[gelöst] Wie Nutzung alternativer DNS-Nameserver?

[hikaru]

Hallo,

ich habe zwangsweise nach über 15 Jahren meinen Internetanbieter gewechselt. Beim Alten hatte ich eine dynamische IPv4-Adresse und Alles funktionierte.
Beim Neuen bekomme ich eine IPv6-Adresse und der scheint ganz krude Sachen mit seinem DNS-Server zu machen. Ein Großteil meiner Ziele im Netz (Mailprovider, Arbeitgeber, alternative Suchmaschinen) sind darüber nicht zu erreichen.

Nun sind meine Netzwerkkentnisse eher als rudimentär zu bezeichnen. Immerhin habe ich es geschafft, einen alternativen IPv6-Nameserver in meine resolv.conf einzutragen, genauer den Ersten aus der CSV-Liste von [1].
Meine naive Vorstellung war nun, dass ich einfach noch einen IPv4-Nameserver meiner Wahl dazu packe, und dann Alles schick wäre. Demnach sieht meine (per chattr -i geschützte) resolv.conf jetzt so aus:

Code: Alles auswählen

domain box
search box
nameserver 2a02:2970:1002::18
nameserver 94.247.43.254
#nameserver 62.117.5.126
#nameserver 217.68.168.14

Die ersten beiden, aktiven Nameserver sind meine selbstgewählten aus [1], die beiden letzten, auskommentierten sind die Nameserver meines ISP.
Leider habe ich so gar keinen Zugriff auf IPv4-Ziele. Die IP hatte ich auch schon gegen mehrere andere aus der Liste getauscht. Aktiviere ich hingegen wieder die Nameserver meines ISP, so habe ich wieder dessen handverlesenen Zugriff auf's Netz, der mir aber in der Praxis wenig bringt.

Muss ich noch irgendetwas konfigurieren, um überhaupt einen alternativen IPv4-Nameserver nutzen zu können?

Auf einem parallel getesteten Kubuntu-Livesystem sieht die resolv.conf übrigens so aus:

Code: Alles auswählen

nameserver 127.0.0.53
options edns0 trust-ad
search box

Das Ergebnis ist das Gleiche: Nur sehr eingeschränkter Zugriff auf's Internet.


[1] https://www.ungefiltert-surfen.de/

[heisenberg]

Probiere doch erst mal die Namensaufllösung ohne resolv.conf, also z. B. mit dig aus dnsutils:

Code: Alles auswählen

dig www.deinserver.de @DNS-SERVERNAME-ODER-IP

Damit kannst Du ja mal durchtesten, was so geht:

Code: Alles auswählen

dig www.debianforum.de @2a02:2970:1002::18

IPv6-Nameserver gehen natürlich nur, wenn Du im LAN auch v6 aktiv hast.

Ansonsten auch mal mit nmap schauen, ob der Weg zu den DNS-Servern frei ist:

Code: Alles auswählen

# tcp
nmap -p53 DNS-SERVERNAME-ODER-IP
# udp
nmap -sU -p53 DNS-SERVERNAME-ODER-IP

Hin und wieder habe ich das erlebt, das Anfragen zu externen DNS-Servern geblockt sind.

[hikaru]

Ansonsten auch mal mit nmap schauen, ob der Weg zu den DNS-Servern frei ist:

Code: Alles auswählen

# tcp
nmap -p53 DNS-SERVERNAME-ODER-IP
# udp
nmap -sU -p53 DNS-SERVERNAME-ODER-IP

Danke für den Hinweis! Es scheint, als sei der primäre DNS-Server meines ISP down. Der Zweite ist zwar erreichbar, aber offenbar wird der nicht genutzt, wenn der Erste in der resolv.conf aktiv ist.
Das akute Problem ist damit gelöst. Ich würde alllerdings gern noch verstehen, warum der eine Nameserver den anderen "blockiert", bzw. wie ich dafür sorgen kann, dass mehrere genutzt werden.

[cosinus]

Hi hikaru,

wenn externen DNS, dann würde ich Quad9 und OpenDNS empfehlen:

Code: Alles auswählen

2620:fe::fe
2620:119:35::35

[tobo]

Was dein Problem angeht - vielleicht hilft das weiter:
https://wiki.debian.org/resolv.conf

Meine DNS-Konfiguration erfolgt seit Debian-Generationen in /etc/dhcp/dhclient.conf und hat dort Zeilen am Ende, wie z.B.

Code: Alles auswählen

prepend domain-name-servers 185.150.99.255, 5.1.66.255;          ## Freifunk München (dot.ffmuc.net)
##prepend domain-name-servers 185.95.218.42, 185.95.218.43;      ## Digitale Gesellschaft (dns.digitale-gesellschaft.ch)
##prepend domain-name-servers 91.239.100.100, 89.233.43.71;      ## Censurfridns Denmark (anycast.uncensoreddns.org und unicast.uncensoreddns.org)

, welche Werte in /etc/resolv.conf überschreiben würden.
Nach Änderungen ein `service networking restart' oder Vergleichbares ausführen.

