TwoCom Online-Forum

[jochenf]

Ich vermute ein DNS-Problem bei meinem Vigor 2710n. Um das zu prüfen wollte ich mal im Client einen anderen Nameserver eintragen, sodass die Anfragen nicht vom Vigor ausgeführt werden. Ich habe dazu im Client den Server von OpenDNS eingetragen, da man dort schön sieht ob er überhaupt verwendet wird. Im Vigor ist der Nameserver meines Providers aktiv.

Obwohl ich im Client nun OpenDNS eingetragen habe, werden die Anfragen weiterhin von meinem Provider ausgeführt. Kann es sein dass der Vigor alle Anfragen auf Port 53 zunächst auf seinen eigenen DNS-Forwarder umleitet, und nicht erlaubt dass sein eigener Nameserver umgangen wird?

Ich kenne so ein Feature von der Tomato Firmware für Linksys WRT54GL. Dort kann man das aktivieren oder deaktivieren. Beim Vigor finde ich jedoch keine solche Einstellmöglichkeit.

[jochenf]

Der Vigor leitet die Anfragen nicht zu sich um. Irgendwas wurde da auf meinem Mac wohl gecached.

Aber der Router hat definitiv ein DNS-Problem.
Ich habe mir folgendes Script gebastelt:

Code: Alles auswählen

#!/bin/sh
echo OpenDNS
dig @208.67.222.222 $1|fgrep time
echo M-Net
dig @212.18.0.5 $1|fgrep time
echo Draytek
dig @192.168.1.1 $1|fgrep time


Der zweite Server ist der meines Providers, und der wird auch vom Router benutzt.

Ein Testaufruf lieferte z.B. folgendes:

Code: Alles auswählen

dnstest teltarif.de
OpenDNS
;; Query time: 55 msec
M-Net
;; Query time: 44 msec
Draytek
;; connection timed out; no servers could be reached


Obwohl der Provider den Namen sofort auflösen konnte, lieferte der Router keine Antwort.

[nobody]

Mein Kenntnisstand ist, dass der Draytek router, die DNS server, die Du über den Provider per DHCP oder PPPoE bekommst, als DNS server per DHCP weitergibt.

Der Router selber hat keine DNS server funktionalität (in früheren Firmware bzw. Draytek router versionen war das anders, jedoch konnte der resolver des Routers nur A records auflösen, keine MX und anderes, auch gab es probleme bei DNS einträgen die mehr als einen A record hatten).

Ich habe gerade mal einen test gemacht:
Draytek 2900: kann DNS
Draytek 2910: kann kein DNS

Vielleicht ist es auch ein Fehler und gar kein Feature, denn der 2900 den ich testete, bei dem war der DHCP server an.
beim 2910, da ist der aus.

mein 2950, der hat DHCP als relayserver,
und da passiert lustigerweise das folgende:

host1:~] user% nslookup
> server 192.168.49.254
Default server: 192.168.49.254
Address: 192.168.49.254#53
> www.spiegel.de
;; reply from unexpected source: 192.168.49.251#53, expected 192.168.49.254#53
;; reply from unexpected source: 192.168.49.1#53, expected 192.168.49.254#53
;; reply from unexpected source: 192.168.49.1#53, expected 192.168.49.254#53
;; connection timed out; no servers could be reached
>

Erklärung: 192.168.49.254, das ist die IP des 2950. 192.168.49.251 das ist mein DNS server.
Das MacOSX, das mag es nicht, wenn ein DNS server antowortet, den man nicht gefragt hat.
Auch das kann ein grund sein.

[jochenf]

Mein 2710n meldet per DHCP seine eigene IP als DNS Server an den Rechner (192.168.1.1). Also hat er einen DNS-Forwarder.
Aber wenn der nicht fehlerfrei funktioniert bzw. sich nicht an die Standards hält, ist das leider Mist.
Ich habe jetzt als Workaround Dnsmasq auf meinen Macs installiert und nutze den als Forwarder zu OpenDNS. Nun flutscht das surfen in bisher unbekannter Geschwindigkeit.
Schade dass das mit dem Draytekt nicht vernünftig funktioniert. Von einem Router dieser Preisklasse hätte ich mehr erwartet.

