Merkwürdiges Internet-Netzwerk-Phänomen

[berkman]

Hallo alle,

erstmal sorry für den nichtssagenden Titel: Mir fiel nichts besseres ob der Komplexität des Themas ein.

Wir hatten im Haus ein merkwürdiges Internet-Netzwerk-Phänomen, das ich euch hier schildern will, obwohl ich es – ungeduldig wie wir sind – auf radikale Art und Weise "gelöst" habe: Ich habe den Router auf die Werkeinstellungen zurückgesetzt. Die Ursachen und Gründe für das Problem habe ich noch nicht herausgefunden. Ich bin nicht mal annähernd ein Netzwerk-Experte...

Folgendes Szenario:

Anbieter: Unity Media
Router: Fritz Box 6490 Cable

Am Router hängen per Lan-Kabel 5 Desktop-Rechner und Laptops (alle mit Debian 10 oder Ubuntu LTS) und ein Netzwerkdrucker.
Per W-Lan greifen hauptsächlich Smartphones (Android und LineageOS) und Laptops (Debian und Ubuntu) darauf zu.
Am Router hängt ein Raspberry Pie 3, auf dem Pi-Hole v.5.0 läuft.

Nun hatten wir seit ein paar Tagen folgende Situation:

Alle Smartphones (LineageOS und ein normales Android-Gerät) zeigten an "Verbunden, kein Internet". Sie wurden aber im Pi-Hole-Webinterface und im Fritzbox-Interface angezeigt. Auch konnten z.B. Messenger-Nachrichten gesendet und empfangen werden. Webseiten aufrufen funktionierte aber nicht. EIN einziges Smartphone mit einem normalen Android hatte Internet-Zugang. (Korrektur: Plötzlich hatte ein weiteres Smartphone (/e/-OS, basierend auf Lineage OS) Internetzugang.)

Die Rechner – egal ob per LAN oder WLAN – konnten nur mit eingeschaltetem VPN auf alle Webseiten zugreifen. Schalteten wir das VPN aus, kamen wir plötzlich nicht mehr ins Netz, bzw. nicht auf die meisten Seiten: Ohne VPN konnte ich manche Seiten aufrufen, manche nicht. Z.B. ging https://www.lineage-os-forum.de/ nicht, https://framasoft.org/en/ funktionierte aber. Bei LineageOS sagte mir der Browser im Adressfeld "Fehler bei Namensauflösung" (Ich denke, hier irgendwo lag der Hund begraben.).
Die Einstellungen im VPN erlaubten dies aber ausdrücklich. Emails mittels Thunderbird und Chatnachrichten (Gajim) konnten verschickt und empfangen werden. Pingten wir 1.1.1.1 an, funzte das.
Das VPN war nicht in der Fritzbox oder auf dem Raspberry konfiguriert, sondern eine Software des Anbieters lief auf den Endgeräten.

Zunächst dachte ich, das Pi-Hole sei schuld. Aber auch mit abgehängtem Raspberry und zurückgesetzter Fritzbox (also wieder die Fritzbox-IP als lokalen DNS-Server eingetragen; die anderen, eingetragenen DNS-Server beließen wir: Digital Courage und noch einer) änderte sich nichts an dem Verhalten.

Kann durch ein FritzBox-Update so ein Verhalten ausgelöst werden? Wir hatten seit Monaten nichts in den Einstellungen – weder im Router, noch in Pi-Hole – verändert. Alles lief völlig zuverlässig.
Was ich zudem nicht verstehe, ist, dass manche Geräte ins Netz kamen, andere aber nicht, unabhängig vom Betriebssystem. Auch die Sache mit dem VPN verstehe ich nicht.

Habt ihr Ideen? Kennt ihr so ein Verhalten?

Gespannt auf eure Antworten, berkman

[TomL]

Ich hatte am Wochenende das gleiche.... völlig verrückt und zuerst völlig unerklärbar. Alle DNS-Abfragen wurden vom PiHole völlig korrekt beantwortet, man konnte das im 'tail log' sauber verfolgen. Auf den Clients konnte ich einen Ping ins WWW senden... wenn ich dazu den Domain-Namen genommen habe, war die Antwort "kein Netzwerk", obwohl Pihole die DNS-Anfrage völlig korrekt beantwortet hat. Habe ich hingegen die IP-Adresse in Pihole manuell kopiert und damit anstatt des Domain-Namens den Ping ausgeführt, war der Ping fehlerfrei. Im Browser ließen sich keine Web-Seiten aufrufen. Mein Fazit: DNS ist kaputt... ich wusste halt nur noch nicht, wo.

Das Problem war sofort behoben, als ich zunächst zum Testen in der Fritte zurück auf die Provider-DNS-Server gewechselt bin, und es war wieder erneut vorhanden, als ich zurück auf Pihole als DNS-Server gewechselt bin. Weder ein Restart von Pihole noch der Neustart des Systems haben das Problem beseitigt. Das Problem war endgültig gelöst, als ich den von Kuketz empfohlenen DNS-Server 'digitalcourage' rausgeschmissen habe und auf einen anderen freien gewechselt bin. Zwischenzeitlich habe ich nämlich festgestellt, dass digitalcourage auch nur Strato ist und somit wieder 1&1 ist und das der Server eine ziemliche miese statistische Verfügbarkeit hat.

Ob das jetzt bei Deinem Problem hilft, weiss ich nicht... aber ich würde mal die eingetragen DNS-Server in pihole kontrollieren und einfach zum Testen mal andere wählen:

Code: Alles auswählen

cat /etc/pihole/setupVars.conf | grep PIHOLE_DNS

[irgendwas]

DigitalCourage bzw. das Rechenzentrum hatte am Wochenende ein paar Probleme: https://digitalcourage.social/@digitalc ... 2786219715

[berkman]

Hallo TomL und irgendwas,

danke für den Hinweis auf Digital Courage. Genau deren DNS-Server hatte ich ja auch im Pi-Hole eingetragen und soweit ich mich erinnere keinen zweiten: Wollte ich immer mal noch machen und habs dann nie getan. Das würde das Verhalten teilweise erklären. Pi-Hole konnte auf keinen Ausweichserver zugreifen.

Aber die anderen Merkwürdigkeiten sind für mich damit nicht erklärt.

[mat6937]

Aber die anderen Merkwürdigkeiten ...

Welche andere Merkwürdigkeiten meinst Du?

BTW: Es gibt ja auch OSs(-Versionen), Software und Firmware(-Versionen), die als fallback (oder für bestimmte Funktionenen) hardcodierte DNS-Server oder immer die DNS-Server das ISP benutzen bzw. nach Änderung der Konfiguration, nicht sofort die neuen DNS-Server benutzen bzw. evtl. noch Eintragungen aus einem Cache benutzen.

[berkman]

Hey mat6937,

danke für deine Antwort.

Welche andere Merkwürdigkeiten meinst Du?

Naja, dass manche Geräte ins Netz kamen, die meisten aber nicht. Dass die Rechner nur noch per VPN ins Netz kamen, ohne aber nicht. Für ersteres scheint deine Erklärung zu passen. Für zweiteres vielleicht, dass unser VPN-Anbieter einen eigenen DNS-Server hat?

[mat6937]

..., dass unser VPN-Anbieter einen eigenen DNS-Server hat?

Ja, aber das kann man testen/prüfen, indem _nur_ der Zugang zum Port 53 via VPN ermöglicht wird und man mit tcpdump (oder gleichwertig) schaut, ob Traffic über das VPN-Interface zum Port 53 stattfindet (... wenn man eine Namensauflösung macht, die mit Sicherheit nicht in einem DNS-Cache ist). Evtl. auch mit diversen dns-leack-online-tools testen.

[berkman]

Hey mat6937,

ich hab mich vielleicht missverständlich ausgedrückt: Ich weiß, dass unser VPN-Anbieter einen eigenen DNS-Server betreibt.

Aber: Warum konnten wir chatten und Emails verschicken? Findet da keine DNS-Auflösung statt? Wenn ich jetzt Gajim starte, verbindet sich einer meiner Accounts z. B. mit dem Server von jabber.at. Warum funktionierte das? Warum konnte ich per Thunderbird auf mein Posteo-Konto zugreifen und Mails empfangen und versenden? Auch hier steht ja zwischen mir und der anderen Person ein Server.

[irgendwas]

Vermutlich wegen dem TTL und dem lokalen cache. Manche Anwendungen cachen auch nochmal selber, unabhängig vom Betriebssystem. Siehe https://timmehosting.de/dns-ttl-time-to-live-anpassen

[wanne]

ging https://www.lineage-os-forum.de/ nicht, https://framasoft.org/en/

Klingt ein bisschen so, als ob IPv6 tut aber ipv4 nicht.
So mal zum debuggen.

Kannst du mal die ausgaben davon her geben:

Code: Alles auswählen

host google.com
dig debianforum.de @8.8.8.8
dig debianforum.de @2001:4860:4860::8888

Code: Alles auswählen

ip r
ip -6 r

Als root:

Code: Alles auswählen

nmap -6 -p 80,443,22,50 2a01:4f8:200:22a4::2
nmap -p 80,443,22,50 144.76.154.165
ping -c 3 144.76.154.165
ping -c 3 2a01:4f8:200:22a4::2

[berkman]

Hey wanne,

danke für deine Ideen, aber ich kann das ja jetzt nicht mehr reproduzieren, da ich die Fritzbox – wie oben geschrieben – zurückgesetzt habe. Ich habe inzwischen den Raspberry Pie 3 neu aufgesetzt und Pi-Hole wieder installiert. Als DNS-Server habe ich jetzt zwei andere genommen.

Falls es wirklich an dem Wochenendtrouble bei Digitalcourage lag, bringen deine Versuche ja jetzt nichts mehr, oder? Hier läuft alles wieder zuverlässig. Mir ging es ja nur darum, das Ganze im Nachhinein zumindest ein bischen nachvollziehen zu können.

[mat6937]

Aber: Warum konnten wir chatten und Emails verschicken? Findet da keine DNS-Auflösung statt?

Da findet schon eine DNS-Auflösung statt. Du könntest als 1. einen DNS-leak-Test machen und wenn dieser nichts findet, als 2. den Zugang zu den von dir konfigurierten DNS-Server temporär blocken und mit einem Sniffer schauen, von wo dann die DNS-Auflösung kommt.