Ich verwende eine FRITZ!Box 7590 AX an einem DSL-Anschluss. Zudem nutze ich den Dienst von Control D. Zu diesem Zweck habe ich deren DNS-Server entsprechend deren Hilfeseiten in der FRITZ!Box hinterlegt. Dabei habe ich den Haken bei “Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“ entfernt.
In den letzten Wochen bricht immer wieder (i.d.R. mindestens einmal täglich) die DNS over TLS (DoT)-Verbindung zusammen und ich erhalte die Fehlermeldung “Alle Verbindungen zu den verschlüsselten DNS-Servern sind unterbrochen. Es besteht kein DNS-Verkehr bis ein Rückfall auf unverschlüsselten DNS-Verkehr erlaubt ist.”
Das lässt sich auch nur dadurch beheben, dass ich die FRITZ!Box neu starte oder zumindest die Verbindung zum Internet neu herstelle. Danach funktioniert wieder alles normal - bis zum nächsten Abbruch.
Testweise habe ich heute das Ganze nach einem Abbruch so belassen und gewartet. Leider hat sich die FRITZ!Box auch nach mehreren Stunden nicht wieder mit den DNS-Servern verbunden und ich musste schlussendlich doch irgendwann neustarten.
Eine Recherche im Netz deutet darauf hin, dass das ein generelles Problem mit der Software der FRITZ!Box ist. Habt ihr diese Probleme auch? Habt ihr irgendwelche Tipps hierzu? (Ich bin schon so weit, dass ich den Erwerb eines anderen Routers in Erwägung ziehe, auch wenn ich bislang eigentlich immer mit den Produkten von AVM zufrieden war.)
Ich kenne diese Fehlermeldungen auch von einer Fritzbox, welche DoT von Freifunk München nutzt. Die erscheinen teilweise mehrmals täglich, seltener mal einen Tag ganz ohne. Allerdings scheinen diese Unterbrechungen nur minimal zu sein und die Verbindung schnell wiederhergestellt, denn in der Praxis ist ein Ausfall noch nie bemerkt worden, Internetverbindungen funktionieren immer wie gewohnt. Und ja, auch hier ist Fallback deaktiviert, DoT wird immer erzwungen.
ganz weg bin ich auch noch nicht - dann wären alle Fritz Elektroschrott. VPN läuft schon lange nur mit Linux und Wireguard und deutlich komplexer als man mit der Fritz einrichten kann. DNS macht die Fritz auch schon lange nicht mehr, aber bei mir läuft halt auch ein Samba Active Directory mit Bind, Pi-Hole, Stubby, und sogar internes DNS läuft teilweise über DoH (Windows) oder DoT (Linux), was mit der Fritz überhaupt nicht geht, und mein Bug-Report dass man über DHCP oder RA eigentlich immer mindestens zwei oder mehr DNS-Server verteilen möchte von AVM ignoriert wurde.
Eine 7430 hab ich auf OpenWrt umgestellt, seitdem 0 Probleme. An einem anderen Anschluss geht das (noch) nicht, weil OpenWrt nicht mit dem Bridgemodus der Vodafone Station nicht kann (Fritz inzwischen auch nicht mehr, aber jede Netzwerkänderung ist lästig und sehr zeitaufwendig).
Für Telefonie (Anrufbeantworter), Fax (eingehend) und WLAN hab ich immer noch Fritz, irgendwann wird sich das erledigen oder durch Asterix & Co ersetzt. Da ist der Engpass meine begrenzten Serverkapazitäten, und für jeden Zweck eine weitere Box ist halt auch nicht gut für den Stromverbrauch.
Der Charme der Fritz, die eierlegende Wollmilchsau, erschwert den Wechsel. Letztendlich muss jeder seine Bedürfnisse ansehen und überlegen wie er davon wegkommt (oder mit den Bugs lebt). Eine neue Fritz kommt mir nicht mehr ins Haus und OpenWrt oder ein anderes Linux wird bevorzugt.
also ich habe seit Jahren einen anderen DNS Server in meiner Fritzbox-7520-B eingetragen und hatte noch nie Abbrüche. Gerne sende ich dir meine Liste von zuverlässigen Dns-Servern. Welcher der beste für dich ist, musst du selber entscheiden.
Hier der Link zur aktuellen Firmware. Nur für den Fall das sie noch nicht auf deiner Box ist.
Danke für den Tipp. Ich möchte allerdings Control D verwenden, weil die auch Filterung (nach meinen Kriterien) vornehmen, da ich einen Bezahl-Account habe.
Kleines Update: Mittlerweile werden die Ausfälle immer häufiger. Um nicht ständig Internetausfälle zu haben, musste ich jetzt (temporär) die Option „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“ aktivieren. Soweit möglich, versuche ich Geräte und/oder Apps direkt auf DoT oder DoH umzustellen, um möglichst wenig Anfragen (unverschlüsselt) über die FRITZ!Box laufen zu lassen. Ich hoffe, dass ich bald eine Rückmeldung vom AVM-Support erhalte.
ich möchte dir etwas vorschlagen. Es gibt die Möglichkeit die Werkeinstellungen in der FritzBox wiederherzustellen. Das geht nicht ohne eine erneuete Einrichtung deines Internetzugangs. Ein kleiner Aufwand. Dennoch denke ich, du könntest damit vielleicht deine Probleme lösen. Es kommt auf den Versuch an. Zu erreichen ist die FriztBox am besten über 169.254.1.1
Dies nur zur Info. Blockieren von Werbungen klappt außerordentlich gut mit uBlock. Persönlich habe ich sehr gute Erfahrungen mit LibreWolf gemacht. Leider teilen andere Leute nicht immer meine Meinung. Das muss auch nicht sein. Jeder soll sein eigenes Süppchen kochen. Den Stein der Weisen habe ich noch nicht gefunden Control D ist meiner Meinung nach nicht notwendig. Außerdem ist Control D eine amerikanische Firma. Da gilt der Patriot Act, heißt deine Daten sind in den USA.
klar, aber sollte die Box nicht auch mit seinen Einstellungen fehlerfrei arbeiten? Werkseinstellung wiederherstellen oder Router neustarten ist in meiner Wahrnehmung so die typische Empfehlung des Anbieters der seine Fehler nicht korrigieren will.
wenn sich die Konfiguration irgendwo aufgehängt hat, ist es sicher eine einfache Möglichkeit der Korrektur. Nebenbei ist die Firmware identisch zu meiner auf der FritzBox und wie ich meine Box konfiguriert habe, steht im Beitrag Nr. 6 etwas weiter oben. Obwohl ich den “Fallback auf unverschlüsselte Verbindungen” permanent deaktiviert habe, leide ich nicht unter mehrfachen Verbindungsabbrüchen. Vielleicht sollte Mamr versuchen einen anderen DNS Server einzutragen und die Verbindung dann damit testen. Man kann vieles versuchen bevor man den Hersteller in die Verantwortung zwingen möchte dies zu tun. Bitte nicht falsch verstehen, aber manchmal sitzt das Problem auf einem Stuhl direkt vor dem PC.
danke für deine Tipps. Nachdem ich eben etwas Zeit hatte, habe ich die Fritzbox tatsächlich mal auf Werkseinstellungen zurückgesetzt und alles neu konfiguriert. Ich werde in den nächsten Tagen beobachten, ob das etwas bringt.
Ich hatte die letzten Monate, seit ich den Control-D-Account habe, auch keine Probleme gehabt. Deswegen weiß ich, dass das grundsätzlich mit der Fritzbox geht.
Zu Control-D: Ich möchte, dass nicht nur meine Browser-Sessions sondern alle Geräte im Netzwerk geschützt sind. Deswegen reicht uBlock Origin, das ich in meinem Browser natürlich aktiviert habe, nicht aus. Ich hatte früher einen Pi-Hole. Da aber meine Internetverbindung etwas wacklig ist, habe ich dann auf einen externen Anbieter wie Control-D gewechselt, um unterwegs nicht von meiner Internetverbindung nach Hause (per WireGuard) abhängig zu sein. Mir ist bewusst, dass ich auch öffentliche DNS-Server mit Blocklisten einsetzen könnte. Dann habe ich aber keinen Einfluss darauf, was konkret geblockt wird. Übrigens: Control-D ist kein amerikanisches, sondern ein kanadisches Unternehmen. Klar, denen muss man auch vertrauen. Aber das muss und kann ja jeder für sich selbst entscheiden, ob er das möchte.
Langfristig würde ich gerne wieder auf einen Pi-Hole umsatteln (wenn meine Internetverbindung hoffentlich mal etwas stabiler wird).
ich erstelle seit über 40 Jahren Software. Dein Spruch trifft sowohl auf Anwender zu als auch auf Softwareentwickler.
