Cloudflare blocked www.menzis.nl?

zaterdag 15 januari 2022 09:10

Acties:

+1 Henk 'm!

Topicstarter

Ik gebruik al jaren naar tevredenheid de cloudflare dns 1.1.1.1 op mijn thuisnetwerk. Geen probleem tot dus er, totdat ik sinds enkele weken geleden ontdekte dat ik de menzis app niet meer kan gebruiken. Even later ook ontdekt dat de www.menzis.nl website niet werkt.

Als ik vanuit m’n thuisnetwerk een vpn via opera gebruik werkt t wel.

Als ik de Google dns toevoeg aan het device werkt het ook.

Ik ben zeker geen netwerk of dns expert, maar wat is hier aan de hand? Is dit iets wat ik bij Menzis of bij Cloudflare moet/kan rapporteren of is er zelf iets wat ik kan doen?

zaterdag 15 januari 2022 09:13

Acties:

+2 Henk 'm!

osmosis

Hier kan je ze melden bij Cloudflare

Domain Categorization Feedback

Andere optie voordat je dat doet, misschien even je DNS flushen

[ Voor 19% gewijzigd door osmosis op 15-01-2022 09:14 ]

zaterdag 15 januari 2022 09:15

Acties:

+1 Henk 'm!

TheRookie

Nu met R1200RT

Ligt iig niet aan jou

code:

C:\>nslookup menzis.nl 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

*** one.one.one.one can't find menzis.nl: Server failed

zaterdag 15 januari 2022 09:22

Acties:

+3 Henk 'm!

TwArbo

Ik denk niet dat het 100% aan Cloudflare ligt, maar deels aan Menzis zelf. De DNSSEC van Menzis lijkt niet helemaal correct; https://dnsviz.net/d/menzis.nl/YeKECQ/dnssec/. Wellicht controleert Cloudflare net even strenger dan andere DNS resolvers.

Dig geeft ook een servfail terug.

code:

; <<>> DiG 9.10.6 <<>> menzis.nl @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 64763
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; OPT=15: 00 09 6e 6f 20 44 4e 53 4b 45 59 20 53 45 50 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 44 53 20 66 6f 75 6e 64 20 66 6f 72 20 6d 65 6e 7a 69 73 2e 6e 6c 2e ("..no DNSKEY SEP matching the DS found for menzis.nl.")
;; QUESTION SECTION:
;menzis.nl.         IN  A

;; Query time: 43 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Sat Jan 15 09:25:13 CET 2022
;; MSG SIZE  rcvd: 94

[ Voor 62% gewijzigd door TwArbo op 15-01-2022 09:25 ]

zaterdag 15 januari 2022 11:46

Acties:

0 Henk 'm!

Hackus

Lifting Rusty Iron !

DNS over HTTPS DoH, werkt niet op hun site. dat had ik al verteld met het zgn FF probleem

[ Voor 0% gewijzigd door Hackus op 15-01-2022 11:47 . Reden: typo ]

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

zaterdag 15 januari 2022 12:45

Acties:

+3 Henk 'm!

Watje4

Topicstarter

Ik heb zojuist een mail gestuurd aan de technical en administrative contacts die ik op sidn.nl zie voor menzis.nl

zaterdag 15 januari 2022 13:01

Acties:

0 Henk 'm!

Ben(V)

Je kunt ook gewoon een andere DNS gebruiken, bijvoorbeeld google (8.8.8.8)

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 15 januari 2022 14:32

Acties:

+4 Henk 'm!

Miki

Ben(V) schreef op zaterdag 15 januari 2022 @ 13:01:
Je kunt ook gewoon een andere DNS gebruiken, bijvoorbeeld google (8.8.8.8)

Dan zou ik eerder kiezen voor Quad9 via 9.9.9.9 ivm positief privacy beleid. Ik zou Google DNS liever vermijden, ze harken al meer dan genoeg data binnen.

[ Voor 6% gewijzigd door Miki op 15-01-2022 14:32 ]

zaterdag 15 januari 2022 16:07

Acties:

+1 Henk 'm!

