Beantwoord

DNS resolutie ontzettend traag voor DMZ host

  • 20 March 2021
  • 25 reacties
  • 426 keer bekeken
G
Rank

Sinds een recente  (~ 2 weken gelden) van de firmware op mijn experiabox (V9), waarbij ik tot mijn grote ergernis alle settings zoals DMZ host, DHCP bindings en zo allemaal was kwijt geraakt (en de iptv box voor uren klaagde). Loop ik nu tegen een ander nog erger probleem aan. Alle DNS resolutie geïnitieerd via de DMZ host worden vertraagd met 5 seconden. Als ik een wifi verbinding maak met de DMZ host internet toegang is een hel en als ik een wifi verbinding maak met de experiabox is alles normaal. Een programma dat ik dagelijks draai op een host verbonden via de DMZ host (programma dat ontzettend veel informatie van het internet haalt), heeft nu een looptijd van ruwweg 80 minuten, voor de update het programma had 20 minuten nodig. Heb al geprobeerd om de de dns van de experiabox te negeren en rechtstreeks naar google te gaan (8.8.8.8), maar dat maakt dingen alleen maar erger. Ik denk dat er iets serious verkeerd zit in de laatste firmware update van de V9 experiabox.

icon

Beste antwoord door gjmdirkse 24 March 2021, 14:08

Bekijk origineel
Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

25 reacties

wjb
Rank
Reputatie 7

Maar er is naar mijn weten helemaal geen firmware update geweest voor de V9.

Welke versie van de firmware draait er dan op jouw V9?

Be positive, avoid negativity, enjoy life and stay healthy!
G
Rank

Dit is een screenprint van modem:

 

G
Rank

Dan is het misschien de software die bijgewerkt is, wat wel waarschijnlijk is, want DMZ host zetten was iets anders.

Nick83
Rank
Reputatie 7
Badge +24

Wat voor apparaat heeft u via DMZ aangesloten?

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Rank
Reputatie 7

Dan is het misschien de software die bijgewerkt is, wat wel waarschijnlijk is, want DMZ host zetten was iets anders.

Die software versie is al jaren oud, dus daar is echt niets aan veranderd.

Be positive, avoid negativity, enjoy life and stay healthy!
G
Rank

Dan zullen we maar een nieuw modem vragen van KPN, want na de veranderingen aan het modem is werken op hosts connected via de DMZ een ramp. Anders wordt het toch echt goodbye voor KPN na ze meer dan 10 jaar trouw te zijn geweest.

Nick83
Rank
Reputatie 7
Badge +24

Dan zullen we maar een nieuw modem vragen van KPN, want na de veranderingen aan het modem is werken op hosts connected via de DMZ een ramp. Anders wordt het toch echt goodbye voor KPN na ze meer dan 10 jaar trouw te zijn geweest.

Wat voor "hosts" gaat het om? Wat voor soort apparaat of apparaten gaat het om?

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
G
Rank

Allemaal Linux hosts, connected to a Mikrotik router die functioneert als DMZ host. Websites accessed like www.degelderlander.nl. Allemaal stok standaard. Het feit dat alle instellingen op het experia modem verdwenen waren als de start van de problemen is voor mijn een indicatie dat de problemen zijn ontstaan door iets wat op het modem gebeurd is, iets waar je als consument weinig tot geen controle hebt en vandaar dus de mikrotik router in de DMZ zone.

wjb
Rank
Reputatie 7

Waarom vervang je die V9 niet door die Mikrotik?

Zie "Gebruik een eigen router i.p.v. de Experia Box".

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Rank
Reputatie 7
Badge +24

Het kan zijn dat die v9 gewoon stuk is. Maar dan zal je hetzelfde probleem eigen toch op 1 of andere manier moeten kunnen reproduceren zonder extra router er tussen. Lijkt mij...

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Rank
Reputatie 7

Ik zit eerder nog te denken aan problemen met IPv6.

