Fritzbox und instabiles DoT

Ich habe vor einigen Monaten meine Fritzbox umgestellt. Jetzt funktioniert plötzlich hin und wieder der Zugriff auf pop.web.de nicht. Woran liegt das?

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Dusan Zivadinovic

Ich habe vor einigen Monaten meine Fritzbox auf verschlüsselte DNS-Auflösung mittels DoT (DNS-over-TLS) umgestellt, und lange Zeit lief alles prima. Nun beobachte ich aber, dass hin und wieder der Zugriff auf pop.web.de nicht mehr klappt. Mit Rückstellung auf unverschlüsseltes DNS geht es wieder. Woran liegt das und was kann man da tun?

Mehr von c't Magazin Mehr von c't Magazin

Solche Fehler können verschiedene Ursachen haben. Zum Beispiel kann der in der Fritzbox konfigurierte Resolver vorübergehend überlastet oder schlecht erreichbar sein. Dann verhaspelt sich die Fritzbox und kann DNS-Anfragen selbst dann nicht mehr korrekt auflösen, wenn der Resolver wieder normal reagiert. Es kann auch vorkommen, dass ein Resolver mal keine Antwort für eine bestimmte Domain liefert.

Ob der Fehler beim Resolver oder bei der Fritzbox liegt, prüft man am einfachsten mit dem Linux-Tool "kdig". Öffnen Sie zunächst das Webinterface der Fritzbox und schlagen Sie im Bereich "Internet/Online-Monitor" nach, welchen DNS-Server die Fritzbox gerade befragt. Installieren Sie dann kdig und prüfen Sie den Resolver, den die Fritzbox befragt, nach folgendem Muster:

kdig @Resolver-IP Testdomain +tls

Mit Resolver-IP ist die IP-Adresse des Resolvers gemeint, den die Fritzbox gerade befragt (z. B. 1.1.1.1), Testdomain ist die Domain, die die Fritzbox nicht korrekt aufgelöst hat (z. B. ct.de). Mit dem Schalter +tls stellen Sie ein, dass kdig TLS-verschlüsselt mit dem Resolver kommuniziert.

Wenn Sie vom Resolver für die angefragte Domain weder mit kdig noch mit der Fritzbox eine korrekte Antwort erhalten, dann liegt der Fehler auf Seiten des Resolvers. Entfernen Sie ihn dann einfach aus der Fritzbox-Konfiguration.

Wenn der Resolver auf die Anfrage von kdig eine gültige Antwort liefert (für ct.de lautet die Antwort 193.99.144.80), dann liegt der Fehler bei der Fritzbox. In diesem Fall hilft es, die Box neu zu starten; ein Wiederaufbau der DSL-Verbindung genügt nicht. (dz)