Thralas

TwArbo schreef op zaterdag 15 januari 2022 @ 09:22:
Ik denk niet dat het 100% aan Cloudflare ligt, maar deels aan Menzis zelf. De DNSSEC van Menzis lijkt niet helemaal correct; https://dnsviz.net/d/menzis.nl/YeKECQ/dnssec/. Wellicht controleert Cloudflare net even strenger dan andere DNS resolvers.

Er zijn 3 DS records in de nl zone opgenomen, waarvan 2 orphan (corresponderen niet met een DNSKEY record op menzis.nl). Dat is waar Cloudflare hier volgens mij over struikelt.

Is niet het enige dat er mis is met hun DNSSEC: de keys gebruikt om menzis.nl te signen zijn 512 bits RSA. Kun je nog net niet factoriseren op de achterkant van een bierviltje. Zo heb je zeker niets aan DNSSEC.

Treft ook andere domeinen van Menzis: zelfde probleem bij anderzorg.nl (label van Menzis).

[ Voor 5% gewijzigd door Thralas op 15-01-2022 16:08 ]

zaterdag 15 januari 2022 19:07

Acties:

+1 Henk 'm!

Watje4

Topicstarter

Ik heb op de cloudflare community ook een topic aangemaakt en daar reageert iemand met “their DNSSEC looks slightly broken” en dan dit plaatje Afbeeldingslocatie: https://tweakers.net/i/uX4Pcsgt_InzswPCpinT-wNkgkA=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/7vPXt1o0YkYM46X2Wb6oPA3p.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/uX4Pcsgt_InzswPCpinT-wNkgkA=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/7vPXt1o0YkYM46X2Wb6oPA3p.png?f=user_large

https://community.cloudfl...k-on-1-1-1-1-dns/345959/2

zondag 16 januari 2022 11:15

Acties:

+1 Henk 'm!

TwArbo

Watje4 schreef op zaterdag 15 januari 2022 @ 19:07:
Ik heb op de cloudflare community ook een topic aangemaakt en daar reageert iemand met “their DNSSEC looks slightly broken” en dan dit plaatje [Afbeelding]

https://community.cloudfl...k-on-1-1-1-1-dns/345959/2

Dat plaatje krijg je als je op de link naar dnsviz drukt uit mijn eerdere reactie.

zondag 16 januari 2022 14:14

Acties:

0 Henk 'm!

Watje4

Topicstarter

TwArbo schreef op zondag 16 januari 2022 @ 11:15:
[...]

Dat plaatje krijg je als je op de link naar dnsviz drukt uit mijn eerdere reactie.

Excuus, dat realiseerde ik me niet. Als niet-expert kan ik het plaatje trouwens ook niet goed interpreteren.

zondag 16 januari 2022 16:49

Acties:

+1 Henk 'm!

TwArbo

Watje4 schreef op zondag 16 januari 2022 @ 14:14:
[...]

Excuus, dat realiseerde ik me niet. Als niet-expert kan ik het plaatje trouwens ook niet goed interpreteren.

Als je een goede uitgebreide uitleg over DNS wil lezen, dan kan ik je hoofdstuk 2 van dit rapport aanraden. Voor niet-experts leggen ze vrij goed uit wat DNS is. Ze gaan helaas niet in op DNSSEC.

maandag 17 januari 2022 23:19

Acties:

+1 Henk 'm!

brian8544

Door Google gelukkig op deze thread gekomen, was al radeloos aan het zoeken. Hele tijd gedacht dat het probleem bij/op mijn eigen netwerk zat. Nooit geen probleem gehad met Cloudflare. Nu maar tijdelijk DNS gechanged naar die van Google. Geen ervaring met Quad9 - hopelijk wordt dit probleem snel opgelost.

dinsdag 18 januari 2022 13:58

Acties:

0 Henk 'm!

Watje4

Topicstarter

Miki schreef op zaterdag 15 januari 2022 @ 14:32:
[...]

Dan zou ik eerder kiezen voor Quad9 via 9.9.9.9 ivm positief privacy beleid. Ik zou Google DNS liever vermijden, ze harken al meer dan genoeg data binnen.