Is IPv6 actief op jouw aansluiting?

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Rank
Reputatie 7
Badge +24

Ik zit eerder nog te denken aan problemen met IPv6.

Is IPv6 actief op jouw aansluiting?

Dat KPN ipv6 beschikbaar gemaakt heeft bij @gjmdirkse en toen ook maar even de box gereset heeft?

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
G
Rank

Ja IPv6 is actief, al heel lang, werkte vlekkeloos voor een lange tijd. Heb DMZ settings verandert dat ipv6 nu ook ondersteund (was niet voor de modem op de een of andere manier reset was/updated was) wordt, dus DMZ host heeft zowel IPv4 als IPV6 adres, Ik krijg een IPV6 prefix, de systemen hebben een IPV6 adres (met de prefix), de vraag is echter wordt deze communicatie ook doorgestuurd naar de DMZ host ?

Nick83
Rank
Reputatie 7
Badge +24

Die Mikrotik beschikt ook over ipv6? Heb je al eens een ipv6 test site geprobeerd? 

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
G
Rank

Ja, verschillende ipv6 test sites geprobeerd en alhoewel ze in het begin traag response afgeven (dns response traag), worden alle tests gepasseerd. Heb wat verder onderzoeken gedaan en zag dat de DNS in de mikrotik geen enkel entry had behalve de static ones. Als ik kijk op het mikrotik forum denk ik dat dit van toepassing is: https://forum.mikrotik.com/viewtopic.php?p=602624 . Als ik trace op de mikrotik poort naar de experiabox lijken de response tijden allemaal normaal, als ik echter in een host trace dan is de dns query naar de mikrotik dns eindigend na een lange tijd met server failure, wat in combinatie met wat beschreven wordt in de mikrotik post verklaard waarom de mikrotik dns cache leeg is. Het schijnt dus dat de KPN Dns niet meer reageert (of een fout geeft) op querys die via de mikrotik dns gegaan zijn. Het probleem is ontstaan tussen 13/3 en 14/3.

G
Rank

Verder gravend in dit probleem kom ik DNSSEC tegen en dat KPN dit gaat implementeren en/of geimplementeerd heeft. Is dat wat dsn queries van de mikrotik dns tegenhoud >

wjb
Rank
Reputatie 7

Verder gravend in dit probleem kom ik DNSSEC tegen en dat KPN dit gaat implementeren en/of geimplementeerd heeft. Is dat wat dsn queries van de mikrotik dns tegenhoud >

Nee, dat zou geen invloed mogen hebben.

Heb je ook al eens een andere DNS server ingesteld?

Dus i.p.v. via de Experia Box of KPN DNS servers rechtstreeks naar bijvoorbeeld Cloudflare op 1.1.1.1.

Be positive, avoid negativity, enjoy life and stay healthy!
A

Ja, verschillende ipv6 test sites geprobeerd en alhoewel ze in het begin traag response afgeven (dns response traag), worden alle tests gepasseerd. Heb wat verder onderzoeken gedaan en zag dat de DNS in de mikrotik geen enkel entry had behalve de static ones. Als ik kijk op het mikrotik forum denk ik dat dit van toepassing is: https://forum.mikrotik.com/viewtopic.php?p=602624 . Als ik trace op de mikrotik poort naar de experiabox lijken de response tijden allemaal normaal, als ik echter in een host trace dan is de dns query naar de mikrotik dns eindigend na een lange tijd met server failure, wat in combinatie met wat beschreven wordt in de mikrotik post verklaard waarom de mikrotik dns cache leeg is. Het schijnt dus dat de KPN Dns niet meer reageert (of een fout geeft) op querys die via de mikrotik dns gegaan zijn. Het probleem is ontstaan tussen 13/3 en 14/3.

Dat topic is 3 jaar oud en RouterOS zit ondertussen al op 6.48.1, i.i.g. voor het mikrotik apparaat wat ik heb.

