Fritz!OS 7.20 und DNS-Dot

Begonnen von Cypheros, Oktober 25, 2020, 00:25:43

« vorheriges - nächstes »

Cypheros

Hier ein Erfahrungsbericht zur neuen Fritz!OS Software 7.20 und der Möglichkeit DNS über TSL abzusichern.

Das klingt erstmal ganz gut aber in der Realität schaft man sich damit viele Probleme. Ich kann nicht sagen ob es an der Fritzbox liegt, der Software oder an den Providern (Cloudflare, Quad9, etc.), die DNS über TSL anbieten. Nach der Umstellung passiert es immer wieder, dass man im Browser (Firebox, Chrome, Edge, etc.) die Fehlermeldung bekommt, dass die Webseite nicht gefunden werden kann, selbst bei Google.de oder Amazon.de. Erste wenn man es noch 10 bis 20 mal wieder versucht, erscheint die Seite dann irgendwann. Die übliche TTLs werden nicht berücksichtigt und schon nach 1 bis 2 Minuten ist die Seite plötzlich wieder nicht zu finden.

Wer also ähnlich Problem hat, sollte Dot für DNS wieder deaktivieren und die Box neu starten.

Mam

#1
Zitat von: Cypheros am Oktober 25, 2020, 00:25:43
Hier ein Erfahrungsbericht zur neuen Fritz!OS Software 7.20 und der Möglichkeit DNS über TSL abzusichern.
Neu ? ? ? ?  ;D
Das ist doch schon seit Monaten veraltet, aktuell ist 7.23. (oder höher, ich bin aus dem Rennen ausgestiegen, die brausen mit Macht in die falsche Richtung)

(Ich dachte eigentlich, auf dem Dorf wären nur die Übertragungsraten niedrig, nicht auch noch ein Timewarp ins letzte Jahrhundert...)

Aber ist schon richtig erkannt: die "advanced Features" der Fritzbox werden mehr und mehr zum Plagegeist und produzieren mehr Probleme, als sie lösen.

Und, solange man nur IPV4 hat, ist DOT eh relativ sinnlos. Du versteckst Dich ja eh schon hinter einer NAT Adresse, da bringt DOT auch nicht viel mehr "Sicherheit".

Bei V6 (wenn es nicht von der Fritzbox stammt, denn die macht irgendwie V5.5 daraus) ist es schon ratsamer, aber, da gibt es einfachere und sauberere Lösungen, z.B. ein kleiner Pi-Hole in der Ecke (oder auf einer Linux Kiste, die eh läuft).

Man sollte sich allerdings von vornerein darüber klar sein, dass DOT lahm wie Hund ist. Statt nur 2 kurze UDP Pakete auszutauschen (oder ein paar mehr, wenn man sich von der TLD runterhangeln muss) braucht es hier eine TCP Verbindung, einen Schlüsselaustausch, einen Schlüsseltest und dann die ganze Ver- und Entschlüsselung um dieselben paar UDP Pakete wie zuvor zu übertragen. Und da die TTLs künstlich abgesenkt werden, passiert das so 10 bis 100mal häufiger, als normal.
Über den Tag gerechnet haben wir etwa ein Verhältnis des Datenvolumens von 1 zu 100000.
Also: sehr effizient :-)
Und besonders geeignet für lahme Leitungen :-)

Sinnvoller wäre es, den DNS Server Deines Providers zu benutzen, der löst rekursiv für Dich auf, cached und spart massig Traffic.
Ob nun die Telekoma, Unitymedia oder sonst ein Provider weis, wo Du rumsurfst, macht keinen großen Unterschied zu Google, Facebook, Cloudflare & Co

DOT dient eigentlich nur dazu, direkt DEINE Daten zu bekommen, statt sie lästig über Referrer usw. ermitteln zu müssen.


Cypheros

Naja, eigentlich sollte Dot ja dazu da sein die DNS-Anfragen zu verschlüsseln, damit niemand von aussen mitlesen kann, welche Seiten du besuchst.

Du hast Recht, die Verschlüsselung nimmt tatsächlich viel Zeit in Anspruch. Hab ein kleines Tool gebastelt, dass die Anfragen misst und man kommt auf auf 30 bis 600ms für eine Antwort. Das macht das Surfen wirklich träge.
Was aber viel schlimmer ist, dass man immer wieder "Seite nicht gefunden" bekommt, da die Adressen viel zu kurz gecached werden. Bei cypheros.de hab ich die TTL zum Beispiel auf 86400 stehen, was einem Tag entspricht. Die IP müsste als einen Tag lang im DNS-Cache bleiben. Das funktioniert aber bei Aktivierung von DNS-Dot in der Fritzbox nicht, die springt dann auf 60. Also alle 60 Sekunden muss die IP-Adresse zeitaufwändig neu angefragt werden.

