Provider DNS nutzen oder nicht?

[Tom_123]

Hi,

SInd das die DNS Server Vodafone? Oder eher von UM? Hat jemand die DNS Server VF?

Die vom Provider verwendeten DNS Server unterscheiden sich von CMTS zu CMTS. Wenn du die Provider-DNS Server verwenden wilst, solltest du diese automatisch von der Fritz!Box beziehen lassen.

Warum kann ich den Server nicht anpingen?

Ganz einfach: UM hat ICMP an ihrer Firewall geblockt

 

[boba]

Naja z.B. das ist eine Störung, die durch alle Medien ging. Und ich habe jetzt nur in diesem Jahr gesucht:
https://www.spiegel.de/netzwelt/web...oerung-a-28a8d2c5-d0fc-4dd3-8536-00b32821d26d

Und da war die Ursache nämlich genau der DNS-Server von Vodafone (bzw. ex-UM)...
Bei mir hat jedenfalls das Internet mit dem Google DNS den ganzen Tag funktioniert.

Ich kann diesem Artikel und keinem der diversen dort weiter verlinkten entnehmen, dass die DNS Server die Ursache für den Ausfall gewesen sind. Die Beschreibung dort drin lautet: "Aufgrund eines Softwareproblems habe ein Server, der den Internetverkehr steuere, nicht wie gewohnt funktioniert. Dadurch komme es sporadisch zu Überlast-Situationen."

Auch wenn die technische Info dreimal durch die Stille Post von Technik zu Öffentlichkeitsarbeit gedreht wurde und bis zur Unverständlichkeit verstümmelt ist, ich kann diese Beschreibung nicht auf einen DNS Server beziehen. Ein DNS Server steuert nicht den Internetverkehr, und durch den Ausfall oder die Fehlfunktion eines DNS Servers kommt es auch nicht zu Überlast-Situationen. Im Gegenteil: wenn ein DNS Server ausfällt, dann können Verbindungen nicht aufgebaut werden, damit können keine Daten übertragen werden, und damit sinkt die Auslastung der Leitungen.

Die Beschreibung deutet vielmehr auf ein Routing-Problem hin. Und zwar in der Art und Weise, dass einige Router innerhalb des Vodafone-Netzes die Daten nicht zu den korrekten Peering-Points ins Internet geleitet haben. So dass einige Peering-Points oder interne Leitungen überlastet worden sind. Normal haben Router eine zentral konfigurierte Routingtabelle, und das Problem war möglicherweise der zentrale Steuerungsserver, der die Routingtabellen generiert und an die Router verteilt. Das würde zu der Beschreibung passen, aber nicht DNS-Server.

Dass bei dir das Problem behoben war, als du Google DNS Server eingetragen hast, könnte Zufall gewesen sein: zufällig war in etwa zur selben Zeit auch die Router-Störung behoben worden. Oder du warst von der Störung überhaupt nicht betroffen, denn es war offenbar nicht komplett Vodafone betroffen, sondern den Berichten zufolge waren "nur" ca. 500000 Kunden betroffen. Auch kann es sein, dass wenn es ein Routerproblem gewesen ist, eine Zeitlang dauert, bis das Problem nach Behebung tatsächlich keine Auswirkungen mehr hat. Es dauert möglicherweise eine Zeit, bis der korrigierte Server korrigierte routing-Tabellen erstellt hat, an die Router verteilt hat, die Router das appliziert haben, sich dann der Datenverkehr wieder normalisiert hat, und dann am Ende die Leute auch feststellen, dass das Internet wieder funktioniert. Dieser ganze Zeitraum dürfte bestimmt auch schon 1-2 Stunden dauern.

 

[Holzlenkrad]

Dann habe ich das mit einer anderen Großstörung in den letzten Monaten verwechselt, die definitiv durch den DNS-Server verursacht war. Leider ist es wegen dieser nichtssagenden Presseaussagen seitens des Providers echt schwer nur darüber die Ursache zu erkennen. Ich suche nochmal eine Quelle...

 

[boba]

Warum kann ich den Server nicht anpingen?

Ping wird ausgeführt für 80.69.96.12 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.

