Problemi con Fastweb e DNS alternativi

ekerazha · 2026-02-19T11:20:00+00:00

Da qualche giorno con Fastweb (mobile) ho problemi con i DNS alternativi. Usando i server DNS di default di Fastweb la navigazione è abbastanza normale, ma n...

poweruser

MassimoBordonaro Se i DNS non vanno è normale che la navigazione risulti a singhiozzo.
Il web moderno richiede tantissime richieste dns, se il dns principale non va devi attendere per ogni query che questa fallisca e inneschi il fallback (in genere 8.8.8.8, poi dipende dal tel).
Se il timeout è a 1s e per aprire una pagina web devi interrogare 10 domini, sono 3 richieste a dominio * 1s * 10 domini, quindi 30s solo per risolvere i dns.

Il problema è semmai un altro, perché DoT/DoH non sta funzionando.

IzNoGud78

giumar router di fastweb.

giumar

IzNoGud78 Quale modello? Il Fastgate o il NeXXt?

IzNoGud78

giumar è il NeXXt
la cosa strana è che riesco comunque ad utilizzare la maggior parte delle app, anche se è costantemente presente l'icona di connettività limitata e di tanto in tanto mi compare la notifica dell'errore di connessione con il dns.

giumar

IzNoGud78 Nel NeXXt c'è un opzione sul DNS sicuro. Non ho mai capito a che serve, ma hai provato a disattivarla?

IzNoGud78

giumar sì, avevo già fatto questo tentativo... per un paio di giorni non ho avuto problemi, poi però si è ripresentata l'icona del wifi con connettività limitata e l'errore del dns, quindi l'ho riattivata.

Gli altri dispositivi android che si connettono alla stessa wifi sembra non abbiano problemi, ma hanno versioni di android meno recenti... magari sarà preferibile tenere comunque disabilitata l'opzione del dns sicuro, dato che ho settato i dns sui singoli dispositivi, ma l'unico dispositivo sul quale sembra presentarsi il problema è il mio smartphone.

C'è da dire che anche con l'app del provider dns che utilizzo ho qualche problema... a volte sembra che alcune app non riescano a connettersi e di tanto in tanto ricompare l'icona della connettività limitata sul wifi. Per risolvere il problema devo disabilitare il wifi, disabilitare la connessione in DoT tramite l'app, disabilitare la vpn e poi riattivare il tutto. Impostando invece il dns sicuro sui browser che utilizzo (in modalità DoH), non ho alcun tipo di problema.

Ho provato anche l'app DNSNet, ma inspiegabilmente non riesce proprio a connettersi con il server dns che utilizzo... ha comunque il vantaggio e la comodità di permetterti di impostare più server dns e poter passare da una configurazione all'altra usando la stessa app.

Juza

IzNoGud78 guarda che quell’opzione attivata impedisce ai dispositivi di usare un dns diverso da quello dell’operatore

ekerazha

IzNoGud78 Io ho problemi con la rete mobile. La cosa divertente è che avevo già provato con l'app di Cloudflare (WARP) che sfrutta appunto il meccanismo della VPN, ma attivando WARP la connessione smette totalmente di funzionare. L'unica soluzione è stata utilizzare una VPN vera e propria (ProtonVPN).

giumar Nessuno dei due, è la connessione mobile (da laptop uso la connessione mobile in tethering).

giumar

Juza Ah, quindi serve a quello, fanno davvero DNS hijacking. 😅

IzNoGud78

Juza non so quanto quell'opzione possa forzare i singoli dispositivi... tra l'altro avevo già provato a disabilitarla un paio di settimane fa, anche se lo avevo fatto usando l'app MyFastweb e non direttamente dall'interfaccia web del NeXXt... dopo un paio di giorni però, sullo smartphone mi era ricomparsa la notifica della connettività limitata e dell'impossibilità di connettersi al dns.

Tra l'altro, se sul pc e su altri dispositivi disabilito il DoH nelle impostazioni del browser e faccio qualche test, a prescindere che l'opzione del DNS Sicuro sia abilitata oppure no sul NeXXt, a quanto pare ~~non ci sono evidenti problemi ad utilizzare i dns impostati~~.

EDIT: dipende dal DNS, alcuni dispositivi sui quali ho impostato i dns di Cloudflare riescono a connettersi senza problemi anche con l'opzione del DNS protetto abilitata... risulta addirittura attivo il DoT che non risulta attivo con la funzionalità DNS protetto disabilitata. Purtroppo però, con provider come quad9, i problemi si presentano eccome.