Als je meer controle wilt, moet je m.i. die V9 er tussen uit doen. DMZ is misschien voor je doel (programma dat ontzettend veel informatie van het internet haalt) wel OK, maar de bruikleenrouters blijven onder controle van de ISP meestal, i.i.g. bij KPN. Als je DSL hebt, kost het je 100 euro of zo voor een eigen modem wat bridgemode doet, routers kan je ook softwarematig voor 0 euro regelen in principe.

Lisa
Rank
Reputatie 7
Badge +17

Hoi @gjmdirkse! Heb je de laatste reactie van wjb en tmoesel gelezen?

Blij met een antwoord? Geef een like! Is een bericht het beste antwoord op je vraag? Markeer het dan als oplossing.
G
Rank

Heb ik gelezen. De aangehaalde mikrotik post beschrijft precies wat ik zie, vandaar dat ik het aanhaalde. Mikrotik is op 6.48 dus dat zit wel goed. Heb gesynchroniseerde traces genomen maar heb nog geen tijd gehad ze te analyseren. Met verdere research heb ik de kpn dns’s volledig buiten spel gezet, en nu werkt het internet op het eerste gezicht normaal, geen verwijzingen meer naar KPN dns en nu alles werkt alles weer. Raden bij wie het probleem ligt. Zodra ik de analyse van de traces gedaan heb, zal ik de conclusies melden.

G
Rank

Na lang graven heb ik de oorzaak weten te achterhalen. Geen probleem veroorzaakt door KPN of hun modem, maar een hacker die een KPN ip adres gebruikte (spoofed) om mijn proxy server te gebruiken (de aanval was 14/3 01:58). Onderdeel van mijn beveiliging is logs te doorlopen op misbruik en de misbruikers in een zwarte lijst te zetten op mijn router, waardoor alle verkeer vanaf die adressen geblokkeerd wordt. Het gebruikte IP adres van KPN is nu net toevallig het ip adres van een KPN dns server die reageerde op dns requests via UDP van mijn modem, en vandaar dus mijn dns problemen.

Mijn verontschuldigingen aan KPN.

wjb
Rank
Reputatie 7

Welk IP adres van KPN was dan gebruikt door de hacker?

Be positive, avoid negativity, enjoy life and stay healthy!
G
Rank

Die informatie geef ik liever niet over een publiek forum om verder misbruik uit te sluiten. Heb het getest en mijn dns problemen waren verdwenen toen ik dat ip adres uit de zwarte lijst had gehaald. Stuur me een mail en dan kan je het adres geven. Moet niet te moeilijk zijn voor een KPN medewerker mijn email adres te vinden.

wjb
Rank
Reputatie 7

Die informatie geef ik liever niet over een publiek forum om verder misbruik uit te sluiten. Heb het getest en mijn dns problemen waren verdwenen toen ik dat ip adres uit de zwarte lijst had gehaald. Stuur me een mail en dan kan je het adres geven. Moet niet te moeilijk zijn voor een KPN medewerker mijn email adres te vinden.

Het kan natuurlijk helemaal geen kwaad om een IP adres van een DNS server van KPN te delen. Je mag me ook een PB sturen als je dat IP adres hier echt niet wilt delen.

Be positive, avoid negativity, enjoy life and stay healthy!
wjb
Rank
Reputatie 7

Dank je voor jouw PBtje.

Het door jou genoemde IP adres is geen IP adres van een DNS server van KPN maar een IP adres van een klant van KPN. Ik kan dan ook niet plaatsen wat je bedoelt met “Het gebruikte IP adres van KPN is nu net toevallig het ip adres van een KPN dns server die reageerde op dns requests via UDP van mijn modem, en vandaar dus mijn dns problemen.”. Jouw Experia Box zou immers nooit een DNS request richting dat IP adres mogen sturen.

 

Be positive, avoid negativity, enjoy life and stay healthy!

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden