Unitymedia UM DNS Sehr unzuverlässig

[Dillkr]

Hallo Comunity,

seit vielen Tagen hatte ich häufig Probleme mit dem Seitenaufbau vieler Seiten. Ständig kam die Browsermeldung "Seite nicht erreichbar" und erst mit dem zweiten oder dritten Laden konnte sie dann dargestellt werden. Oft dann auch nur teilweise.

Nun habe ich mir die Zeit genommen und vieles ausprobiert. Dabei hat sich die Vermutung bestätigt, dass es sich um ein DNS Pronblem handelt.

Das Kuriosum; Ausschließlich die DNS Server von UM, die der Connectbox mitgeteilt werden, sind zu bis zu 50% nicht erreichbar.

--- 2a02:908:2a:1 ping6 statistics ---
82 packets transmitted, 44 packets received, 46.3% packet loss
round-trip min/avg/max/std-dev = 10.880/63.378/193.167/62.345 ms

Andere wie Google oder Quad9, funktionieren ohne Probleme.

Da ich den Ping direkt aus der Connectbox absetze, kann ich ein LAN Problem aussließen.

Das würde aber bedeuten, dass mehr Leute das Problem haben dürften.

Der UM Support konnte das nicht bestätigen und schickt mir nun einen Techniker. Ich habe aber große Zweifel, dass der von hier helfen kann.

Hat jemand ähnliche Erfahrungen/Probleme?

Ich habe das nun erstmal so gelöst, dass ich den DNS auf Quad9 umgestellt habe. Zum Glück funktioniert der zweite Router hinter der CB, so dass ich das für alle Geräte im DHCP ändern konnte...

Vielleicht kann ja mal der ein oder andere in NRW einen Pingtest machen.
ping6 2a02:908:2a:1

Grüße
Dill

 

[Menano]

Ist normal. Hab auch immer 50% Paketverlust zum UM DNS Server :winken:

 

[MichaelBre]

Die sind halt scheiße!

 

[why_]

rekursiven resolver im LAN laufen lassen fällt leider bei Nutzung einer Fritzbox und DS-Lite auch flach, beim Computer start haut der so viele anfragen raus das die Fritzbox neustartet. Ich schätze das die Connectbox da nicht besser ist, da quasi selbe Hardware.

 

[Dillkr]

@Menano

:glück: Ja, hab ich mir gedacht und scheiße sind die aus vielen Gründen. Aber das die nichtmal ihr internes Netz im Griff haben finde ich schon hart!

Ich konnte tatsächlich meinen AC68U als resolver einrichten, habe dem aber zusätzlich auchnoch einen anderen peimären root DNS zugewiesen. Falls sich jemand wundert wie ich ich den als Subnetz router hinter die CB bekommen habe: Einfach den Sub Router WAN als DHCPv6-PD Client konfigurieren und dann die CONNECTBOX neu starten. Evtl. muss auch ein Werksreset der CB durchgeführt werden. Nach dem reboot vergibt die CB einmalig ein Sub Präfix an den Sub Router. In den meisten Routern kann dann separat zur DHCPv6 Adresse ein unabhängiger DNS eingetragen werden.

Bin ja mal gespannt, was der Techniker mir am Montag erzählt. :-D

 

[harv]

Kann man in der CB keine DNS-Adressen eintragen? Im TC7200 hatte ich die sofort geändert, als ich zu UM gewechselt war.

 

[Andreas1969]

Kann man in der CB keine DNS-Adressen eintragen?

Nö :winken:

 

[nudeltime]

Bin auch auf DNS.Watch umgestiegen, seitdem keine Probleme mehr. Die sind einfach schlecht!

 

[Gast20846]

Die Unitymedia DNS sind, wie oben steht, totaler Schrott.
Ich nutze entweder:

google DNS: 8.8.8.8
Quad 9 DNS (wenn man Google nicht mag): 9.9.9.9
oder OpenDNS (zwischenzeitlich Cisco, bietet sogar Filterfunktionen): 208.67.222.222

DNS.Watch habe ich mir eben angesehen - davon würde ich abraten. Das Sponsoring via Bitcoin sieht mir sehr nach "an der Steuer vorbei" aus. Außerdem steht dahinter eine Werbefirma und eine IT-Klitsche, die Ihre Website mit einem Startcom Zertifikat verschlüsselt (diese Zertifikate sind nicht mehr vertrauenswürdig). So einem Konstrukt würde ich keinesfalls meine DNS Anfrage anvertrauen. Vom Risiko der Manipulation mal ganz abgesehen.