Manterrò comunqe il DNS Sicuro disabilitato, è evidente che non ci sia alcuna utilità a tenerlo abilitato.

poweruser

giumar Certo, i router di diversi operatori lo fanno.
Ma OP parlava di rete mobile e blocco di DoT/DoH, una cosa molto diversa.

Juza

IzNoGud78 la sua funzione è proprio impedire ai dispositivi di cambiare i dns. Mi pare sia chiaramente indicato sulla guida del nexxt nell’app.

giumar

anche se lo avevo fatto usando l'app MyFastweb e non direttamente dall'interfaccia web del NeXXt

IzNoGud78 Dall'app MyFastweb non c'è quell'opzione. Mi sa che hai disabilitato una cosa per un'altra...

IzNoGud78

Juza in realtà sull'app non ci sono indicazioni in merito... solo sull'interfaccia web del NeXXt visualizzo la seguente didascalia:

La configurazione del DNS viene eseguita automaticamente quando ci si connette alla rete. In alternativa si può configurare manualmente il DNS sui propri dispositivi
Mantieni il "DNS Sicuro" attivo per evitare che i Malware infettino i tuoi dispositivi o reindirizzino il traffico verso siti Web non sicuri. E' possibile disabilitare il "DNS Sicuro" e configurarlo manualmente sui dispositivi che si associano al modem

giumar c'è l'opzione DNS Proxy che risulta disattivata se disabilito DNS protetto dall'interfaccia web del NeXXt, presumo sia la stessa funzionalità

Juza

IzNoGud78 mi ricordavo di averlo letto da qualche parte

LinusCasp

leoventu

Direi che prima di scendere dai piedi per terra sarebbe opportuno riaprire i libri di networking (io li studio da 40 anni non so te, ho i miei seri dubbi). Confondere un MITM (Man-In-The-Middle) illegale sui contenuti con un Transparent DNS Proxy (o DNS Hijacking sulla porta 53) è l'errore tipico di chi si ferma alla superficie della questione (e parla per sentito dire).

Nessuno ha parlato di intercettare il traffico cifrato HTTPS. Si parla di metadata: l'ISP non ha bisogno di violare la legge per sapere quali siti visiti gli basta gestire le richieste DNS in chiaro sulla porta 53, pratica comune e documentata per applicare filtri (AGCOM/CNC) o ottimizzare il traffico.

Sostenere che criptare il DNS “serva a poco perché il traffico è cifrato” ignora l'esistenza del campo SNI (Server Name Indication) e il fatto che la risoluzione del nome avviene prima dello stabilimento della sessione TLS. Se l'operatore vede la query DNS sa dove stai andando, anche se non sa cosa scrivi.

Invece di citare il “macellaio” ti suggerisco di documentarti sulle RFC 8484 (DoH) e RFC 7858 (DoT). Proteggere la propria risoluzione DNS è una best practice di sicurezza raccomandata da Cloudflare, Google e Mozilla per evitare proprio quel tracciamento dei metadati che è invece obbligatorio per legge (Art. 132 Codice Privacy).
Come ho mostrato non sono io a fare disinformazione ma tu (ora non si può nemmeno più verificare perché hai eliminato i miei contributi al post). Proprio perché è un forum tecnico si presuppone uno sappia di cosa parla e se cancella i post degli altri dovrebbe fare prima qualche verifica.
Riguardo al ban di 5 giorni per essere andato OT le mie erano risposte allo intervento di un altro utente intervenuto in questa discussione dal nulla Robertos che – lui non io – non contribuiva nel merito ma faceva flame. Come ho visto fare tante volte sarebbe bastato spostare le mie risposte nella discussione pertinente che ho citato.
Non è la prima volta che si vede – non sono solo io a notarlo - una moderazione non seria in questo forum: si vede sempre lo stesso giro di nomi che interviene a censurare etc solo per fare piacere a qualcuno. Se trovo cose scorrette io continuerò a intervenire per cercare di chiarire e correggere. Lo ho sempre fatto con tutti in passato e non è certo un ban “dello amico di” che mi scoraggia. Mi auguro che una moderazione più seria – non più a misura degli amici degli amici – sia presa in considerazione dalla amministrazione del forum in futuro @andreagdipaolo

