Seit gestern kein DNS over TLS / DoT mehr

Layer8 · October 02, 2021, 12:33:17 AM

Moin.

Ich versteh die Welt nicht mehr.

Ich hab zwei Telekom-DSL-Anschlüsse mit Telekom als Provider laufen. Beide in der gleichen Stadt. Beide Sites haben opnsense als Router. Beide sites waren über unbound mit DNS over TLS konfiguriert und liefen seit Wochen/Monaten mit DoT stabil. Die Konfig hat schon viele Updates mitgemacht, noch mehr reboots und ich hab in den Tagen bzw. 1-2 Wochen bevor das Problem auftrat nix mehr an den Sensen gemacht.

Bei beiden Anschlüssen ging gestern plötzlich keine DNS-Auflösung mehr. Gut, zuerst dachte ich die DoT-Server von digitalcourage seien down. Also hab ich sie durch die von digitale gesellschaft ersetzt, aber die funktionierten auch nicht.

Ich muss den Haken vom DoT-Server entfernen, damit ich wieder DNS-Auflösungen im Internet hab. Auf beiden Sites.

Hat jemand ne Ahnung, wie das von jetzt auf gleich passieren kann?

Wie soll ich das debuggen?

Als es auftrat war 21.7.2 installiert, jetzt die aktuelle 21.7.3_3.

Bin leider etwas ratlos.

KHE · October 02, 2021, 09:05:37 AM

Hi,

wenn du die,Zertifikate der nicht funktionierenden DoT Server überprüfst, bin ich sicher, die haben Let's Encrypt Zertifikate: https://forum.opnsense.org/index.php?topic=24972.msg119847#msg119847.
Es gibt verschiedene Lösungen:

Reboot reicht.
die Lösung von Felix, das Root CA von LE hinzuzufügen: https://forum.opnsense.org/index.php?topic=24950.msg119873#msg119873
der Vorschlag von mimugmail, der bei mir funktionierte: https://forum.opnsense.org/index.php?topic=24950.msg119700#msg119700

Gruß KH

chemlud · October 02, 2021, 10:58:52 AM

Die beiden DoT Server habe ich u.a. auch in meiner Konfiguration. Ich habe noch ein paar mehr hinzugefügt, seither läuft's wieder mit DoT.

Last resort: 9.9.9.9 . Der ist meistens deaktiviert, aber zum probieren, wenn die anderen Probleme machen eine gute Option...

Layer8 · October 03, 2021, 08:31:02 PM

Vielen Dank für die Hilfe.

Hab die Vorschläge von oben nach unten durchgemacht und beim zweiten hats funktioniert.

Frage zum DoT von Unbound:

Kann man irgendwo nachlesen wie Unbound die Resolver handelt, wenn mehrere in der DoT-Liste eingetragen und angehakt sind? Arbeitet Unbound die Liste von oben nach unten ab und nimmt immer den ersten der geht? Was passiert wenn da mal einer ausfällt?

Ich hatte nämlich so das Gefühl, dass Unbound nicht so wirklich von selbst Quad9 genutzt hat als die andere nicht funktionierten.

chemlud · October 03, 2021, 09:08:38 PM

Quote from: Layer8 on October 03, 2021, 08:31:02 PM
...
Frage zum DoT von Unbound:

Kann man irgendwo nachlesen wie Unbound die Resolver handelt, wenn mehrere in der DoT-Liste eingetragen und angehakt sind? Arbeitet Unbound die Liste von oben nach unten ab und nimmt immer den ersten der geht? Was passiert wenn da mal einer ausfällt?

Ich hatte nämlich so das Gefühl, dass Unbound nicht so wirklich von selbst Quad9 genutzt hat als die andere nicht funktionierten.

Gute Frage!

Mal die verbosity von unbound auf 3 setzen und staunen. Oder

dnsleaktest.com

und die Server mal alle paar Minuten abfragen. Ich erkenne keine Regelmäßigkeiten, v.a. wenn man über Stunden/Tage schaut.

Layer8 · October 04, 2021, 05:19:58 PM

Danke für die Website, kannte ich noch nicht.

Unbound scheint laut der Seite immerhin alle aktivierten DoT-Server zu nutzen.

chemlud · October 04, 2021, 06:13:43 PM

...logs im Auge behalten. Und immer mal wieder testen. Wie gesagt: Ich erkenne kein Muster, mal finde leaktest 2, mal 8 server...

Seit gestern kein DNS over TLS / DoT mehr

Layer8

October 02, 2021, 12:33:17 AM

KHE

October 02, 2021, 09:05:37 AM #1

chemlud

October 02, 2021, 10:58:52 AM #2

Layer8

October 03, 2021, 08:31:02 PM #3

chemlud

October 03, 2021, 09:08:38 PM #4

Layer8

October 04, 2021, 05:19:58 PM #5

chemlud

October 04, 2021, 06:13:43 PM #6