box automatisch auf herkömmliche DNS-Kommunikation im Klartext um, wenn die verschlüsselte Kommunikation aus welchem Grund auch immer scheitert.
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Abhilfe: Wenn man weiterhin auf verschlüsselte und vertrauenswürdige DNS-Kommunikation wert legt, sollte man die Zertifikatsprüfung nicht abschalten und auch keinen Fallback auf unverschlüsselte DNS-Kommunikation erlauben. Dann kann man sich am einfachsten behelfen, indem man den aktuell stummen DNS-Resolver aus der Liste streicht. Danach sollte die DNS-Auflösung wieder reibungslos funktionieren. Unter Umständen braucht die Fritzbox noch einen Neustart, um sich wieder zu berappeln.
Cloudflares Problem dürfte nur von vorübergehender Natur sein. Wir haben das Unternehmen benachrichtigt und um Stellungnahme gebeten. Im Internet kursieren diverse Listen von öffentlich zugänglichen Resolvern, die man anstatt des Cloudflare-Resolvers eintragen kann. Empfehlenswert ist die
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, die an der Standardisierung der Technik arbeiten.Schnelle Resolverprüfung
Wenn man später den Cloudflare-Resolver wieder eintragen will, empfiehlt es sich, ihn zunächst zu prüfen. Das geht beispielsweise mit dem OpenSSL-Befehl:echo | openssl s_client -connect 'example.com:853'
Mit example.com ist die Domain des Resolvers gemeint, den man prüfen möchte (z. B. dns11.quad9.net), 853 ist die Portnummer, unter der DNS-over-TLS-Resolver normalerweise antworten. Wenn der Resolver antwortet, sollte der Befehl das Server-Zertifikat liefern. Andernfalls meldet OpenSSL nach einer Weile "operation timed out".
Das ist aber nur ein grober Verbindungstest auf TLS-Ebene und kein vollständiger Funktionstest. Linux-, BSD- und Mac-User können dafür das Tool kdig verwenden, um auch konkrete Domainnamen aufzulösen. kdig gehört zur Toolbox knot-dnsutils, die man mit gängigen Paket-Managern installieren kann (z. B. apt oder homebrew). So lässt sich testen, ob ein Resolver DNS-Anfragen auflöst:
kdig @example.com ct.de +tls
Mit example.com ist wiederum die Domain des Resolvers gemeint, den man prüfen möchte (z. B. cloudflare-dns.com). Anschließend folgt der Name einer Domain, den man vom Resolver auflösen lassen will (z. B. ct.de). Mit dem Schalter +tls stellt man ein, dass kdig TLS-verschlüsselt mit dem Resolver kommuniziert. Wenn der Resolver funktioniert, sollte er für ct.de die Antwort 193.99.144.80 liefern.
Quelle; heise