[jochenf]

... jedoch konnte der resolver des Routers nur A records auflösen, keine MX und anderes, auch gab es probleme bei DNS einträgen die mehr als einen A record hatten

Sowas in der Art vermute ich auch bei meinem 2710n.
Wenn man das hier liest:
Slow Internet with Leopard
wird einem ganz schwindlig. Probleme mit ipv6, Probleme mit SRV Records, usw. Ja gibts denn überhaupt keine Router die vernünftig funktionieren?

Ich verstehe auch nicht wo für die Hersteller das Problem ist. Mit dnsmasq gibt es einen leichtgewichtigen perfekt funktionierenden DNS caching forwarder. In etlichen freien Firmwares für diverse Router ist der drin und funktioniert wunderbar.

[jochenf]

Jetzt habe ich einen Namen gefunden den der Vigor 2710n absolut nicht auflösen will, auch nach mehreren Versuchen nicht.

Code: Alles auswählen

$ nslookup
> server 192.168.1.1
Default server: 192.168.1.1
Address: 192.168.1.1#53
> name man.eu
;; connection timed out; no servers could be reached
> ^D

$ dig @192.168.1.1 man.eu

; <<>> DiG 9.4.3-P3 <<>> @192.168.1.1 man.eu
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

$ dig @208.67.222.222 man.eu

; <<>> DiG 9.4.3-P3 <<>> @208.67.222.222 man.eu
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29264
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;man.eu.            IN   A

;; ANSWER SECTION:
man.eu.         0   IN   A   67.215.65.132

;; Query time: 73 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Mon Jan  4 13:20:52 2010
;; MSG SIZE  rcvd: 40


[nobody]

komisch:
mein "echter" nameserver kann das aber auch nicht.

einen A record für man.eu gibts nicht
nur für www gibts einen A record

Code: Alles auswählen

[host1:~] user% nslookup
> set querytype=NS
> man.eu
Server:      192.168.49.1
Address:   192.168.49.1#53

Non-authoritative answer:
man.eu   nameserver = pns.dtag.de.
man.eu   nameserver = secondary006.dtag.net.

Authoritative answers can be found from:
secondary006.dtag.net   internet address = 195.244.245.25
> server pns.dtag.de
Default server: pns.dtag.de
Address: 194.25.0.125#53
> set querytype=A
> man.eu
Server:      pns.dtag.de
Address:   194.25.0.125#53

*** Can't find man.eu: No answer
> www.man.eu
Server:      pns.dtag.de
Address:   194.25.0.125#53

Name:   www.man.eu
Address: 151.136.108.86
> server secondary006.dtag.net
Default server: secondary006.dtag.net
Address: 195.244.245.25#53
> set querytype=A
> man.eu
Server:      secondary006.dtag.net
Address:   195.244.245.25#53

*** Can't find man.eu: No answer
> www.man.eu
Server:      secondary006.dtag.net
Address:   195.244.245.25#53

Name:   www.man.eu
Address: 151.136.108.86
> ^D
[host1:~] user% host 67.215.65.132
132.65.215.67.in-addr.arpa domain name pointer hit-nxdomain.opendns.com.
[host1:~] user% host man.eu
man.eu mail is handled by 50 mxb.man.eu.
man.eu mail is handled by 10 mxa.man.eu.



[jochenf]

Komisch. Bei OpenDNS könnte man ja noch ein bisschen "besondere Intelligenz" vermuten, aber auch der Server von M-Net kann die Frage beantworten:

Code: Alles auswählen

$ dig @212.18.0.5 man.eu

; <<>> DiG 9.4.3-P3 <<>> @212.18.0.5 man.eu
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47690
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;man.eu.            IN   A

;; AUTHORITY SECTION:
man.eu.         80959   IN   SOA   wgate1.mn.man.de. root.mn.man.de. 2009112702 86400 7200 3500000 86400

;; Query time: 43 msec
;; SERVER: 212.18.0.5#53(212.18.0.5)
;; WHEN: Mon Jan  4 21:39:09 2010
;; MSG SIZE  rcvd: 81

Der Forwarder im Draytek, der ja im Endeffekt genauso den Server von M-Net nutzt, liefert:

Code: Alles auswählen

$ dig @192.168.1.1 man.eu

; <<>> DiG 9.4.3-P3 <<>> @192.168.1.1 man.eu
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached


Außerdem muss das Nichtvorhandensein eines A-Records sofort zu einer negativen Antwort führen, und nicht zu einem Timeout.

