DNS intervenidos

DNS intervenidos

Esta mañana me he dado cuenta que los DNS están intervenidos (creo que empezó anoche por un proceso que tenía lanzado y se quedó congelado mientras me fui a dormir) o sea que no importa qué DNS hayamos configurado en nuestros routers porque las rutas están asignadas desde los servidores de la operadora. Por ejemplo yo tengo configurados los DNS de Cloudfare y cuando lanzo un dns leak obtengo dns de Google, ni siquiera los de la operadora, ahí lo dejo por si alguien sabe por donde voy...

Quiero entender que es una medida que responde a un exceso de solicitudes provocadas tanto por el confinamiento como por la semana santa pero no estaría de más que se nos explicase lo que se ha hecho, eso ayudaría a entender el caótico comportamiento.

En mi caso tengo una base Ubiquity que me indica erróneamente que no tengo conexión a internet y que me ponga en contacto con mi ISP pero obviamente es porque no hay resolución de DNS y el dispositivo deduce que no hay conexión. 

En la práctica esto provoca errores en WhatsApp, en Google mail, en Hangouts, etc. por lo que está claro que se ha adoptado una solución como poco discutible. Es probable que como todo siga así haya que optar por entrar vía vpn.

¿Por qué Movistar no nos avisa de las decisiones que toma antes de que constatemos por nosotros mismos los inconvenientes que provocan? Me he pasado horas comprobando que no era un problema mío pero la pista principal se ha visto confirmada: a las 21h todo funcionaba y esta mañana a las 10h ya no 😞

Etiquetas (1)
Mensaje 1 de 47
4.135 Visitas
46 RESPUESTAS 46

Gracias, llevo todo el día dándome cabezazos con esto. Aparte de usar VPN, ¿se te ha ocurrido alguna otra solución?

Mensaje 2 de 47
3.280 Visitas

Desde hoy yo también estoy teniendo problemas con los DNS. Tenía el router configurado para usar 1.1.1.1 y 8.8.8.8. Reinicio el router, funciona bien unos minutos y luego deja de resolver ciertos dominios (a veces google.com entre ellos).

 

 

$ curl archive.org
curl: (6) Could not resolve host: archive.org

$ dig archive.org
;; Warning: Message parser reports malformed message packet.

; <<>> DiG 9.10.6 <<>> archive.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5965
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: Message has 38651 extra bytes at end

;; QUESTION SECTION:
;archive.org.			IN	A

;; ANSWER SECTION:
archive.org.		30871	RESERVED0 A	\# 4 CFF1E002

;; Query time: 6 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Fri Apr 10 17:22:27 CEST 2020
;; MSG SIZE  rcvd: 38707

 

 

Cambiando los servidores DNS a los de telefónica tampoco lo arregla

 

Mi firmware es: ES_g15.5_R3505VWSTD203_n55_5

 

Estoy pensando en hacer un downgrade pero vamos, me parece ridículo

Mensaje 3 de 47
3.267 Visitas

Yo también tengo el router HGU Askey con el firmware ES_g15.5_R3505VWSTD203_n55_5

 

Cuando puse ese router (antes tenía un Asus) pensé que todos mis problemas de compatibilidad con Movistar se iban a acabar, y no iba a tener que trastear más con la configuración. Pero, estuvieron años capturando la IP 1.1.1.1 para no sé qué usos internos del router, tengo que seguir reiniciando el router cada dos por tres y de vez en cuando la siguen liando con los DNS. Es desesperante.

 

Yo también he probado a poner la configuración de fábrica y los DNS de Movistar y nada, funciona un rato y hay que volver a reiniciar. Ya no sé si es el firmware, si son los DNS o si es que como todo el mundo está en casa y seguimos con IPv4 se les ha agotado el pool de direcciones dinámicas y por eso da estos problemas tan raros.

 

¿Dónde me puedo descargar el firmware anterior?

Mensaje 4 de 47
3.251 Visitas

Con VPN todo bien claro, pero es un poco difícil ponérsela a todos los aparatos de mi casa, máxime cuando en este router no veo que tenga opción para configurar así toda la red. ¿Los técnicos de Movistar no usan los routers de la compañía y no se exasperan con estas cosas?

Mensaje 5 de 47
3.224 Visitas

Poco podemos hacer con las rutas si trastean por detrás de nuestras configuraciones, podéis comprobar lo que os digo entrando en https://dnsleaktest.com/

 

Usar vpn es lo único que nos puede librar del follón, al menos a mi no se me ocurre nada más de momento, he intentado barrabasadas pero al final comprendo que no tengo control sobre el eslabón final.

 

Para el Askey puedo indicarte (por privado) de dónde descargarte la versión n43 pero no te va a solucionar este problema.

Mensaje 6 de 47
3.197 Visitas

Sea lo que sea que estuviera roto parece que lo han arreglado.

 

Antes podía romper la resolución de un dominio simplemente forzando su resolución con 1.1.1.1, por ejemplo:

 

 

dig @1.1.1.1 google.com

 

 

 Eso parecía dejar cacheado un paquete corrupto (en el post anterior puse una copia de la salida de dig)

 

Desde hace unos minutos ya no lo puedo reproducir (después de reiniciar el router para -supongo- limpiar esa caché). Bastante turbio

 

Nota: cuando tenía el problema también reinicié el router mil veces y podía reproducirlo (lo aclaro por si alguien dice que reiniciando el router se arregla)

Mensaje 7 de 47
3.189 Visitas

Bueno, retiro lo dicho, ya se ha vuelto a romper:

$ dig @1.1.1.1 google.com
;; Warning: Message parser reports malformed message packet.

; <<>> DiG 9.10.6 <<>> @1.1.1.1 google.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2957
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: Message has 37883 extra bytes at end

;; QUESTION SECTION:
;google.com.			IN	A

;; ANSWER SECTION:
google.com.		30868	RESERVED0 A	\# 4 ACD9A8AE

;; Query time: 6 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Fri Apr 10 20:17:15 CEST 2020
;; MSG SIZE  rcvd: 37937

Y evidentemente:

$ curl google.com
curl: (6) Could not resolve host: google.com

Menuda chapuza

Mensaje 8 de 47
3.179 Visitas

Supongo que habrás visto que en ambos casos tienes un aviso de malformación de paquetes...

Mensaje 9 de 47
3.176 Visitas

Sí, mi sospecha es que tienen un proxy-cache de DNS (no sé si para todo el tráfico al puerto 53 o solo para ciertos resolvers) pero al cachear se corrompe algo.

 

No voy a perder más tiempo con pruebas.

 

Supongo que me acabaré comprando un router donde pueda configurar DNS-over-TLS y fin de la historia

 

 

Mensaje 10 de 47
3.168 Visitas

Sí, tuvimos el mismo problema hace unos meses y ahora han vuelto a las andadas. Han vuelto a tocar algo los de movistar y la han liado.

Mensaje 11 de 47
3.124 Visitas

Mismo problema, he probado cambiar las DNS y nada, reiniciando el router se arregla el problema durante 1 o 2 minutos... Desde el 1004 o el 1002 no son capaces de arreglar nada.

Mensaje 12 de 47
2.892 Visitas

Es una decisión de "más arriba", es lógico que los servicios 100x se queden a cuadros, sin soluciones reales.

Por cierto, desesperación total a la hora de intentar enviar contenido desde YouTube a un chromecast, sin importar que sea vía RJ45 o WiFi, simplemente acaba diciendo "error al enviar" o sea que lo que pensamos que es solo tráfico interno lleva algo más emparejado 😞

Mensaje 13 de 47
2.876 Visitas

En mi caso me deja de funcionar todo, impresoras (van con Google Cloud Print), los alexa, dispositivos de IoT (enchufes inteligentes entre otros) y muchos servicios web. Por favor Movistar, arregladlo rápido 😞

Mensaje 14 de 47
2.853 Visitas

Ayer tuve mogollón de problemas, ayer puse las dns de movistar y se arregló.

 

Qué dns tenéis los que os falla?

Mensaje 15 de 47
2.836 Visitas

@Paco_Schumi Las de movistar

Mensaje 16 de 47
2.830 Visitas

@Paco_Schumi Yo he probado con las de Movistar, Google y 1.1.1.1. Nada, con ninguna va.

Mensaje 17 de 47
2.824 Visitas

Hola, la única solución que hay ahora mismo, hasta que movistar solucione el problema, es hacer downgrade a la versión n43 en el caso del Askey, con esto ya se soluciona, yo desde que baje de la 55_5 a la 43, ningún problema con ninguna dns, un saludo

Mensaje 18 de 47
2.809 Visitas

@Paco_Schumiyo tengo las de cloudflare (1.1.1.1)

 

Ahora estoy viendo para montarme un pihole con el servidor web de mi casa y me pongo cloudflared para tener dns over https

Mensaje 19 de 47
2.806 Visitas

@dvmirez Al hacer downgrade se pierde alguna configuración? Lo que mas me preocupa es perder el telefono fijo y no poder comunicarme con mi madre

Mensaje 20 de 47
2.801 Visitas

Hola @PedroPL , en cuanto al teléfono no te puedo decir, por que no lo uso y ni siquiera tengo ninguno conectado, yo no he perdido las configuraciones que había modificado de ssid, contraseñas, etc... me funciona el deco de la tv de movistar y todo como antes, lo único que no hay que resetear el deco después de de bajar de versión, por que si no te lo vuelve actualizar a la 55_5 y seguirías con los problemas otra vez de las dns,  un saludo

Mensaje 21 de 47
2.797 Visitas

@dvmirez Bueno saberlo, a unas malas entonces sería posible volver a este version “mala” entiendo.

 

Llamare otra vez al 1002 para ver si ellos me lo pueden realizar y si no lo tendré que hacer yo por que no puedo estar sin trabajar.

 

Mil gracias por cierto, tengo claro que cuando el estado de alarma pase me cambiaré a otra compañía por que ésta está demostrando ser incompetente a mas no poder.

Mensaje 22 de 47
2.793 Visitas

Buenas compañeros.

 

Soy usuario al igual que vosotros con Askey y en la versión más actual, la n55_5. En lo personal aun no he experimentado ningún problema, pero estoy atento de todos los comentarios y haciendo muchas pruebas.

 

No tengo claro que sea un problema de DNS, en otro hilo he dicho que hiciesen pruebas con DoT/DoH para ver si persistía, y algún compañero decía que sí, que el problema se mantenía, con lo que básicamente descarta cualquier posible secuestro DNS, aunque hay algo de cierto en ello que explico más adelante, y podría ser una causa, pero diferente a la que pensáis.

 

Sobre los test de DNSLeak y otros, depende mucho del navegador y la configuración del Router. Por mi parte tampoco veo nada anómalo:

 

Captura.PNG

 

Tampoco entiendo bien las contradicciones que salen a la luz. Llevamos ya un año al menos con la n55_5 sin mayores problemas, aunque sí podría estar causando algún tipo de interacción las ultimas (hace años) implementaciones que se hicieron que ahora explicaré.

 

-----------

 

Respecto a que Movistar pueda o no estar usando los servidores DNS de otros... sería cuanto menos gracioso la verdad, pero lo dudo enormemente.

 

-----------------

 

Sinceramente, ahora mismo solo veo una posible causa, me parece muy raro,  pero podría explicar la mayoría de todo ello, a ver que os parece... a mi me sería fácil comprobarlo, pero sin que tengáis acceso completo al Router será complicado, y yo además no me veo afectado... quizás también porque lo deshabilité hace tiempo lo que ahora comento. Esto por supuesto es solo una hipótesis, no quiero decir que sea debido a esto:

 

Desde hace dos o tres versiones de firmware, como comenté hace tiempo, Movistar implementó una suite de seguridad de McAfee en el propio de Router, llamada "Home Security Gateway (aka hsgw). En ella se implementa en parte la llamada "conexión segura" y algunas cosas de la aplicación móvil.  El problema es que esta suite se arranca si o también en principio. Está diseñada de tal modo que la primera vez que se inicia (despues de un reset), hsgw se conecta a los servidores de McAffee y descarga diferentes configuraciones y archivos.

 

La propia Suite incluye un servidor proxy, por supuesto, que imagino que usado de forma "buena" podría servir para filtrar supuesto contenido no adecuado y otros. Pero yo soy siempre de la opinión de que no hay mejor filtro que el que pone uno mismo, no un tercero.