[heisenberg]

Ich meine die Namserver werden gemäß der Reihenfolge in resolv.conf genutzt. Wenn der erste down ist, gibt's einen timeout - ca. 20 Sekunden - und dann wird der zweite gefragt.

[mat6937]

.... wie ich dafür sorgen kann, dass mehrere genutzt werden.

Das geht mit der Option "rotate" in der resolv.conf. Wenn bei der Abfrage vom 1. DNS-Server ein _timeout_ (oder gleichwertig) kommt, wird der 2. DNS-Server befragt. Wenn beim 1. DNS-Server aber eine (negative) Antwort kommt, z. B. "xyxy.com" has no A record, wird der 2. DNS-Server nicht mehr befragt und das auch dann nicht, wenn der 2. DNS-Server eine positive Antwort liefern könnte.

[hikaru]

Danke für die verschiedenen Hinweise! Ich werde das heute Abend ausprobieren.

[QT]

aus "man 5 resolv.conf":

Code: Alles auswählen

nameserver IP-Adresse des Name-Servers
       Die Internet-Adresse eines Name-Servers, den der Resolver abfragen soll, entweder ei‐
       ne  IPv4-Adresse (in Punkt-Notation) oder eine IPv6-Adresse in Doppelpunkt- (und mög‐
       licherweise Punkt-)Notation gemäß RFC 2373. Es können bis zu MAXNS (derzeit 3,  siehe
       <resolv.h>)  Name-Server  angegeben  werden,  einer  je Schlüsselwort. Werden mehrere
       DNS-Server angegeben, wird sie der Resolver in der angegebenen Reihenfolge  abfragen.
       Sind  keine nameserver-Einträge vorhanden, wird standardmäßig der Name-Server des lo‐
       kalen Systems angesprochen. (Der Algorithmus ist der folgende: Der  Resolver  richtet
       eine  Anfrage an einen Name-Server und versucht es nach einer Zeitüberschreitung beim
       nächsten, bis alle Einträge abgearbeitet sind. Danach wird die Liste wieder von vorne
       abgearbeitet, bis die maximal zulässige Anzahl von Versuchen erreicht wird.)

Und 'rotate' macht mMn was anderes, als oben beschrieben. Eher eine generelle "Durcheinanderverteilung" der Anfragen:

Code: Alles auswählen

rotate Diese Option setzt RES_ROTATE in _res.options, was eine Reihum-Auswahl der Na‐
       me-Server aus der Liste zur Folge hat. Auf diese Weise werden die Anfragen auf
       alle  aufgeführten Server verteilt, anstatt dass alle Clients sich zunächst an
       den ersten aufgeführten Server wenden.

[mat6937]

Und 'rotate' macht mMn was anderes, als oben beschrieben. Eher eine generelle "Durcheinanderverteilung" der Anfragen:

Die Beschreibung in der manpage für rotate. Ist nicht ganz richtig. Kannst ja mal testen, mit z. B . tcpdump oder gleichwertig, was rotate macht bzw. bewirkt.

[oln]

Moin,
ich hatte ähnliche Probleme, als mein Provider der Meinung war mich auf DS-Lite umzustellen.
Das machen die ganz gerne um IPs(v4) zu sparen. Schau mal in deinen Router. Da steht es bei DSL-Info drin.
Bei mir hat geholfen dort anzurufen und gebeten habe das bitte rückgängig zu machen.
Gründe sind dort VPN Probleme(Home-Office) zu nennen.

[hikaru]

ich hatte ähnliche Probleme, als mein Provider der Meinung war mich auf DS-Lite umzustellen.
Das machen die ganz gerne um IPs(v4) zu sparen. Schau mal in deinen Router. Da steht es bei DSL-Info drin.

DSL wird hier gerade abgerissen (und Glasfaser ist noch nicht da). Daher der gezwungene Anbieterwechsel auf Kabel.

Bei mir hat geholfen dort anzurufen

Meine bisherigen Kontakte waren eher ernüchternd:
Ich: "Ihr primärer DNS-Server ist nicht erreichbar. Könnten Sie das bitte an die Technik weitergeben?"
Sie: " ... ... ... und sonst so? "

Man bemüht sich. Oder wie ein Comedian den Habitus von durch die Flure eilenden Star-Trek-Extras mal beschrieb: "energisch aber sinnlos"

und gebeten habe das bitte rückgängig zu machen.
Gründe sind dort VPN Probleme(Home-Office) zu nennen.

Da ich Neukunde bin ist hier nichts rückgängig zu machen. VPN funktioniert zum Glück, seitdem ich den DNS auskommentiert habe, wie (bisher) auch alles andere.

[KP97]

Daher der gezwungene Anbieterwechsel auf Kabel.