[nobody]

das stimmt alles.
einen "A" eintrag für man.eu gibt es halt nicht - und, muss es ja auch nicht zwingend geben.
( und, draytek sucht eben nach einem "A" record )

Code: Alles auswählen


; <<>> DiG 9.4.3-P1 <<>> -t A man.eu
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44478
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;man.eu.            IN   A

;; AUTHORITY SECTION:
man.eu.         9054   IN   SOA   wgate1.mn.man.de. root.mn.man.de. 2009112702 86400 7200 3500000 86400

;; Query time: 2 msec
;; SERVER: 192.168.49.1#53(192.168.49.1)
;; WHEN: Mon Jan  4 21:52:28 2010
;; MSG SIZE  rcvd: 81

[host1:~] user% dig -t A www.man.eu

; <<>> DiG 9.4.3-P1 <<>> -t A www.man.eu
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4365
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.man.eu.         IN   A

;; ANSWER SECTION:
www.man.eu.      86400   IN   A   151.136.108.86

;; AUTHORITY SECTION:
man.eu.         84422   IN   NS   pns.dtag.de.
man.eu.         84422   IN   NS   secondary006.dtag.net.

;; ADDITIONAL SECTION:
pns.dtag.de.      84533   IN   A   194.25.0.125
secondary006.dtag.net.   7725   IN   A   195.244.245.25

;; Query time: 14 msec
;; SERVER: 192.168.49.1#53(192.168.49.1)
;; WHEN: Mon Jan  4 21:52:47 2010
;; MSG SIZE  rcvd: 136


[jochenf]

einen "A" eintrag für man.eu gibt es halt nicht - und, muss es ja auch nicht zwingend geben.
( und, draytek sucht eben nach einem "A" record )

Wie gesagt, dass darf nicht dazu führen dass er gar nicht antwortet.

[nobody]

Da stimme ich zu !

[nobody]

oder auch nicht,
die auskunft von opendns ist offensichtlich falsch.

denn:

Code: Alles auswählen

[host1:~] user% dig -t A @208.67.222.222 man.eu

; <<>> DiG 9.4.3-P1 <<>> -t A @208.67.222.222 man.eu
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47301
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;man.eu.            IN   A

;; ANSWER SECTION:
man.eu.         0   IN   A   67.215.65.132

;; Query time: 39 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Mon Jan  4 21:59:20 2010
;; MSG SIZE  rcvd: 40

[host1:~] user% dig -t NS @208.67.222.222 man.eu

; <<>> DiG 9.4.3-P1 <<>> -t NS @208.67.222.222 man.eu
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31111
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;man.eu.            IN   NS

;; ANSWER SECTION:
man.eu.         84540   IN   NS   pns.dtag.de.
man.eu.         84540   IN   NS   secondary006.dtag.net.

;; Query time: 22 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Mon Jan  4 21:59:42 2010
;; MSG SIZE  rcvd: 84

[host1:~] user% dig -t A @pns.dtag.de man.eu

; <<>> DiG 9.4.3-P1 <<>> -t A @pns.dtag.de man.eu
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47784
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;man.eu.            IN   A

;; AUTHORITY SECTION:
man.eu.         86400   IN   SOA   wgate1.mn.man.de. root.mn.man.de. 2009112702 86400 7200 3500000 86400

;; Query time: 12 msec
;; SERVER: 194.25.0.125#53(194.25.0.125)
;; WHEN: Mon Jan  4 22:00:02 2010
;; MSG SIZE  rcvd: 81

[host1:~] user%



zwar liefert opendns ein ergebniss auf die frage nach einem "A" record, aber, wenn man bei dtag nachfragt, sieht man, dass es keinen gibt.