Offensichtlich wird von einer Firewall ping-Datenverkehr geblockt. Das ist eine Maßnahme zur Härtung (zum Schutz) der DNS Server, z. B. vor DDOS-Angriffen. Die DNS-Server werden vor jeglichem Datenverkehr abgeschirmt, die nicht der DNS Namensauflösung dienen.
Wenn du jetzt sagst, dass das bei den Google DNS Servern aber anders ist, dann weißt du nicht, wie die Hardware dort aussieht, und welches Gerät beim Google-DNS den pings antwortet, und welches Gerät beim Google-DNS die DNS-Anfragen beantwortet. Den ping beantworten könnte z.B. der Loadbalancer, der auf 8.8.8.8 sitzt, und die DNS-Anfragen eine Serverfarm von DNS-Servern, an die der Loadbalancer die Abfragen reihum verteilt.

 

[__QT__]

Ich suche einen schnellen, stabilen und sicheren DNS-Sever.

Hast Du denn mal mit dem DNS Benchmark Tool experimentiert an Deinem Anschluß? Was sind die Ergebnisse?

 

[tq1199]

Offensichtlich wird von einer Firewall ping-Datenverkehr geblockt. Das ist eine Maßnahme zur Härtung (zum Schutz) der DNS Server, z. B. vor DDOS-Angriffen. Die DNS-Server werden vor jeglichem Datenverkehr abgeschirmt, die nicht der DNS Namensauflösung dienen.

Was bei den DNS-Server von VF auffällt ist, dass diese nicht per TCP erreicht werden können, was aber manchmal schon erforderlich ist bzw. wäre:

:~$ host -v -T heise.de 80.69.96.12
Trying "heise.de"
Trying "heise.de"
;; connection timed out; no servers could be reached

:~$ host -T heise.de 9.9.9.9
Using domain server:
Name: 9.9.9.9
Address: 9.9.9.9#53
Aliases:
heise.de has address 193.99.144.80
heise.de has IPv6 address 2a02:2e0:3fe:1001:302::
heise.de mail is handled by 10 relay.heise.de.

 

[krosscheck]

Hast Du denn mal mit dem DNS Benchmark Tool experimentiert an Deinem Anschluß? Was sind die Ergebnisse?

Ergebnis:

 

[dsaw]

Komisch hab mal dieses das Tool heute bei mir mal laufen lassen und muss sagen das unitymedia besser von der Performance ist wie claudfare

 

[sch4kal]

Komisch hab mal dieses das Tool heute bei mir mal laufen lassen und muss sagen das unitymedia besser von der Performance ist wie claudfare

Surprise Surprise, der DNS des Providers innerhalb seines AS ist schneller als der Cloudflare DNS der in einem anderen AS läuft

 

[MartinP_Do]

Ist ja alles eh nur noch Auslaufmodell, bis DNS over HTTPS überall aufgezwungen wird ...

Die Provider mit ihren DNS-Servern scheinen sich ein Zubrot mit dem Datenschatz, den die DNS-Anfragen ihrer Kunden bedeuten zu verdienen. Sie opponieren jedenfalls gegen DNS over HTTPS ...

 

[boba]

Irgendwie freut es mich, wie das Tool die so hochgelobten Google und Cloudflare dns etwas entzaubert. Es verdeutlicht die realen Gegebenheiten, die manch einer aus den Augen verliert, wenn er unbedingt einen externen DNS Server verwenden will ohne zu wissen warum.

Es hat schon seinen Grund, wieso man vorzugsweise den DNS Server verwenden sollte, den der eigene Internetprovider zur Verfügung stellt. Der ist nunmal "am nächsten" dran am eigenen Anschluss. Er kann sogar performanter sein als ein lokal selbstbetriebener DNS Server, der zwar gecachte Abfragen superschnell liefert, aber bei nicht gecachten Daten die rekursive DNS Abfrage über die WAN Strecke durchführen muss, die mit ihren oftmals 2-3 einzelnen Abfragen dann deutlich länger als die direkt am Backbone sitzenden Provider-DNS benötigt.

Andererseits bewegen sich die Unterschiede der 10-20 performantesten Server im einstelligen Millisekundenbereich. Das ist nicht unbedingt etwas, was einen deutlich hemmt. Da sind die heutigen Antwortzeiten der ganzen dynamisch zusammengebastelten Webseiten viel zu hoch.

 

[Jingoro]

ich habnen pi.hole laufen und nutze die dns server von dns.watch

für die liste:


84.200.69.80
resolver1.dns.watch
No Logging, DNSSEC enabled

84.200.70.40
resolver2.dns.watch
No Logging, DNSSEC enabled

2001:1608:10:25::1c04:b12f
resolver1v6.dns.watch
No Logging, DNSSEC enabled

2001:1608:10:25::9249:d69b
resolver2v6.dns.watch
No Logging, DNSSEC enabled


Google und Cloudfare nutzen ECS (Extended Client Subnet) - EDNS

https://developers.google.com/speed/public-dns/docs/ecs

nicht das das nutzen von google dns schon schlimm genug ist ECS macht es schlimmer

 

[krosscheck]

So sieht das mit den von dns.watch aus:



Noch vor Cloudflare und Google.