 

¿Podría pasar que shgw estuviese interfiriendo en el buen funcionamiento del Router? ¿Y por qué ahora y no hace días? Eso es lo bueno, que lo podría explicar... aunque repito siempre y cuando el error no pasase usando DoT/DoH.

 

Se implementó hace varias versiones, aunque en cada nueva han ido cambiando mas cosas. Por otro lado shgw se carga al iniciar y trabaja mano a mano en función de cada reinicio. Esto podría explicar también el por qué al reiniciarlo, al rato vuelve a pasar, porque al rato descargaría de nuevo datos posiblemente conflictivos o erroneos desde McAfee.

 

También podría explicar por  qué no afecta a la inmensa mayoría, no tengo claro en que momento se habilita por primera vez el servicio... yo llevo un año sin el por ejemplo, y creo que estaba asociado, cuando lo experimenté hace tiempo, con el uso de la aplicación móvil, que al aceptar el consentimiento se ponía en marcha. Pero no lo recuerdo sinceramente.

 

Pero como ya he dicho solo hay un fallo en todo este planteamiento... si con DoH/DoT sigue fallando, no puede ser debido a esto, puesto que todo el tráfico DNS sería en esencia transparente para shgw.

 

# ps | grep shgw
 3612 1234      4448 S    /bin/sh /bin/shgw_wd_monit
 3651 1234      8304 S    /bin/shgw_watchdogd /etc/shgw/shgw_watchdogd.conf 0
 4160 1234      5056 S    /bin/shgw_httpd
10995 1234      4412 S    grep shgw

# shgw kill
# ps | grep shgw
17967 1234      4412 S    grep shgw

# shgw
shgw                          shgw_dnsproxy                 shgw_httpd                    shgw_run_ndp_scan.sh          shgw_wd_dpwrap
shgw_access_restriction       shgw_encrypt_sql              shgw_log_trimmer              shgw_version                  shgw_wd_monit
shgw_device_discovery         shgw_hard_block_get_n_set.sh  shgw_router_reset             shgw_watchdogd

 

El Watchdogd mantiene levantado el servidor http de shgw, pero aunque no constantemente habilitado, el servidor dns proxy de este puede entrar en acción en algún momento dado. Yo no lo he visto nunca en ninguno de los Askey que tengo... "controlados", pero...

 

Lo investigaré más, descargaré el contenido actual y las firmas de McAfee por si hay algo raro...

 

--------------------------

 

Por último, me gustaría decir algo sobre lo de la competencia o no de  un ISP.

 

Vamos a ser serios, por favor, y evitar dejarnos llevar por la impulsividad. Entiendo perfectamente que cualquiera pueda tener problemas y de la índole que sea (yo incluido). Pero si uno no es capaz de hacerlo mejor, cuanto menos no podemos llamar incompetente a nadie por que se produzcan problemas o errores. Creo que podría ser el problema lo que he explicado, podría, si me viese afectado por ello incluso confirmarlo o no y arreglarlo!! Y no por ello llamo incompetente a nadie, menos a una empresa que genera cientos o miles de millones al año, si tan mal funcionase todo....

 

Si es debido a otra cuestión... no tengo idea que podría ser. Si es debido a lo que comento, sería un problema/error o de Movistar o de McAfee incluso, que por ende por responsabilidad sería de Movistar por usar servicios tales.

 

Seguiré investigando a ver si saco algo en claro

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 23 de 47
2.710 Visitas

Anoche hice la prueba de volver a poner de dns mi servidor pi-hole y volvieron los problemas a lo largo de la madrugada.

 

He instalado la n43 a ver qué ocurre. He leído que con la n43 no se puede usar de dns 1.1.1.1, esto también es aplicable al pi-hole, o donde no se puede poner es en el router?

 

Estaría bien que alguien de movistar avisara cuando estos problemas estén resueltos para volver a usar la última versión del firmware

Mensaje 24 de 47
2.681 Visitas

Sea lo que sea estaría bien una respuesta oficial... 

Mensaje 25 de 47
2.672 Visitas