Gruß
vsnap

 

[articfox]

Die DNS Server von google sind gut?

 

[JPDribbler]

Nutzt lieber DNSCrypt, die vorhandenen DNS Anbieter dort sind bisher sehr schnell und zuverlässig:
https://itsecblog.de/dnscrypt-mehr-sicherheit-und-privatsphaere/

 

[Gast20846]

Oh ja, die sind auf jeden Fall mit die schnellsten. Kannst ja mal nen Namebench oder DNS-Bench installieren, je nach Betriebssystem. Die sagen dir, welcher DNS Server am schnellsten bei dir ist. Quad9 ist eine Alternative hinter der unter anderem IBM steht. Die brüsten sich mit Datenschutz. Google wertet natürlich schon aus, was abgefragt wird.

 

[Gast20846]

Nutzt lieber DNSCrypt, die vorhandenen DNS Anbieter dort sind bisher sehr schnell und zuverlässig:
https://itsecblog.de/dnscrypt-mehr-sicherheit-und-privatsphaere/

DNS-Crypt ist sehr spannend. Imo für den einfachen Anwender too much. Er muss den lokalen DNS Server auf 127.0.0.1 ändern und dann siehts schonmal schlecht mit fritz.box & Co. aus.

Gruß
vsnap

 

[Dillkr]

Danke für den DNSCrypt Tip. Hatte ich mir vo einiger Zeit mal nebenbei angeguckt. Mein RT68U hinter der CB ist mit Merlin ausgesstattet und unterstützt das zumindest. Mal sehen wie das Funktioniert.

Edit: Ups DNSCrypt mit DNSSEC verwechselt. Da muss ich mich doch noch tiefer reinlesen...

Quad 9 bin ich mir auch unsicher. Da steckt ein Konsortium aus Industrie und öffentlichen (US) Einrichtungen wie Kommunen und Polizei hinter. Zumindest was Datatracking betrifft, sollte das sicherer sein als Google. Wenn man also keine Verfolgung durch Behörden oder Geheimdienste befürchten muss, wahrscheinlich keine schlechte option. Bei der Filterung haben die sich zumindest gegen Zensierung ausgesprochen und bieten sogar einen Server ohne Filter an.

Inzwischen war der Techniker da. Super Typ, hat eine schlechte Datenverstärkung festgestellt und hinter den schon vorhandenen, größten verfügbaren Verstärker noch einen Vorverstärker gesetzt. Messsdaten nun super, an meinem Problem aber hat sich erwartungsgemäß nüscht geändert!

 

[Dillkr]

Jetzt verstehe ich übrigens, warum es ein unabhängiges Unitymediaforum gibt! :winken:

Das offizielle Forum auf deren Seite ist ja die Hölle! :wand:

https://community.unitymedia.de/questions/unitymedia-dns-server-unzuverlaessig?page=2

 

[why_]

Das offizielle Forum auf deren Seite ist ja die Hölle! :wand:

Das sind immer die selben die mit dem Quatsch da auffallen, vielleicht werden die ja von Unitymedia bezahlt dafür. Im Telekom Forum sieht das genauso aus.
Für alles was über: "ich hab den Stecker nicht im Router und wunder mich warum nichts geht" hinausgeht sind die Foren der ISPs absolut nicht geeignet. Da funktioniert Grundsätzlich alles und der ISP ist ein heiliger. :hirnbump:

 

[Gast20846]

Bezahlt werden sie nicht, aber sie dürfen sich toll fühlen. Mich wollten Sie als Moderator auch haben. Beim ersten Telefonat wurde mir dann aber sofort klar gemacht, was ich zu tun habe und in welche Richtung ich lenken muss. Habe abgelehnt.

 

[addicted]

Das offizielle Forum auf deren Seite ist ja die Hölle! :wand:

https://community.unitymedia.de/questions/unitymedia-dns-server-unzuverlaessig?page=2

Du machst da auch nicht grade eine gute Figur. Wie war das mit dem Glashaus?

 

[Dillkr]

*doppelpost*

 

[Dillkr]

Das offizielle Forum auf deren Seite ist ja die Hölle! :wand:

https://community.unitymedia.de/questions/unitymedia-dns-server-unzuverlaessig?page=2

Du machst da auch nicht grade eine gute Figur. Wie war das mit dem Glashaus?

Ok, ich bin ja lern und kritikfähig, dann erklär mir doch bitte mal, was ich da anders mache als hier?