 

[Jingoro]

ist das jetzt gut oder schlecht? ich werd aus der grafik nicht schlau

 

[krosscheck]

Die Grafik zeigt die schnellsten DNS an. Also hier, an meinem Anschluss, kann bei Dir anders aussehen.

 

[Jingoro]

da macht sich dns.watch garnicht so schlecht oder sehe ich das falsch?

 

[krosscheck]

Sieht gut aus, siehst Du richtig.

 

[Bigdog71]

Ich benutze mittlerweile Pihole und unbound im Docker setup auf einem Raspberry.

Bis unbound (rekursiver DNS Server gegenüber den Root-Servern) den ersten Cache angelegt hat ist es langsamer als andere DNS Server, aber 30% geblockte Anfragen vom Pihole und dann der Cache von unbound ist verdammt schnell.

Generell würde ich wenigstens Cloudflare oder ein anderen DNS Server nehmen, da Vodafone ja schon gerichtlich gezwungen wurde zu zensieren...

 

[boba]

Wenns unbedingt ein externer DNS Server sein muss, dann würde ich aus dem ex-Unitymedia-Netz heraus auch Cloudflares DNS bevorzugen. Der andere Kandidat wäre Google gewesen, aber es scheint so zu sein, das zufälligerweise Google ein klein wenig schlechter ans Vodafone-Netz angebunden ist als Cloudflare, und so wäre als Cloudflare ein klein wenig schneller. Cloudflares Geschäftsmodell ist außerdem weltweites verteiltes Bereitstellen von Content, also auch genau das, was ein DNS Server macht. Es ist also genau das Kerngeschäft von Cloudflare, damit deren Kern know-how, damit kein nebenbei-Dienst, sondern deren ureigenstes Geschäft. Damit ist es hinreichend geeignet, verwendet zu werden.

 

[Servior]

Was sagen Latenzen beim DNS schon aus? Selbst wenn die Provider-DNS schneller antworten, dadurch werden diese nicht zwingend besser.
Hier spielen andere Faktoren rein, welche meiner Ansicht nach höher gewichtet sind:

- Verfügbarkeit: Unitymedia/Vodafone hatte hier schon Ausfälle, läuft meiner Ansicht nach auch nicht wirklich stabil. Die anderen Provider kann ich nicht einschätzen. Google, Cloudflare, etc. schätze ich von der Verfügbarkeit jedenfalls höher ein.

- Datenschutz: Google verarbeitet die Anfragen ziemlich sicher, bei den anderen großen Anbietern weiß ich es nicht, gehe aber davon aus. Je nach Provider vertraue ich diesem auch nicht mehr als Google.

- Zensur: Die öffentlichen Anbieter zensieren meines Wissens nach nicht. Provider-DNS haben jedenfalls schon zensiert, z.B. Vodafone in Bezug auf die Boerse. Wer weiß was noch alles zensiert wird, teils auch ohne gerichtliche Anordnung.

 

[__QT__]

Was sagen Latenzen beim DNS schon aus? Selbst wenn die Provider-DNS schneller antworten, dadurch werden diese nicht zwingend besser.

Genau aus dem Grund hatte ich weiter oben auch schon nachgefragt, was denn unter "besser" im Einzelfall zu verstehen sei. Für mich ist beim DNS auch die Latenz und die Geschwindigkeit eher zweitrangig. In dem Bereich gewinne ich auch keine "Blumentöpfe". Dagegen gewichte ich auch eher die Aspekte höher, die Du nennst: Verfügbarkeit, Zensur, Datenschutz

 

[dsaw]

Vodafone sperrt aber nur im DSL Bereich bzw in den 13 bundesländer. Oder machen die das auch schon im ex unitymedia Gebiet?

 

[Nachtwesen]

Nein, bisher keine Zensur im UM Gebiet.

 

[tokon]

Hab bis jetzt mit den UM DNS jede Seite erreicht und einen Ausfall hab ich auch noch keinen mitbekommen.

 

[lupus]

Vodafone sperrt aber nur im DSL Bereich bzw in den 13 bundesländer. Oder machen die das auch schon im ex unitymedia Gebiet?

Und im Mobilfunk. Und ich denke ex-UM ist auch irgendwann dran.