Zojuist even de performance van Quad9 vergeleken met Cloudflare https://www.dnsperf.com/#!dns-resolvers,Europe

Verschil in responsetime is aanzienlijk. Ga je dat merken met een fors gebruik thuis netwerk?

dinsdag 18 januari 2022 14:13

Acties:

0 Henk 'm!

Miki

Watje4 schreef op dinsdag 18 januari 2022 @ 13:58:
[...]

Zojuist even de performance van Quad9 vergeleken met Cloudflare https://www.dnsperf.com/#!dns-resolvers,Europe

Verschil in responsetime is aanzienlijk. Ga je dat merken met een fors gebruik thuis netwerk?

Dat ligt eraan met name hoe je je netwerk hebt ingericht en welke apparatuur je hebt. Als je gebruik maakt van een pihole/Adguard oplossing dan zullen herhaaldelijke verzoeken worden afgevangen door cache en dat gebeurt ook met de wat betere routers.

Ik prefereer zelf trouwens ook Cloudflare boven Quad9, ik reageerde echter op iemand die gebruik wilde maken van Google DNS servers. Uit jouw linkje blijkt dat het ze het heel wat slechter doen en daarnaast verre van betrouwbaar omgaan met privacy gevoelige info terwijl Quad9 in Zwitserland wordt gehost en dus onder de strenge Zwitserse privacy wetgeving valt. Cloudflare heeft overigens zelf ook een stevige policy mbt privacy.

dinsdag 18 januari 2022 14:53

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

Watje4 schreef op dinsdag 18 januari 2022 @ 13:58:
[...]
Verschil in responsetime is aanzienlijk. Ga je dat merken met een fors gebruik thuis netwerk?

Het lijkt een enorm verschil: 7 ms tegenover 42 ms maar het gaat in totaal om 35 ms vertraging en dat merk je niet, tijdens het laden van een website. Hang er een pi-hole tussen en je response tijd loopt op naar 100+ ms. Toch is er geen enkele tweaker die daar over klaagt

QnJhaGlld2FoaWV3YQ==

zondag 23 januari 2022 08:53

Acties:

0 Henk 'm!

Watje4

Topicstarter

Het werkt weer! Zonder dat ik bericht terug heb gehad van de SIDN contacten 😕

zondag 23 januari 2022 10:04

Acties:

+1 Henk 'm!

leroy98ecker

Watje4 schreef op zondag 23 januari 2022 @ 08:53:
Het werkt weer! Zonder dat ik bericht terug heb gehad van de SIDN contacten 😕

Inderdaad, hij doet het gelukkig weer met Cloudfare!

Afbeeldingslocatie: https://tweakers.net/i/4bf9IVg4jXiFR5HXcDQqfoHzXFc=/x800/filters:strip_icc():strip_exif()/f/image/3Il8PDGEsGyPY9s7Cs8q1en8.jpg?f=fotoalbum_large

Brahiewahiewa schreef op dinsdag 18 januari 2022 @ 14:53:
[...]

Het lijkt een enorm verschil: 7 ms tegenover 42 ms maar het gaat in totaal om 35 ms vertraging en dat merk je niet, tijdens het laden van een website. Hang er een pi-hole tussen en je response tijd loopt op naar 100+ ms. Toch is er geen enkele tweaker die daar over klaagt

Ik moet zeggen dat het verschil tussen Quad9 en Cloudfare me meevallen. Wanneer het gecached wordt, is het antwoord vaak binnen 1 ms. Vanuit Nederland (KPN) is een antwoord krijgen van Cloudfare of Quad9 vaak even snel en rond de 5-7 ms. Mijn AdGuard staat zo ingesteld dat de snelste het oppakt. Als voorbeeld:

Afbeeldingslocatie: https://tweakers.net/i/lUPouK1cgTH7vhrr9LTOJEXUtXU=/x800/filters:strip_icc():strip_exif()/f/image/y5enmNnJciX0qoBkfuK5MmLQ.jpg?f=fotoalbum_large

Vraag

Alle reacties