DNS-Schlüsselwechsel: Wie man DNS-Ausfälle erkennt, was dagegen hilft
Am 11.10. wechselt die ICANN den DNS-Vertrauensanker. Dabei kann es zu Ausfällen von Internet-Diensten kommen. Wir fassen zusammen, was dagegen hilft.
Am 11.10.2018 läuft die Gültigkeit des aktuellen Vertrauensankers aus und ab dann gilt nur noch der neue, der längst schon im Umlauf ist. Die Umstellung hat die ICANN akribisch vorbereitet, sodass eigentlich nichts schief gehen sollte.
Es kann aber auch zu Ausfällen des Domain Name System kommen (DNS). Dann funktionieren die allermeisten Internet-Dienste nicht mehr. Beispielsweise stützen sich Mail-Clients, Messenger, Web-Browser und viele andere Programme auf das DNS. Beim Schlüsselwechsel ist der DNS-Resolver die Achillessehne des DNS – fehlt einem Resolver der neue Vertrauensanker, kann er DNS-Anfragen von Internet-Geräten nicht zu IP-Adressen auflösen. Und ohne die IP-Adressen können die Geräte keine Ziele im Internet ansteuern.
Warum das so ist, haben wir zum Beispiel an dieser Stelle ausführlich beschrieben. Für Administratoren, die validierende Resolver betreuen, haben wir im Beitrag " Vorsichtsmaßnahmen für den DNS-Schlüsseltausch" zusammengefasst, woran es beim Schlüsselwechsel hapern kann und wie man den fehlenden neuen Vertrauensanker nachrüstet.
Der alte Schlüssel wird um 11.10.2018,16:00 Uhr UTC aus dem Domain Name System entfernt (Coordinated Universal Time). In Europa entspricht das 18:00 Uhr CEST (Central European Summer Time). Resolver, die den Anker noch im Cache haben, dürfen ihn entsprechend seinem TTL-Eintrag dann noch 48 Stunden lang nutzen, bevor sie ihn tilgen. Erst wenn diese allerletzte Frist abgelaufen ist, dürften sich also lauernde Probleme manifestieren. Das betrifft den Zeitraum vom 11.10.2018, 18:00 Uhr bis zum 13.10.2018, 17:59.
Die wichtigsten und größten Resolver bezogen auf die Anzahl der versorgten Teilnehmer unterhalten die Internet-Provider. Diese sind auf den Schlüsselwechsel vorbereitet; darauf deuten Telemetriedaten der ICANN hin. Resolver kann aber jede Firma unterhalten und auch jeder Nutzer. Solche Resolver können in virtuellen Maschinen, in Docker-Containern, in Routern und sogar in VPN-Clients stecken. Seit September 2017 hat die ICANN weltweit 24.000 IP-Adressen gezählt, die einen Resolver mit veraltetem Vertrauensanker melden. Die Dunkelziffer dürfte höher liegen, weil nur die Resolver Bind9 und Unbound Telemetriedaten senden.
Manche Nutzer und auch Administratoren treffen nun Vorkehrungen für den Fall, dass sie am Stichtag ein Resolver hängen lässt. Dafür kann man Rufnummern von Kollegen bereithalten, mit denen man sich über Probleme austauschen will oder auch Debugging-Tools zusammenstellen auf dem Laptop. Für Reisende, die mit sehr leichtem Gepäck unterwegs sind, sind Monitoring-Tools für Smartphones empfehlenswert. Eine Liste solcher Anwendungen für Android und iOS finden Sie im c't-Artikel "Mobile Paketprüfer, Netzwerk-Analyse-Tools für Android und iOS".
VPN-Dienste, Hosts-Datei, VoIP-Telefonie
Für VPN-Clients gilt: Aktualisieren Sie die Software möglichst noch vor dem Stichtag. Telemetriedaten zufolge gibt es mindestens einen VPN-Anbieter, der in seinen iOS- und Android-Clients einen validierenden Resolver mit veraltetem Vertrauensanker verwendet hat. Dafür gibt es seit einigen Wochen Updates. ICANN kann bisher nicht angeben, um welchen VPN-Anbieter es sich handelt, sodass sicherheitshalber jeder VPN-Client aktualisiert werden sollte.
Auf einem PC könnte theoretisch helfen, die IP-Adressen der wichtigsten Domains im Internet zu notieren. Dafür eignet sich die hosts-Datei (/etc/hosts
auf Unix-Systemen, %systemroot%\system32\drivers\etc
auf Windows). In der Praxis hilft das aber nicht, wenn man eine moderne Webseite ansteuern will. Viele davon sind nur noch verschlüsselt zu erreichen und dabei kommen TLS-Zertifikate zum Einsatz, die an den Domainnamen gebunden sind. Kann der nicht aufgelöst werden, scheitert der Aufbau der TLS-Verbindung. Man kann dann zwar zum Beispiel eine IP-Adresse in den Browser eingeben, aber der kommt dann oft nur bis zu einem Redirector, der seinerseits auf eine TLS-verschlüsselte Domain verweist. Das ist etwa bei heise.de der Fall.
Viele Telefonanschlüsse gründen mittlerweile auf der VoIP-Technik. Ein VoIP-Telefon oder Client stützt sich für die Registrierung bei seinem SIP-Server ebenfalls auf den DNS-Dienst. Sollte das scheitern, funktioniert die Telefonie von diesem Client aus nicht. Ersatzweise kann man dann auf Mobilfunkgeräte ausweichen.
Falls es auf Smartphones ebenfalls knirscht und keine Telefonate zustande kommen: Möglicherweise versucht das Smartphone VoLTE für den Telefoniedienst zu nutzen. Auch dieser hängt am DNS. Dann sollte es helfen, LTE abzuschalten, um die Telefonie auf UMTS oder GSM zurückzuzwingen.
Schnelle Analyse, schnelle Abhilfe
Was kann man tun, wenn man einen PC, Tablet oder Smartphone nutzt, und der darin konfigurierte Resolver schlapp macht, sodass "das Internet nicht geht"? Zunächst: Analysieren Sie das Problem genau, bevor Sie irgendetwas umkonfigurieren. Und: Denken Sie vor jeglichen Umstellungen daran, diese nach der Reparatur des betreffenden Resolvers wieder zurückzustellen auf den Ausgangszustand.
Nicht jeder Internet-Störung liegt ein DNS-Problem zu Grunde. Wie findet man heraus, dass DNS nicht funktioniert?
• Auf einem PC kann man für schnelle Analysen das Kommandozeilen-Tool ping
verwenden. Testen Sie mit ping, ob eine bekannte und zuverlässige Domain erreichbar ist.
• Auf einem mobilen Gerät kann man Monitor-Apps wie Fing verwenden. Fing gibt es sowohl für iOS als auch für Android.
ping 193.99.144.80
ping ct.de
Wenn die erste Antwort Echo-Pakete liefert, die zweite aber nicht, dann antwortet der auf dem prüfenden Gerät konfigurierte DNS-Resolver nicht. Möglicherweise liegt es dann tatsächlich am fehlenden neuen Vertrauensanker. Wenn schon der erste Befehl keine Echo-Pakete liefert, funktioniert der Internet-Zugang nicht und die Ursache liegt ganz woanders.
Ausweich-Resolver im Router
Für DSL-, Glasfaser- und Kabelanschlüsse liegen die Lösungen auf der Hand: Wenn der aktuelle Resolver nicht funktioniert, dann trägt man einen anderen ein. Wenn etwa der Resolver des Providers stumm bleibt, stellt man vorübergehend einen offenen Resolver von Anbietern wie Google (z. B. 8.8.8.8) oder Cloudflare (z. B. 1.1.1.1) im Router ein – und umgekehrt.
Die Änderung im Router gilt dann für alle Geräte im LAN, die ihre DNS-Einstellungen per DHCP vom Router beziehen. Starten Sie die Geräte neu oder trennen Sie sie kurz vom LAN, damit die Änderungen wirksam werden.
Wenn Sie Geräte mit manueller Netzwerkkonfiguration betreiben, müssen Sie einen Ausweich-Resolver in diesen per Hand ändern. Fangen Sie das aber sicherheitshalber erst dann an, wenn die Änderung im Router tatsächlich Früchte trägt. Offene Resolver sollte man möglichst nur vorübergehend verwenden, denn man liefert so den DNS-Serverbetreibern genaue Informationen darüber, welche Ziele man im Internet ansteuert. Der eigene Provider gilt in Deutschland als vertrauenswürdig.
Wer Googles DNS-Resolver nutzt (zum Beispiel 8.8.8.8) und nach dem Schlüsselwechsel keine DNS-Antworten erhält, sollte auf den DNS-Resolver seines Providers zurückstellen. Google verwaltet den Vertrauensanker nämlich manuell und möglicherweise ist beim Wechsel etwas schief gegangen. Allein in Deutschland hängen knapp 34 Prozent der Anwender von Googles DNS-Diensten ab.
Ausweich-Resolver für unterwegs
Wer mit einem Laptop unterwegs auf einen stummen Resolver in einem WLAN-Hotspot trifft, kann den zugehörigen Eintrag leicht in den Netzwerk-Einstellungen ändern. Das gilt auch für Android und für iOS. Falls das nicht hilft, kann es daran liegen, dass der Hotspot-Betreiber den üblichen unverschlüsselten DNS-Verkehr zu externen Resolvern unterbindet. Dann kann das Protokoll DNScrypt helfen.
DNSCrypt spezifiziert eine verschlüssselte Kommunikation mit speziellen Resolvern. Diesen DNS-Verkehr kann ein Hotspot-Betreiber nicht als solchen identifizieren. Einzelheiten zu DNScrypt finden Sie hier. Clients für DNScrypt gibt es für iOS, Android, Linux, Windows und macOS. Hier sind einige Beispiele:
• dnscrypt-proxy (Kommandozeile, Linux, macOS, Windows)
• dnscrypt-proxy auf Android nutzen
Alternativ kann man ein VPN in Kombination mit einem funktionierenden Resolver nutzen. Der VPN-Client muss den Server anhand seiner IP-Adresse ansprechen können; DynDNS-Namen funktionieren nicht, solange der konfigurierte Resolver DNS-Anfragen nicht auflöst. Für diesen Ansatz kommen also praktisch nur VPN-Server in Frage, die eine feste öffentliche IP-Adresse haben. Und VPN-Server und Client müssen so eingestellt sein, dass sämtlicher Client-Verkehr über den Server ins Internet geht. Im Client kann man dann einen beliebigen DNS-Resolver eintragen, der gerade funktioniert (zum Beispiel 1.1.1.1 von Cloudflare oder 8.8.8.8 von Google). Nachteilig daran ist, dass die Latenz zunimmt, weil die Pakete zunächst zum VPN-Server gehen, bevor dieser sie zum Ziel gibt. Deshalb dauert es länger, bis zum Beispiel Webseiten aufgebaut sind. DNScrypt dürfte daher die bessere Wahl sein.
Wenn Sie noch weitere Fragen und konkrete Resolver-Probleme haben, können Sie diese im Forum zu dieser Meldung stellen. Der DNS-Experte Carsten Strotmann wird am Donnerstag ab 18 Uhr vier Stunden lang Ihre Fragen beantworten – und auch am Vormittag des Freitags noch einmal vier Stunden bereitstehen. (dz)