[jochenf]

Schon, aber es führt auch bei DTAG nicht zu einem Timeout. Und sowas kann doch in Webseiten immer wieder mal vorkommen, dass URLs enthalten sind die schon lange nicht mehr existieren. Das führt dann jedesmal zu gewaltigen Verzögerungen im Seitenaufbau, weil der Router nicht antwortet.

Und ich hatte auch schon andere Fälle, wo es den A-Record gab und vom Router keine Antwort kam (allerdings nicht reproduzierbar, beim zweiten Versuch klappte es dann immer). Fakt ist: in diesem Zustand ist der DNS-Forwarder nicht brauchbar.

Letztendlich ist es mir auch egal wo der/die Fehler stecken. Bei so einem hochpreisigen Produkt erwarte ich einfach dass es funktioniert.
Seit Monaten jammert mir die Familie vor unser Internet sei so lahm, das würde oft stocken. Ich hab das immer auf den Provider geschoben, schliesslich habe ich ja keine Fritzbox sondern einen gehobeneren Router. Nun bin ich der Sache mal genauer nachgegangen und finde solche Fehler. Und seit ich dsnmasq auf den Macs installiert habe, bzw. auf dem PC der Tochter die openDNS Server manuell eingetragen habe, sind plötzlich alle zufrieden und schimpfen nicht mehr über unser stockendes Internet. Also liegts doch eindeutig am Router, und es ist Sache des Herstellers die Ursachen rauszufinden und abzustellen. Von mir aus können sie dazu dnsmasq einbauen.
Ich werde jedenfalls nicht dafür bezahlt die Fehler gleich mit Lösung auf dem Silbertablett zu präsentieren.

[nobody]

das stimmt natürlich.
(keine ahnung, wie lange der Timeout dauert),
"no answer" wäre jedenfalls richtiger gewesen.

Vielleicht hat man in TW ja noch nicht mitbekommen, dass eine Domain auch einen "A" record haben darf ?

(
Wegen einem 2710n habe ich auch einen jammerbrief vor kurzem geschrieben - seit nun fast einen Jahr ist in der Firmware für DE ein super-Bug drin, der dazu führt, dass eine VPN verbindung mit Agressive mode nicht möglich ist. Ein upgrade auf die Englische Version geht nur, wenn man wirklich beim Gerät ist, remote würde man alles ausser betrieb nehmen.
Draytek DE: schulterzucken....
)

Andererseits: hochpreisig ist das Teil nun nicht gerade. Aber, es kommt ja auch immer auf die sichtweise an, und, was man sich erhofft.

Dennoch funktionieren sollte es, egal was es kostet- zumindest die basics

[jochenf]

(keine ahnung, wie lange der Timeout dauert)

Auf meinem Mac dauert es mit dig 15 Sekunden bis es zum Timeout kommt. Browser machen angeblich auch noch einen zweiten Versuch nach einem Timeout.

hochpreisig ist das Teil nun nicht gerade.

Ein vergleichbarer Router von Linksys, Netgear, D-Link... kostet die Hälfte bis maximal 2/3. Daher erwarte ich bei diesem Preis auch etwas mehr Qualität als bei der Konkurenz. Diese Erwartung hat sich für mich nicht erfüllt.
(zudem musste ich auf das beim Kauf versprochene Feature "USB-Massenspeicher" ein dreiviertel Jahr warten)

In meiner Zweitwohnung bekomme ich demnächst DSL, dort werde ich meinen uralt Linksys WRT54GL (50 Euro) mit Tomato-Firmware aufstellen, der funktioniert jedenfalls zuverlässiger, ist einfacher zu konfigurieren und deutlich komfortabler ausgestattet (die grafischen Auslastungsanzeigen z.B. sind einfach traumhaft, DDNS funktioniert mit jedem Anbieter, nicht nur mit einer handvoll fest einprogrammierter, usw. ).