Gelöst
Telekom DNS Server (217.0.43.114) bitte fixen
vor 2 Jahren
Hallo Support,
es geht um die Gruppe der (DoT) DNS Server (dns.telekom.de).
In meinem Gebiet wären zuständig:
217.0.43.113
217.0.43.114
Beim 217.0.43.114 gibt es seit mehreren Tagen, vielleicht sogar Wochen, Auffälligkeiten...siehe Bild.
Zum Vergleich der 217.0.43.113:
Ich bitte sie um Überprüfung u. ggf. Reparatur.
Mit freundlichem Gruß
PrΩmetheµs
10075
25
vor 2 Jahren
es geht um die Gruppe der (DoT) DNS Server (dns.telekom.de). In meinem Gebiet wären zuständig: 217.0.43.113 217.0.43.114
es geht um die Gruppe der (DoT) DNS Server (dns.telekom.de).
In meinem Gebiet wären zuständig:
217.0.43.113
217.0.43.114
Es geht vermutlich um die DNS-Server, die beim Aufbau der PPP-Verbindung als zustaendig uebermittelt werden. Das sind nicht die DNS Server, die sich hinter dem Namen dns.telekom.de verbergen. Ansonsten ist es natuerlich richtig, auf Probleme hinzuweisen. Anhand der Grafik wuerde ich vermuten, dass der Server mit der IP 217.0.43.114 (aus welchen Gruenden auch immer) nachmittags stark belastet bzw. ueberlastet ist. Treten dadurch bei dir wirklich Probleme auf? Befragt dein Rouer (den du doch sicherlich als DNS-Forwarder verwendest) nicht beide DNS-Server paallel und nutzt die Antwort des Servers, der zuerst geantwortet hat?
0
vor 2 Jahren
1. Pings sagen nicht viel aus, da Server für Ping-Antworten die niedrigste Priorität haben.
2. Nutze doch Cloudflare.
21
Antwort
von
vor 2 Jahren
Die Zertifikate sind, wenn sie vollständig vorhanden sind, genau identisch. Das betrifft jeden Telekom DOT Server.
Das Zertifikat bestaetigt den Zusammenhang zwischen Hostnamen und Schluesselpaar (oder auch den Zusammenhang zwischen IP-Adresse und Schluesselpaar). Nun haben die verschiedenen Server unterschiedliche Hostnamen und unterschiedliche IP-Adressen (i.d.R. auch unterschiedliche Schluessel, aber das spielt hier schon keine Rolle mehr, da unterschiedliche Namen und IP-Adressen schon ausreichen muessten, um auf ein anderes Zertifikat zu kommen). Wenn also nicht komplett gepfuscht wurde, *koennen* die Zertifikate nichht identisch sein, da die Server unterschiedliche Hostnamen und unterschiedliche IP-Adressen haben. Das geht gar nicht anders, sofern die Zertifikate zum jeweiligen Server passen. Das muesste jedem klar seiin, der weiss wie Zertifikate funkktionieren, voellig unabhaengig davon, ob er die Implementierungssdetails von DoT kennt oder nicht. Oder ist dir nicht klar, wie TLS funktioniert?
Antwort
von
vor 2 Jahren
Den zweiten Dot Server bekomme ich lustigerweise aus Düsseldorf zugewiesen. Warum? Weil der zweite "DoT Frankfurt Server" keine Sicherheitsheits-Zertifikate besitzt - der in Düsseldorf schon
Den zweiten Dot Server bekomme ich lustigerweise aus Düsseldorf zugewiesen.
Warum?
Weil der zweite "DoT Frankfurt Server" keine Sicherheitsheits-Zertifikate besitzt - der in Düsseldorf schon
Er hat also gar kein gueltiges Zertifikat installiert. Ja, das ergibt Sinn. Haette er eines installiert, waere es mit an Sicherheit grenzender Wahrscheinlichkeit *nicht* identisch mit demm Zertifikat eines anderen DoT Servers. Die Gruende dafuer habe ich in einem anderen Beitrag erklaert.
Antwort
von
vor 2 Jahren
Oder ist dir nicht klar, wie TLS funktioniert?
das ist mir zu 100% klar.
Er hat also gar kein gueltiges Zertifikat installiert. Ja, das ergibt Sinn. Haette er eines installiert, waere es mit an Sicherheit grenzender Wahrscheinlichkeit *nicht* identisch mit demm Zertifikat eines anderen DoT Servers. Die Gruende dafuer habe ich in einem anderen Beitrag erklaert.