 

[Dragon]

Das Kuriosum; Ausschließlich die DNS Server von UM, die der Connectbox mitgeteilt werden, sind zu bis zu 50% nicht erreichbar.

--- 2a02:908:2a:1 ping6 statistics ---
82 packets transmitted, 44 packets received, 46.3% packet loss
round-trip min/avg/max/std-dev = 10.880/63.378/193.167/62.345 ms

Ein Ping sagt allerdings gar nichts über die Qualität des DNS-Servers aus, der muss Ping-Anfragen nicht beantworten.

 

[addicted]

Hier verhälst Du Dich auch so?

Was ist denn das für eine Einstellung, mit der Du da Hilfe in Anspruch nimmst. Leute investieren ihre private Freizeit darein, sich mit Deinem Problem zu beschäftigen, und Du flaumst sie dafür an, scheinbar weil ihre Antwort nicht Deinem Weltbild entspricht.

Ok, zum letzten mal, wenn noch einer so einen Sinnlosen Kommentar abgibt, bin ich hier raus!

Liebesentzug ist Deine Antwort auf Menschen mit anderen Meinungen?
Du bist nicht mehr unser Freund, wenn wir nicht auch die UM-DNS-Probleme sehen und doof finden?

Dein Test, mit ICMP-Ping-Paketen auf den DNS-Server zu schießen, sagt erst einmal rein garnichts über die Funktion der Namensauflösung selbst aus. Das willst du aber nicht hören.
Ab dem Punkt lohnt sich die Diskussion für mich auch nicht mehr.

 

[tq1199]

... einen Pingtest machen.
ping6 2a02:908:2a:1

Versuch mit einem anderen tool, statt mit ping(6). Z. B.:

<i>
</i>:~ $ dig -6 aaaa @2001:67c:28a4:: whitehouse.gov | grep msec -A1
;; Query time: 156 msec
;; SERVER: 2001:67c:28a4::#53(2001:67c:28a4::)

<i>
</i>:~$ dig -4 a @80.69.100.174 whitehouse.gov | grep msec -A1
;; Query time: 15 msec
;; SERVER: 80.69.100.174#53(80.69.100.174)

(oder gleichwertig).

 

[Dillkr]

Hier verhälst Du Dich auch so?

Wo verhalte ich mich hier so? Hier hat mir keiner Inkompetenz und unzureichende Informationen unterstellt ohne meine Grundfrage gründlich zu lesen, entsprechend bedanke ich mich für neue Hinweise!

Was ist denn das für eine Einstellung, mit der Du da Hilfe in Anspruch nimmst. Leute investieren ihre private Freizeit darein, sich mit Deinem Problem zu beschäftigen, und Du flaumst sie dafür an, scheinbar weil ihre Antwort nicht Deinem Weltbild entspricht.

Ich erwarte nur eins; Dass man respektvoll antwortet, ohne gleich Dummheit, Inkompetenz und absichtlich unzureichende Informationen unterstellt!

"Nein wir haben keine Probleme ,weil der Aftr von Unitymedia ist der schnellste, da hat Namensbench auch nicht viel gebracht.Klar, die Konsterlation kennt ja keiner wieder, da liest man nur wieder zwischen den Zeilen, dass es ist ein zusätzlicher Router angeschlossen wurde." (Zitat eines Users im Unitymedia forum gleich als erste Antwort...)

Ich habe explizit angegeben dass der Test aus der CB ab ging und somit unabhängig vom LAN dahinter zu interpretieren ist, also wer antwortet hier freundlich auf eine klar formulierte Frage!?
Und wenn einem die Informationen nicht reichen, dann kann man gerne nachfragen und ich antworte darauf!

Ok, zum letzten mal, wenn noch einer so einen Sinnlosen Kommentar abgibt, bin ich hier raus!

Liebesentzug ist Deine Antwort auf Menschen mit anderen Meinungen?
Du bist nicht mehr unser Freund, wenn wir nicht auch die UM-DNS-Probleme sehen und doof finden?

Zugegeben, ich habe manchmal das Problem, dass ich mich auf das Niveau der Gesprächspartner herunter lasse...
Ich habe damit lediglich klarstellen wollen, dass ich keine Lust habe auf dem Niveau weiter zu diskutieren! Klar hätte man das auch durch die Blume sagen könne, bin ich aber wohl nicht der Typ für...

Wie ich auch bereits dort im Forum geschrieben hatte, war meine Intention nicht zu stänkern, sondern anderen Usern mit ungelösten Verbindungsproblemen einen neuen Ansatzpunkt zu nennen. Desswegen habe ich umso frustrierter reagiert, als man mir indirekt Unwissenheit und Diletantismus unterstellt hat!