Du hast insofern Recht, dass es sein kann dass der DNS-Server von @Mamr unzuverlässig ist und es dadurch zu Abbrüchen kommt. Das sollte die Fritz dann in irgendeinem Protokoll sichtbar machen und sobald die Störung beseitigt ist wieder zu Normalbetrieb übergehen. Meine Erfahrung ist halt, dass die Fritz fast nie etwas brauchbares sagt und der Neustart die einzige Lösung ist - und das ist in meinen Augen Bananensoftware.
Ich habe auch den Eindruck, dass die FRITZ!Box ein gutes Produkt ist, wenn man als Normalsterblicher einfach nur möchte, dass WLAN und Internet funktionieren. Sobald aber Probleme auftreten, gibt es kaum andere Möglichkeiten, als sie auf Werkseinstellungen zurückzusetzen. Die Informationen im Ereignisprotokoll finde ich jedenfalls für eine sinnvolle Fehlersuche deutlich zu dürftig.
war vorhin noch mal bei deskmodder.de und habe dort von einer neuen Firmware für deine FritzBox vom 31.07.2025 gelesen. Diese Laborversion hat Betastatus. Dennoch könnte sie möglichweise deine Probleme beheben. Dies nur zur Info.
Damit gehen für den Fall, dass es nicht an der Fritzbox liegt, sondern an den Nameservern von Control D, unverschlüsselt an Server von öffentliche Server von Google, Cloudflare und Quad9, raus und DNS-Anfragen werden nicht gefiltert.
Um das Problem einzugrenzen, würde ich vorübergehend zusätzlich zu den DoT-Servern von Control D zwei oder drei öffentliche DoT-Server, gern auch mit Werbefilterung, eintragen und das ein paar Tage laufen lassen. Nach ein paar Tagen kannst du dann in den Systemmeldungen der Fritzbox (System - Ereignisse) folgende Meldung suchen:
Es besteht keine Verbindung mehr zu den verschlüsselten DNS-Servern
Diese Meldung solltest Du nur dann bekommen, wenn die Internetverbindung neu aufgebaut wird - etwa wenn Dein Provider oder Deine Fritzbox einmal am Tag eine Zwangstrennung durchführen oder wenn die Verbindung aus sonstigen Gründen abbricht. In dem Falle sollte wenige Sekunden nach Wiederherstellung der Internetverbindung folgende Meldung stehen;
Es wurde erfolgreich eine Verbindung - samt vollständiger Validierung - zu den verschlüsselten DNS-Servern aufgebaut
Wenn Du bei mehreren in der Fritzbox eingetragenen DoT-Servern in den Systemmeldungen keine Meldung findest, dass wegen einer DNS-Störung auf öffentliche Nameserver zurückgegriffen wird, würde ich einen Fehler in der Software der Fritzbox eher ausschließen.
@Exilholsteiner Danke. Das ist ein guter Tipp für die Fehlersuche.
Eine Verständnisfrage: Wenn ich den Fallback auf unverschlüsselte Namensauflösung zulasse, greift die Fritzbox dann bei einem Ausfall der verschlüsselten Verbindung auch dann auf öffentliche DNS-Server zu, wenn ich (zusätzlich zur DoT-Konfiguration) IP-Adressen der Server von Control D hinterlegt habe? Control D bietet nämlich einen Modus für Geräte, die kein DoT unterstützen. Die Authentifizierung läuft dann per DynDNS ab. Das habe ich - wie gesagt, zusätzlich zur DoT-Konfiguration - in meiner Fritzbox so eingestellt. Allerdings ist es etwas “Blackbox”, was die Fritzbox wann genau macht.
Ich werde das von dir beschriebene Vorgehen unabhänigig davon in den nächsten Tagen mal testen und mich dann noch einmal melden. (Allerdings denke ich nicht, dass es an Fehlern der Server von Control D liegt. Ich habe nämlich ein paar Geräte auch direkt mittels DoT konfiguriert (also gewissermaßen an der Fritzbox vorbei). Diese Geräte machen nie Probleme. Nur die Fritzbox.)
Control D ist meiner Meinung nach nicht notwendig. Außerdem ist Control D eine amerikanische Firma. Da gilt der Patriot Act, heißt deine Daten sind in den USA.
