Habe den Beitrag aktualisiert. Entwarnung wegen der SERVFAIL-Meldungen. Aber keine Entwarnung wegen DNSSEC. Da hat AVM in Fritz!OS 7.57 offenbar einen Bock geschossen.
Außerdem scheint die neue OS-Version sich mit meinen Firefox (117.0 via Flatpak) nicht vertragen. Seit dem Update auf 7.57 zeigt das Web-Interface (auch bei deaktivierten Erweiterungen) keine Icons mehr an, sondern nur noch deren Namen. Vgl. Screenshot. Mit Web (ehem. Epiphany) werden die Icons angezeigt.
@kuketzblog es hiess doch vor dem Sicherheits Update schon es wird im einem zukünftigen Update behoben. Ich hätte also den DNSSec fix mit 7. 57 erwartet.
Also DNSSEC ist in Kombination mit Fritz!OS 7.57 definitiv broken. Bei den SERVFAIL-Meldungen bin ich mir noch unsicher. Es wird zwar als SERVFAIL angezeigt, jedoch scheint die Auflösung in die IP-Adresse dennoch zu funktionieren.
@kuketzblog Meinst du DNSSec zwischen FritzBox und PiHole oder DNSSec von der FritzBox in das Internet?
DNSSec in das Internet funktioniert bei mir mit der neuen Firmware 7.57
@kuketzblog Sind die Fails lokale Dienste? Da hab ich nach intensivem Suchen festgestellt, dass lokale IP Adressen halt nicht aufgelöst werden und man die in der Liste "DNS-Rebind-Schutz" aufnehmen muss. Bei mir waren es die IPv6-Adressen aus dem Subnetz, die als "intern" gewertet werden.
@kuketzblog Ich bin mir nicht sicher, was ich von DNSSEC in seiner derzeitigen Form halten soll. Ich bin vor einer Weile auf DNSCrypt(-Proxy) umgestiegen, damit fühle ich mich recht wohl.
Das ganze gibt es auch als Docker Container, also ist der "Betrieb" recht problemlos zu bewerkstelligen.
Auf der Fritzbox ist der DNSCrypt-Proxy als DNS-Server ohne Fallback eingetragen, funktioniert gut. https://github.com/DNSCrypt/dnscrypt-proxy
@kuketzblog Läuft bei genauso ohne Probleme. Allerdings zwischen Pihole und Fritzbox nur DNS unverschlüsselt.
Die Fritzbox macht dann verschlüsseltes DNS in das Internet.
@kuketzblog
Bei mir hat das Problem letztes Wochenende dazu geführt, dass ich Unbound installiert habe und mir die DNS-Einträge nun darüber hole. Den Workaround DNSSEC zu deaktivieren hatte ich dabei auch herausgefunden. Mit Unbound kann diese Funktion nun aber aktiviert lassen.
Insgesamt war ich erstaunt, wie einfach Unbound für die Nutzung mit dem PiHole einzurichten ist.
@fleck@kuketzblog schließe mich da an. Welchen Zweck / Hintergrund hat ein Upstream DNS anstatt einfach Queries mit der Abfolge: fritzbox -> pihole ->Internet/DNS-Server ? Wäre dankbar für nen Hinweise bzw. Wo das erläutert wird. Danke
@kuketzblog@fleck verstehe ich das richtig, das wenn die FritzBox als DNS Upstream arbeitet, die Queries welche die FB selbst (z.B. PushService) erzeugt nicht im Pihole sehe / habe?
@kuketzblog ich habe so ein setup nicht, jedoch weiß ich dass es probleme mit DoT und FB und diesem setup gab. Welche Upstream DNS nutzt die Fritzbox? Die vom ISP? Alles Standard eingestellt?
@kuketzblog
Das läuft bei mir seit Jahren so. An sporadische SERVFAILs kann ich mich erinnern, aber das ist länger her.
Kann es sein, dass es nur mit bestimmten Domains zusammenhängt? Meine mich an sowas zu erinnern...
@kuketzblog Die Probleme mit DNSSEC Validierung verwirren mich.
Ich habe seit Jahren einen lokalen DNSSEC-validierenden Resolver (unbound) auf meinem Laptop am laufen. Schätzungsweise jedes zweite öffentliche WLAN liefert DNS Server aus, die bei den für DNSSEC relevanten RRs falsche Antworten liefern.
Neuere FritzBoxen und SpeedPorts sowie andere moderne Konsumentenrouter machen meiner Erfahrung nach keine Probleme. Es sind v.a. Geräte explizit für öffentliche WLANs verantwortlich dafür.
@kuketzblog
Ich hatte seit Monaten ein vergleichbares Setup gefahren, wobei ich dann im Panel Internet → Zugangsdaten → DNS-Server
Für DNSv4-Server
„Andere DNSv4-Server verwenden“
DNSv6-Server
„Andere DNSv4-Server verwenden“
jeweils zwei alternative Server eintragen.
Zusätzlich habe ich weiter unten bei DNS over TLS (DoT) alle Häkchen gesetzt und als Liste Auflösungsnamen von 4 DoT-Servern eingetragen. In diesem Setup wird DoT bevorzugt, nur bei Nichterreichen sollte ein Fallback auf die oben eingetragenen Standard-DNS-Server erfolgen.
In pihole ist die Fritz-Box auch als Upstream-DNS-Server eintragen sowie pihole in der Fritzbox für DHCP als DNS-Server. Das Setup hat bisher auch reibungslos funktioniert, seit dem Update auf FRITZ!OS:7.57 ist da aber etwas kaputt.
@kuketzblog ich hab das ganze andersherum gelöst, indem die FritzBox weiterhin als DNS Server per DHCP announced wird, aber selbst Pi-Hole zum auflösen verwendet. So fliegt nämlich auch nicht die lokale Namensauflösung um die Ohren wenn das Pihole kaputt ist
Add comment