Dein Test, mit ICMP-Ping-Paketen auf den DNS-Server zu schießen, sagt erst einmal rein garnichts über die Funktion der Namensauflösung selbst aus. Das willst du aber nicht hören.
Ab dem Punkt lohnt sich die Diskussion für mich auch nicht mehr.

Das mag sein und dem habe ich auch im anderen Forum nicht wiedersperochen, Gestört habe ich mich daran, dass auch der Kommentator dort schon als zweiter, weitere Geräte in meinem Netzwerk als Fehlerquelle angeführt hat (s. oben).
Wenn man der Meinung ist, dass die angewendete Methode ungeeignet ist kann man dann gerne freundlich eine Alternative anbieten, so wie es @tq1199 freundlicherweise macht, statt wild in der Gegend rum zu spekulieren und mit Inbrunst und überheblich falsche Aussagen über IPv6 RFCs zu schwadronieren und so zu tun als wäre man doof.



Also nochmal sachlich zum Thema ICMP Ping;
Auch wenn man nicht davon ausgeht, dass ICMPv6 inklusive echo requests Grundvorgabe der IPv6 RFCs ist, kann man doch von folgender Logik ausgehen:

Wenn der Server auf Ping mit Pong reagiert, blockt er diese offensichtlich nicht und soll vermutlich antworten können.
Wenn unregelmäßig (Jeder 2. oder 3., etc.) Ping nicht mit Pong beantwortet wird, kann man davon ausgehen, dass es ein Problem mit der Kommunikation zwischen Client und Server gibt.
Wenn aber Echo requests an andere Server unter den gleichen Vorraussetzungen problemlos durchlaufen, kann man davon (natürlich nicht zu 100 aber hoher %zahl) ausgehen, dass die Kommunikationsstörung auf den ersten Server beschränkt ist.

Wenn also alle vorherigen Annahmen so berechtigt sind, würde ich zu dem Schluss kommen, dass die Kommunikation grundlegend gestört ist und dementsprechend weitere Versuche auf ebene anderer Protokolle sinnfrei erscheinen. Warum die direkte Kommunikation zwischen Anschlussdose und dem betreffenden Server gestört ist, und ob da noch weitere hops dazwischen liegen ist für mein Empfinden erstmal zweitrangig, denn erwartbar unzuverlässig. Da es sich um einen (für viele Kunden) nicht umgehbaren und für die Netzfunktion notwendigen bestandteil des ISP Netzes handelt, muss dieser handeln, an welcher Stelle auch immer! Ginge es hier um meinen eigenen Resolver und hätte Zugriff auf die dazugehörige Netzinfrastruktur, sähe ich das vermutlich auch anders...

Aber wenn ich da irgendwo falsch liege, bin ich offen für eine Erklärung und mache es nächstes mal besser...

Sorry für die lange Offtopic Disskusion... Kann von mir aus auch gerne nach lesen wieder gelöscht werden...

 

[Dillkr]

... einen Pingtest machen.
ping6 2a02:908:2a:1

Versuch mit einem anderen tool, statt mit ping(6). Z. B.:

<i>
</i>:~ $ dig -6 aaaa @2001:67c:28a4:: whitehouse.gov | grep msec -A1
;; Query time: 156 msec
;; SERVER: 2001:67c:28a4::#53(2001:67c:28a4::)

<i>
</i>:~$ dig -4 a @80.69.100.174 whitehouse.gov | grep msec -A1
;; Query time: 15 msec
;; SERVER: 80.69.100.174#53(80.69.100.174)

(oder gleichwertig).

Hallo tq1199,

danke für deinen Hinweis! Aber wenn ich das richtig verstehe, stellt dig ähnlich wie nslookup eine einzelne Anfrage zur Namensauflösung und misst die responsetime. Richtig?

Da wir hier aber(vermutlich!) das Problem haben, dass 'nur' jede 2. oder 3. Anfrage nicht durch kommt, respektive etwa jede 2. beantwortet wird, ist eine einzelne Anfrage nicht hilfreich. Zusätzlich ist es sogar so, das die Anfragen die beantwortet werden alles andere als langsam sind. Eine Möglichkeit wäre, den dig ähnlich PING sequenziell auszuführen und zu gucken ob alle Anfragen beantwortet werden, oder?

Hast du eine Idee, wie man das umsetzen könnte? Ein loop script vielleicht...