150065
Goto Top

DNS Server vom ISP untergejubelt?

Hallo zusammen,

seit ein paar Wochen bin ich bei einem neuen ISP (Glasfaser). Nun habe ich endlich ein schnelleres Internet.
Leider gibt es hier und da immer wieder Probleme wie: Ich muss z.B. bei Disney meine IP freischalten lassen, damit ich wieder auf die Seite kann (gibt noch mehr Seiten).

Mein Hauptanliegen ist aber, ich habe eine Fritzbox 7530 vom Provider bekommen.
Nun habe ich dort eigene DNS Server eingetragen. Im Online Monitor werden diese auch angezeigt.
Durch Zufall habe ich in den Logs aber andere DNS Server gefunden - welche, die zum Bereich meines Providers passen.

Ich habe im Internet meinen DNS Server testen lassen und es ist so - der DNS Server des Providers ist aktiv und nicht meine eingegebenen.

Was haltet Ihr davon? Ist das normal? Übersehe ich hier was oder ist das eher nicht die Regel und was kann ich machen?
Ich nutze die Fritzbox nur noch wegen dem Telefon (Dect an Fritzbox). Sonst würde ich da was anderes hinstellen.

Ich habe auch schon andere DNS-Server eingetragen - immer wieder kommt der des Providers.
Und ich habe kein Fallback aktiviert.

Danke face-smile

Content-ID: 41841223953

Url: https://administrator.de/contentid/41841223953

Printed on: December 3, 2024 at 05:12 o'clock

michi1983
michi1983 May 07, 2024 at 15:32:28 (UTC)
Goto Top
Hallo,

es gibt einen TTL für DNS face-wink

Du kannst ja mal die Fritte neustarten und schauen ob die neuen dann ziehen.

Gruß
150065
150065 May 07, 2024 at 15:38:46 (UTC)
Goto Top
Nein, der hat immer noch den selben DNS vom ISP.
Kann das daran liegen, dass ich eine feste IP gebucht habe? Oder ist die Fritzbox so manipuliert, dass die meine Einträge einfach überschreiben?

Gibt es eine andere Möglichkeit, Telefone mit TAE und DECT ohne Fritzbox (SIP-Nummern vom Provider) zu betreiben? Dann fliegt das Ding nämlich raus.
mbehrens
mbehrens May 07, 2024 at 15:40:41 (UTC)
Goto Top
Zitat von @150065:

Ich habe im Internet meinen DNS Server testen lassen und es ist so - der DNS Server des Providers ist aktiv und nicht meine eingegebenen.

Und dieser unbekannte Test nutzt auch den Router als DNS und nicht einen anderen Dienst?
150065
150065 May 07, 2024 updated at 15:45:39 (UTC)
Goto Top
Also dieser Test zeigt zumindest den DNS Server, den ich auch in den LOGs gefunden habe.
Habt Ihr eine gute Seite, die zuverlässig sowas testen kann?
CH3COOH
CH3COOH May 07, 2024 at 15:45:56 (UTC)
Goto Top
Hi,
wo hast du in der Fritzbox deinen Alternativen DNS eingetragen?

Hast du ihn als lokalen DNS-Server konfiguriert unter Netzwerk-> IP-Adressen oder als DNS-Forward Server unter Zugangsart-> DNS-Server ?

Gruß
150065
150065 May 07, 2024 updated at 15:50:32 (UTC)
Goto Top
Unter Internet -> Zugangsdaten ->DNS-Server

Unter Netzwerk ist die Fritzbox selbst als lokaler DNS Server eingetragen
viragomann
viragomann May 07, 2024 at 15:51:33 (UTC)
Goto Top
Hallo,

solange du nicht verschlüsseltes DNS verwendest, ist die Angabe eines DNS Servers lediglich ein Wunsch. Der Provider kann die DNS Requests aber auf einen anderen Server umleiten, ohne das dein System etwas davon merkt.

Du kannst deinen Request auf 1.1.1.1 schicken und die Antwort kommt augenscheinlich auch von da zurück. Tatsächlich aber hat der Server x.y.z des Providers geantwortet.

Grüße
150065
150065 May 07, 2024 at 15:52:51 (UTC)
Goto Top
Ich habe aber DNS over TLS (DoT) aktiviert und auch den Auslösungsnamen des gewünschten Servers eingetragen.
michi1983
michi1983 May 07, 2024 at 15:57:08 (UTC)
Goto Top
Ja, wenn die AVM Gurke das nicht supported, eben im Client manuell die 1.1.1.1. konfigurieren, das sollte dann klappen.

Gruß
viragomann
viragomann May 07, 2024 at 15:59:18 (UTC)
Goto Top
Wenn das SSL Zertifikat verifiziert wird, kann kein anderer Server antworten.

Bei der FritzBox kann ich aber nicht weiterhelfen. Die Settings kenne ich nicht.
150065
150065 May 07, 2024 at 16:01:32 (UTC)
Goto Top
Mein lokaler DNS ist mein ADGuard auf der OPNsense - auf der OPNsense läuft Unbound als Upstream und da habe ich die FB als DNS drin - weil ich dachte, die FB macht das schon richtig.

Also Mein PC Linux -> Adguard -> Opnsense -> Fritzbox

Ok dann versuche ich mal in den OPNsense direkt meinen Wunsch DNS Server einzustellen - vielleicht geht es dann.
Außer mein ISP kann den Verkehr wie oben schon von viragomann erwähnt einfach umleiten.
Dann kann ich ja machen was ich will, oder?
150065
150065 May 07, 2024 at 16:02:30 (UTC)
Goto Top
Zitat von @viragomann:

Wenn das SSL Zertifikat verifiziert wird, kann kein anderer Server antworten.

Bei der FritzBox kann ich aber nicht weiterhelfen. Die Settings kenne ich nicht.

Der Haken bei "Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen" ist gesetzt.
150065
150065 May 07, 2024 at 16:03:44 (UTC)
Goto Top
bildschirmfoto vom 2024-05-07 18-03-01
So sieht das momentan aus.
viragomann
Solution viragomann May 07, 2024 at 16:12:28 (UTC)
Goto Top
Zitat von @150065:

Mein lokaler DNS ist mein ADGuard auf der OPNsense - auf der OPNsense läuft Unbound als Upstream und da habe ich die FB als DNS drin - weil ich dachte, die FB macht das schon richtig.

Ok dann versuche ich mal in den OPNsense direkt meinen Wunsch DNS Server einzustellen - vielleicht geht es dann.
Außer mein ISP kann den Verkehr wie oben schon von viragomann erwähnt einfach umleiten.

Wie gesagt, wenn du DoT verwendest und einen Servernamen angibst, wird OPNsense das Zertifikat verifizieren, und wenn da nicht der richtige Server antwortet, die Antwort nicht akzeptieren.

In OPNsense müssen die Server aber unter Unbound > DNS over TLS gesetzt werden.
150065
150065 May 07, 2024 at 16:14:31 (UTC)
Goto Top
In OPNsense müssen die Server aber unter Unbound > DNS over TLS gesetzt werden

Danke, dann werde ich das mal testen.
Lochkartenstanzer
Lochkartenstanzer May 07, 2024 updated at 16:35:31 (UTC)
Goto Top
Moin,

Der Knackpunkt ist wahrscheinlich

ich habe eine Fritzbox 7530 vom Provider bekommen.

Warum keine eigene sondern eine vom ISP mit verpfuschter Firmware? Ggf. Tr069 abschalten. Vielleicht hilft das.

lks
150065
150065 May 07, 2024 at 17:04:16 (UTC)
Goto Top
TR069 habe ich schon ausgeschaltet - die können nicht mehr drauf. Aber ne andere FB ist evtl. eine Lösung.

ÜÜÜüübringens habe ich nun in der OPNsense DNS over TLS aktiviert und das logging auch eingeschaltet und wenn ich nun eine Seite aufrufe bekomme ich in den LOgs meinen angegebenen DNS Server angezeigt - und auch auf dieser DNS-Test Seite im Internet bekomme ich eine IP-Adresse aus dem Subnetz angezeigt. Nur das letzte Oktet ist anders. Sollte also nun klappen, oder?
Dani
Dani May 07, 2024 at 17:20:36 (UTC)
Goto Top
Moin,
Also Mein PC Linux -> Adguard -> Opnsense -> Fritzbox
warum hast du überhaupt eine eigene AdGuard Instanz? Mit Hilfe eines Plugin könntest du den Service auch auf OPNsense betreiben.

Außer mein ISP kann den Verkehr wie oben schon von viragomann erwähnt einfach umleiten.
Beim ISP nachfragen ist keine Option? Wer ist der neue ISP?


Gruß,
Dani
150065
150065 May 07, 2024 at 17:29:22 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Also Mein PC Linux -> Adguard -> Opnsense -> Fritzbox
warum hast du überhaupt eine eigene AdGuard Instanz? Mit Hilfe eines Plugin könntest du den Service auch auf OPNsense betreiben.

Außer mein ISP kann den Verkehr wie oben schon von viragomann erwähnt einfach umleiten.
Beim ISP nachfragen ist keine Option? Wer ist der neue ISP?


Gruß,
Dani

Ok - von dem Plugin wusste ich nix - ADguard läuft aber auf dem gleichen Rechner wie die OPNsense. Bin von Pihole auf ADGuard umgestiegen, weil ich das sinnvoll fand, die beiden auf dem selben System laufen zu lassen und PiHole unter BSD nicht laufen soll / nicht läuft.

Beim ISP nachfragen ist mir zu stressig. Das ist ein kleines neues Unternehmen bei dem man tagelang niemanden erreicht, weil die mit den Kundenanfragen total überlastet sind. Aber ich wollte unbedingt Gigabit und niemand anderes hatte das hier auf dem Dorf angeboten.
aqui
aqui May 07, 2024 at 18:00:02 (UTC)
Goto Top
Vision2015
Vision2015 May 07, 2024 at 18:34:27 (UTC)
Goto Top
Moin...

Ich nutze die Fritzbox nur noch wegen dem Telefon (Dect an Fritzbox). Sonst würde ich da was anderes hinstellen.

ja, dann lass die Fritte doch als client im Netzwerk für die Telefonie!
deine pfsense kann dann der router sein!

Frank
150065
150065 May 08, 2024 at 09:56:53 (UTC)
Goto Top
Zitat von @Vision2015:

Moin...

Ich nutze die Fritzbox nur noch wegen dem Telefon (Dect an Fritzbox). Sonst würde ich da was anderes hinstellen.

ja, dann lass die Fritte doch als client im Netzwerk für die Telefonie!
deine pfsense kann dann der router sein!

Frank

Hallo und danke für den Tipp.

Mit meiner OPNsense direkt am Internet zu sein - das macht mir ein ungutes Gefühl. Vielleicht bin ich auch einfach nur ein bissl paranoid. Die Idee ist sehr gut - aber vielleicht schalte ich noch einen Mikrotik Router dazwischen - der mir (vielleicht trügerisch) ein bissl mehr das Gefühl von Sicherheit gibt face-wink

Danke und Gruß
aqui
aqui May 08, 2024 updated at 10:05:52 (UTC)
Goto Top
Mit meiner OPNsense direkt am Internet zu sein - das macht mir ein ungutes Gefühl.
Warum? 🤔
Genau dafür wurden Firewall ja bekanntlich gemacht!! Paranoid ist also schon eine gute Selbstdiagnose. face-wink No comment...
Aber auch für solche Kandidaten gibt es natürlich das perfekte Firewall Design.
network-security.
150065
150065 May 08, 2024 at 10:08:00 (UTC)
Goto Top
Und was ist mit den Firewalls für Scriptkiddies und den Brasilianern? Ok ich hab es verstanden face-smile