Wie schon an anderer Stelle erwähnt, sind es wieder einmal von dir aufgestellten Thesen. Beweise hast du bisher konkret keine geliefert. Aus deiner Sicht kannst du da so viel erklären wie du willst, ob es dann letztendlich auch den Fakten entspricht, steht auf einem anderen Blatt.
Fakt ist:
Es gibt "Zertifikate" welche exakt gleich sind, unabhängig von der DoT IP. Dann gibt es Zertifikate welche sich lediglich im Release Datum unterscheiden. Und genau an der Stelle fängt die erste Unzulänglichkeit schon an.
217.0.43.113 hatte ein anderes Release Datum als 217.0.43.114 (Check Herbst 2022).
Die nächste Unzulänglichkeit ist der Ablauf des Zertifikats, u. dann in diesem speziellen Fall der "Switch" auf den nächst naheliegenden Dot Server mit Zertifikat, unter nicht Beachtung des Load-Balancings.
Das Routing im Bezug auf SSL/TLS, was Du meinst, ist auch ohne DoT aktiv (zumindest in der Theorie). DoT bezieht sich auf die Domain "dns.telekom.de". Und genau hier liegt der Fehler, und die zweite Unzulänglichkeit. Das Zertifikat bei Dot ist "dns-telekom.de" zugeordnet., und wird "(Mutterschiff-mäßig)" auf alles DoT Server "verteilt" oder synchronisiert. Warum dennoch einzelne DoT Server das Zertifikat verlieren, kann ich nicht beurteilen.
Wie auch immer, Du kannst es nicht fixen, ich auch nicht, den Hinweis hat die Telekom nun.
Uneingeloggter Nutzer
Antwort
von
vor 2 Jahren
es geht um die Gruppe der (DoT) DNS Server (dns.telekom.de).
Sind die schon im Regelbetrieb?
0
Akzeptierte Lösung
akzeptiert von
vor 2 Jahren
Inwiefern untersscheiden sich die Zertifikate deiner Ansicht nach? In der Art des Zertifikats? In den verwendeten Algorithmen zur Signierung? Dass die zertifikate ueberhaupt unterschiedlich sind, duerfte normal sein, denn die beiden Server sind ja verschiedene Hosts mit unterschiedlichen Namen ...
Die Zertifikate sind, wenn sie vollständig vorhanden sind, genau identisch. Das betrifft jeden Telekom DOT Server.
Der Unterschied ist ganz einfach erklärt:
Manche haben das "Sicherheits-Zertifikat", u. andere DOT Server eben nicht.
Die Screens stelle ich nur auf Anfrage eines Technikers hier ein.
Und jetzt kommt das "interessante/lustige" an der Geschichte.
wird "dns.telekom.de" eingetragen, bekommt man i.d.R. 2 x (pri./sec.) x Server in Fra, oder 2 x in Ulm, oder 2 x in Düsseldorf, usw. genau das gleiche "Ding" wie ohne DoT.
In meinem Fall ist Frankfurt die Adresse für DNS (mit oder ohne Dot - egal).
Den zweiten Dot Server bekomme ich lustigerweise aus Düsseldorf zugewiesen.
Warum?
Weil der zweite "DoT Frankfurt Server" keine Sicherheitsheits-Zertifikate besitzt - der in Düsseldorf schon
Mir ist das ohnehin Wurst, da ich die zwei Standard ISP -DNS Server (wenn wunderts aus Fra), z.Z. benutze.
Da nun aber der DoT-Verkehr aus Umgebung Frankfurt, nun über nur einen DoT-Server läuft, würde dass ganz genau die Überbelastung zu den Rush-Hour Zeiten im Bild vom 217.0.43.114 passen. Und genau dieser 217.0.43.114 ist auch immer der Aktive, lt. Fritz-Box. Da Düsseldorf einfach 3-4ms weiter weg ist, wird auch nicht gewechselt.
Lt. Telekom ist die DoT Geschichte noch nicht offiziell freigeschaltet. Fritz-Box User können die Geschichte allerdings testen...
Nun gut, wie auch immer. Ich habe es getestet - und für unzureichend befunden.
Und da sich hier Keiner von der Technik meldet, bin ich hier auch draußen.
Mit freundlichem Gruß
PrΩmetheµs
0
Uneingeloggter Nutzer
Frage
von