Seit gestern kein DNS over TLS / DoT mehr

[Layer8]

 Moin.

Ich versteh die Welt nicht mehr.

Ich hab zwei Telekom-DSL-Anschlüsse mit Telekom als Provider laufen. Beide in der gleichen Stadt. Beide Sites haben opnsense als Router. Beide sites waren über unbound mit DNS over TLS konfiguriert und liefen seit Wochen/Monaten mit DoT stabil. Die Konfig hat schon viele Updates mitgemacht, noch mehr reboots und ich hab in den Tagen bzw. 1-2 Wochen bevor das Problem auftrat nix mehr an den Sensen gemacht.

Bei beiden Anschlüssen ging gestern plötzlich keine DNS-Auflösung mehr. Gut, zuerst dachte ich die DoT-Server von digitalcourage seien down. Also hab ich sie durch die von digitale gesellschaft ersetzt, aber die funktionierten auch nicht.

Ich muss den Haken vom DoT-Server entfernen, damit ich wieder DNS-Auflösungen im Internet hab. Auf beiden Sites.

Hat jemand ne Ahnung, wie das von jetzt auf gleich passieren kann?

Wie soll ich das debuggen?

Als es auftrat war  21.7.2 installiert, jetzt die aktuelle  21.7.3_3.

Bin leider etwas ratlos.

[KHE]

Hi,

wenn du die,Zertifikate der nicht funktionierenden DoT Server überprüfst, bin ich sicher, die haben Let‘s Encrypt Zertifikate: https://forum.opnsense.org/index.php?topic=24972.msg119847#msg119847.
Es gibt verschiedene Lösungen:

• Reboot reicht.
• die Lösung von Felix, das Root CA von LE hinzuzufügen: https://forum.opnsense.org/index.php?topic=24950.msg119873#msg119873
• der Vorschlag von mimugmail, der bei mir funktionierte: https://forum.opnsense.org/index.php?topic=24950.msg119700#msg119700

Gruß KH

[chemlud]

Die beiden DoT Server habe ich u.a. auch in meiner Konfiguration. Ich habe noch ein paar mehr hinzugefügt, seither läuft's wieder mit DoT.

Last resort: 9.9.9.9 . Der ist meistens deaktiviert, aber zum probieren, wenn die anderen Probleme machen eine gute Option...

[Layer8]

Vielen Dank für die Hilfe.

Hab die Vorschläge von oben nach unten durchgemacht und beim zweiten hats funktioniert.

Frage zum DoT von Unbound:

Kann man irgendwo nachlesen wie Unbound die Resolver handelt, wenn mehrere in der DoT-Liste eingetragen und angehakt sind? Arbeitet Unbound die Liste von oben nach unten ab und nimmt immer den ersten der geht? Was passiert wenn da mal einer ausfällt?

Ich hatte nämlich so das Gefühl, dass Unbound nicht so wirklich von selbst Quad9 genutzt hat als die andere nicht funktionierten.

[chemlud]

...
Frage zum DoT von Unbound:

Kann man irgendwo nachlesen wie Unbound die Resolver handelt, wenn mehrere in der DoT-Liste eingetragen und angehakt sind? Arbeitet Unbound die Liste von oben nach unten ab und nimmt immer den ersten der geht? Was passiert wenn da mal einer ausfällt?

Ich hatte nämlich so das Gefühl, dass Unbound nicht so wirklich von selbst Quad9 genutzt hat als die andere nicht funktionierten.

Gute Frage!

Mal die verbosity von unbound auf 3 setzen und staunen. Oder

dnsleaktest.com

und die Server mal alle paar Minuten abfragen. Ich erkenne keine Regelmäßigkeiten, v.a. wenn man über Stunden/Tage schaut.

[Layer8]

Danke für die Website, kannte ich noch nicht.

Unbound scheint laut der Seite immerhin alle aktivierten DoT-Server zu nutzen.

[chemlud]

...logs im Auge behalten. Und immer mal wieder testen. Wie gesagt: Ich erkenne kein Muster, mal finde leaktest 2, mal 8 server...