Dann ist es sicher Vodafone. Ich habe als alte Bestandskundin noch eine ipv4 Adresse, aber Du könntest in die resolve.conf mal Folgendes eintragen:

Code: Alles auswählen

nameserver 192.168.0.1 
nameserver 81.210.129.4 

Das funktioniert zumindest bei mir, zu VPN kann ich allerdings nichts sagen, nutze ich nicht. Einen Versuch wäre es wert.
Ich lasse mein Netzwerk über systemd managen in /etc/systemd/network mit der Datei 60-kabel.network

Code: Alles auswählen

#[Match]
#Name=e*

[Match]
MACAddress=dc:fe:07:e1:77:22

[Network]
DHCP=yes
 

Wäre auch eine Überlegung...

[mat6937]

Dann ist es sicher Vodafone.

Lt. seinen IP-Adressen ist es PYUR (TeleColumbus).

[KP97]

@mat
ah so, kannte ich noch nicht...

[QT]

Lt. seinen IP-Adressen ist es PYUR (TeleColumbus).

Bei den Resellern im Kabelbereich (PYÜR, O2 usw) gibt es kein DualStack Anschlußtyp sondern lediglich DSLite. Auch nicht gegen Geld oder gute Worte. Bei Vodafone selbst ist es dagegen gar nicht so schwer, auf DualStack umgestellt zu werden.

[hikaru]

Ich habe jetzt mal alle hier im Thread genannten Nameserver in resolv.conf ausprobiert. Diese vier funktionieren, der Rest nicht:

Code: Alles auswählen

nameserver 192.168.0.1
nameserver 185.150.99.255
nameserver 5.1.66.255
nameserver 217.68.168.14

Der Erste ist natürlich mein eigener Router. Den hatte ich ganz zu Anfang mal als Einzigen eingetragen, bekam damit aber keine Verbindung. Es wäre allerdings denkbar, das gerade zu diesem Zeitpunkt die Zwangstrennung stattfand, die ich offenbar ein- oder zweimal am Tag habe und mehrere Minuten anhält.

Meine DNS-Konfiguration erfolgt seit Debian-Generationen in /etc/dhcp/dhclient.conf und hat dort Zeilen am Ende, wie z.B.

Code: Alles auswählen

prepend domain-name-servers 185.150.99.255, 5.1.66.255;          ## Freifunk München (dot.ffmuc.net)
##prepend domain-name-servers 185.95.218.42, 185.95.218.43;      ## Digitale Gesellschaft (dns.digitale-gesellschaft.ch)
##prepend domain-name-servers 91.239.100.100, 89.233.43.71;      ## Censurfridns Denmark (anycast.uncensoreddns.org und unicast.uncensoreddns.org)

, welche Werte in /etc/resolv.conf überschreiben würden.
Nach Änderungen ein `service networking restart' oder Vergleichbares ausführen.

Verständnisfrage:
Ich habe die erste Zeile an meine ansonsten unveränderte dhclient.conf angehangen, alle nameserver aus meiner resolv.conf gelöscht und dann `service networking restart' ausgeführt. Erwartet hätte ich, dass nun genau diese beiden nameserver in meiner resolv.conf stehen. Allerdings hat sie nun diesen Inhalt:

Code: Alles auswählen

domain box
search box
nameserver 185.150.99.255
nameserver 5.1.66.255
nameserver 217.68.168.14

Woher kommt der dritte Eintrag? Das ist übrigens genau die resolv.conf die ich vor dem dhclient-Versuch angelegt hatte. Aber ich hatte dann ja, wie beschrieben, alle nameserver gelöscht.

[tobo]

Der 3. Eintrag (5. Zeile) ist bei mir die lokale IP des Routers, also die IP, die erstmal verantwortlich für DNS wäre, wenn nichts konfiguriert worden wäre.

EDIT:
Wenn du die Zeile in dhclient.conf wieder auskommentierst, networking restart machst, was steht dann in resolv.conf - die Zeilen 1,2 und 5 von oben?

[hikaru]

Wenn du die Zeile in dhclient.conf wieder auskommentierst, networking restart machst, was steht dann in resolv.conf - die Zeilen 1,2 und 5 von oben?

Ja.
Ich sehe gerade: Das ist ja wieder die IP des (gestern sekundären) DNS-Servers meines ISP. Die 62.117.5.126 bekomme ich heute nicht mehr.

[mat6937]

Allerdings hat sie nun diesen Inhalt:

Code: Alles auswählen

domain box
search box
nameserver 185.150.99.255
nameserver 5.1.66.255
nameserver 217.68.168.14

Woher kommt der dritte Eintrag?

Benutzt Du resolvconf?

Code: Alles auswählen

which resolvconf
apt policy resolvconf

?
Versuch mal auch temporär (und wirksam) mit der Zeile:

Code: Alles auswählen

exit 0

als 2. Zeile (sofort nach der shebang) im Script "/etc/network/if-up.d/resolved".

[hikaru]

Benutzt Du resolvconf?

Nein.