Mam

Zitat von: Cypheros am Oktober 25, 2020, 08:21:45
Naja, eigentlich sollte Dot ja dazu da sein die DNS-Anfragen zu verschlüsseln, damit niemand von aussen mitlesen kann, welche Seiten du besuchst.
Du glaubst auch jeden Marketing Gag, wa?
:-*

Im Prinzip stimmt die Aussage, nur überleg mal genau was "von aussen" (bzw. das Gegenteil davon) ist.
Welches Interesse haben Firmen wie Google & Co Deine Daten abzusichern?
Na ja, hauptsächlich, damit sie alleinigen Zugriff drauf haben und die Konkurenz in die Röhre guckt.

Ich hab mir das mal selber gebaut (also einen DOT Server ohne Google & Co), die TTLs kann man natürlich selber festlegen, ich hab die Originale durchgereicht. Aber trotzdem hat mich die Latenz von 15ms doch arg genervt (bei einer 1Gb/s Synchron Leitung!). Aber schneller bekommt man den Schlüsselaustausch nicht hin.
Habe dann mal mit einer "Standleitung" (also einem HTTPS Feed, der möglichst niemals beendet wird und immer Abragen annimmt und Ergebnisse zurückliefert) experimentiert, das funktioniert sehr flott und sauber (nur ein Schlüsselaustausch / Check am Verbindungsanfang, erst bei Abbruch muss wiederholt werden), entspricht aber keiner Norm und ist auch nicht wirklich skalierbar (wenn Server Millionen von Verbindungen offenhalten sollten, dann tut ihnen das nicht gut).

Auf jeden Fall ist dieser DOT Ansatz eine echte Fehlentwickung.

Cypheros

#4
Hab mal den DNS-Resolver hochgeladen. Damit kann man die Response-Zeit messen, für eine DNS-Anfrage.
Man sieht dann sehr schön, wie lange die Antwort bei unterschiedlichen DNS-Servern dauert oder wie Google ständig seine IPs ändert.



Download: https://cypheros.de/files/tools/DNSResolver.exe

Mam

#5
Zitat von: Cypheros am Oktober 25, 2020, 13:58:15
Hab mal den DNS-Resolver hochgeladen. Damit kann man die Response-Zeit messen, für eine DNS-Anfrage.
Man sieht dann sehr schön, wie lange die Antwort bei unterschiedlichen DNS-Servern dauert oder wie Google ständig seine IPs ändert.
Sorry Jungspund, Du bist da ein Opfer der weichgespülten Müsliprogrammierer Generation  ;D

Das, was Du da als vermeindlichen Fehler zu sehen glaubst, ist völlig korrektes Verhalten.

Etwas Nachhilfe für die Wissenslücke findest Du hier https://de.wikipedia.org/wiki/Round_Robin_(Informatik)#Beispiel_Lastenverteilung_Domain-Server

Das ist ein elementares Feature von DNS, gibt es seit Version 1.0 und Google benutzt es vorbildlich!

Die meisten "verplanten" Netze heute verstecken das Round Robin meist hinter einem zentralen Eingangsproxy/Firewall. So wird nach Aussen nur eine Adresse sichtbar. Das geht aber bei wachsender Größe schnell in die Hose und es verhindert auch z.B. redundante Leitungsführung. In ernsthaften Umgebungen ist das ein absoluter NoGo.
Beispiele, wie man es nicht machen sollte, findet man leide genügend. Z.B die meisten Webhoster machen so einen Mist und wundern sich dann, wenn die Karre vor die Wand fährt.

Was bei Deinem Beispiel eher Anlass zur Sorge gibt, ist, dass Du mehrmals hintereinander dieselbe Adresse wiederbekommst. Das darf eigentlich nicht sein, offensichtlich fragt Dein Tool die fremden Server nicht direkt ab, sondern hat irgendwo noch einen Cache dazwischen.

Das Tool ist so leider völlig unbrauchbar, sorry.

Ach ja, noch ein kleiner Tipp: 8.8.8.8 ist gar kein richtiger Nameserver :-)
frag lieber nsX.google.com (X von 1 bis 4), die liefern richtige Daten.


www.cypheros.de