IzNoGud78

ll comportamento che descrivi (l'icona di connettività limitata e l'errore del DNS privato su Android) è il sintomo di un conflitto tra il DNS Hijacking del router e il protocollo DoT (DNS over TLS) del telefono. Quando attivi il “DNS Sicuro” sul Nexxt il router attiva un DNS Proxy che intercetta tutte le richieste sulla porta 53. Se il tuo Android prova a usare il “DNS Privato” (che usa la porta 853 per il DoT) il router o l'ISP potrebbero droppare quei pacchetti o creare un timeout perché non corrispondono alla politica di risoluzione sicura del Nexxt. Android è molto sensibile. Se imposti 1.1.1.1 e il sistema non riceve risposta immediata sulla porta 853 l'icona del Wi-Fi mostra la X o il punto esclamativo perché il test di connettività verso i server Google fallisce la risoluzione DNS. Le app dei resolver o le VPN creano un tunnel criptato che il Nexxt non può ispezionare. Il traffico DNS viene “impacchettato”e passa indisturbato, scavalcando il blocco sulla porta 53/853. Devi disabilitare il “DNS Sicuro” dal Next ma assicurati di farlo dall'interfaccia web (non dall'app) e riavvia il router. Se il problema persiste anche in DoT, significa che l'intercettazione avviene a monte sulla rete dell'operatore. In quel caso l'unica soluzione definitiva è quella di un router in cascata che gestisce il DoH (DNS over HTTPS). A differenza del DoT il DoH viaggia sulla porta 443 (la stessa del normale traffico web) rendendo tecnicamente impossibile per l'operatore distinguerlo o bloccarlo senza interrompere l'intera navigazione internet.Il tutto è legale anzi raccomandato: i provider possono utilizzare i dati anche per profilazioni commerciali: cioè per inviarti pubblicità mirate. E’ tuo diritto secondo la legge evitare che ciò avvenga.

ekerazha

Il problema persiste. Quando imposto "one.one.one.one" come DNS sicuro in Android, all'inizio sembra funzionare, dopo un po' mi esce la notifica "Impossibile connettersi al DNS privato" e nelle impostazioni mi dà errore di connessione. Questo non accade solo con Cloudflare ma anche con altri DNS come ControlD. L'unica soluzione continua ad essere quella di usare una VPN come ProtonVPN.

poweruser

ekerazha partiamo dalle basi. Niente DNS privato, niente VPN.
one.one.one.one ti si apre nel browser?

ekerazha

Dai che non voglio avere ban sulla coscienza per risposte al thread che ho aperto io, focalizziamoci sul mio problema 🤣 Come già detto, il mio problema è con la connessione mobile, quindi Nexxt & co. non sono in gioco.

Piccola domanda tecnica per chi ne sa più di me: quando si specifica un hostname per il secure DNS (es. "one.one.one.one" per Cloudflare), quel nome come viene risolto? Nel senso... per risolvere il nome del DNS stesso (one.one.one.one appunto) viene usato un altro DNS? Come funziona? Perché se Android mi dice che non riesce a connettersi a one.one.one.one, è come se al DNS sicuro nemmeno riuscisse ad arrivarci.

@Littlegary Tu hai qualche novità?

Juza

ekerazha scusa ma cambiare router? Considerando che se hai il Nexxt fa pena 😅

ekerazha

Juza Ragazzi state confondendo me e un altro utente. Io sono OP e ho il problema con la connessione mobile (non fissa, e non ho Nexxt) esattamente come Littlegary.

giumar

scusa ma cambiare router? Considerando che se hai il Nexxt fa pena 😅

Juza Paradossalmente il NeXXt sarebbe il miglior router che Fastweb fornisce, sicuramente meglio di quel cesso del Fastgate.

IzNoGud78

ekerazha scusami se sono andato OT, comunque su un dispositivo sul quale c'è sim fastweb ed è impostato cloudflare come dns privato, non ho nototo alcun problema con la connessione dati.

Anche se, facendo qualche test, si nota una sostanziale differenza tra l'avere il DoH abilitato https://is.gd/lbAJkO e mantenere abilitato solo il dns privato https://is.gd/fY6XZ9

Sembra che il DoT non si attivi con il DoH abilitato sul browser, però se connesso tramite wifi e con l'opzione DNS protetto abilitata sul NeXXt, risultano attivi entrambi.

mario152475

ekerazha
non può essere il parental control?

Cosa ti restituisce https://dnscheck.tools/ quando provi a cambiare i dns?

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile