[Eisfair] Fritzbox Firmware 7.2x und DoT
Olaf Jaehrling
eisfair at ojaehrling.de
Mo Okt 12 17:36:03 CEST 2020
Hallo Marcus,
Marcus Röckrath schrieb am 12.10.20 um 14:29:
> Hallo Olaf,
>
> Olaf Jaehrling wrote:
>
>>>> Wenn dem so ist, dann hat es mit den Problemen weniger mit der Fritte zu
>>>> tun. Ich habe unbound auf DoT umgestellt und kann das auch beobachten.
>>>> Anscheinend blocken die Provider IP-Adressen, die oft abfragen.
>>>> Zumindest bei dnsforge und digitalcourage konnte ich genau dieses
>>>> Phänomen nachvollziehen.
>>>
>>> Wieso ist diese "Blockade" nach einem reboot der Fritz oder einem
>>> "Neustart" des DNS-Dienstes sofort weg?
>>
>> Gute Frage. Das habe ich mit meinen DNS-Servern noch nicht probiert.
>> Das teste ich mal aus.
>>>
>>> Nein, ich bekomme durch den Reboot der Fritz keine neue IP.
>
> Hatte weiteren regen Mailaustausch mit einem c't-Redakteur.
>
> Auch er glaubt nicht an eine Art Sperre des DNS-Servers, denn mittels kdig
> war dieser problemlos abfragbar als die Fritzbox den DNS-Dienst quittierte.
hmm, wenn ich mit kdig dann teste bekomme ich cert-Fehlermeldungen
root at NS1:~# kdig -d @185.95.218.42 +tls-ca ojaehrling.de
;; DEBUG: Querying for owner(ojaehrling.de.), class(1), type(1),
server(185.95.218.42), port(853), protocol(TCP)
;; DEBUG: TLS, imported 126 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG: #1, CN=dns.digitale-gesellschaft.ch
;; DEBUG: SHA-256 PIN: amK6e4lPnP+3bOVdh8unyfcLBsCNyPfvHAws+hXCrX4=
;; DEBUG: #2, C=US,O=Let's Encrypt,CN=Let's Encrypt Authority X3
;; DEBUG: SHA-256 PIN: YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is NOT trusted. The name in the
certificate does not match the expected.
;; WARNING: TLS, handshake failed (Error in the certificate.)
;; ERROR: failed to query server 185.95.218.42 at 853(TCP)
die 185.95.218.42 ist von der dns.digitale-gesellschaft.ch
Also Gegenstück die quadnine
root at NS1:~# kdig -d @185.95.218.42 +tls-ca ojaehrling.de
;; DEBUG: Querying for owner(ojaehrling.de.), class(1), type(1),
server(185.95.218.42), port(853), protocol(TCP)
;; DEBUG: TLS, imported 126 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG: #1, CN=dns.digitale-gesellschaft.ch
;; DEBUG: SHA-256 PIN: amK6e4lPnP+3bOVdh8unyfcLBsCNyPfvHAws+hXCrX4=
;; DEBUG: #2, C=US,O=Let's Encrypt,CN=Let's Encrypt Authority X3
;; DEBUG: SHA-256 PIN: YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is NOT trusted. The name in the
certificate does not match the expected.
;; WARNING: TLS, handshake failed (Error in the certificate.)
;; ERROR: failed to query server 185.95.218.42 at 853(TCP)
root at NS1:~# kdig -d @9.9.9.9 +tls-ca ojaehrling.de
;; DEBUG: Querying for owner(ojaehrling.de.), class(1), type(1),
server(9.9.9.9), port(853), protocol(TCP)
;; DEBUG: TLS, imported 126 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG: #1, C=US,ST=California,L=Berkeley,O=Quad9,CN=*.quad9.net
;; DEBUG: SHA-256 PIN: /SlsviBkb05Y/8XiKF9+CZsgCtrqPQk5bh47o0R3/Cg=
;; DEBUG: #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG: SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session
(TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 6915
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1232 B; ext-rcode: NOERROR
;; QUESTION SECTION:
;; ojaehrling.de. IN A
;; ANSWER SECTION:
ojaehrling.de. 300 IN A 207.180.235.46
;; Received 58 B
;; Time 2020-10-12 17:33:59 CEST
;; From 9.9.9.9 at 853(TCP) in 147.9 ms
Certs frisch aktuallisiert:
root at NS1:~# lh /etc/ssl/certs/ca-certificates.crt
-rw-r--r-- 1 root root 194K Okt 12 17:28 /etc/ssl/certs/ca-certificates.crt
Gruß
Olaf
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Mehr Informationen über die Mailingliste Eisfair