Gelöst
Telekom hilft Labor: Testet mit uns „DNS over HTTPS“!
vor 4 Jahren
Zum Einstieg ein kleiner Exkurs: Wat is'n Dampfmaschin'? Uups, falscher Film. 😉 Noch mal von vorne: Wat is DNS? DNS steht für „Domain Name System“. Es wird von vielen auch als „Telefonbuch des Internets“ bezeichnet. Denn ohne DNS müsstet ihr euch die IP-Adresse jeder Seite merken, um darauf zuzugreifen. Wenn ihr beispielsweise www.telekom.de in den Browser eingibt, wird dieser Name in eine computerfreundliche Server-IP-Adresse – wie 80.158.67.40 – übersetzt bzw. aufgelöst. Mit „normalem“ DNS ist die Kommunikation zwischen dem Client (also eurem Browser/Rechner) und dem DNS-Server (in dem das Telefonbuch gespeichert ist) nicht verschlüsselt.
Mit „DNS over HTTPS (DoH)“ steht euch ein neues Protokoll zur Verfügung, mit dem der DNS-Verkehr zwischen Client und Server verschlüsselt wird. Es kann verhindern, dass der DNS-Verkehr von Dritten mitgelesen und manipuliert wird.
Um diesen Service zukünftig allen Kunden anzubieten, testen wir das Protokoll gerade in der Praxis. Wer möchte kann DoH jetzt schon im Firefox* konfigurieren und ausprobieren. Wir freuen uns in der Test-Phase über jeden Kunden, der gemeinsam mit uns testet.
Unsere Experten @WinfriedA und @Nicolai L. begleiten diesen Test. Sie freuen sich auf eure Fragen und euer Feedback. Also startet den Feuerfuchs, konfiguriert DoH und testet drauf los! 😊
* Chrome unterstützt nur eine bestimmte Auswahl von Servern über das "Auto-Upgrade" - es kann kein Server händisch eingetragen werden (so wie bei Firefox). In einer früheren Version konnte man den Server in der Kommando-Zeile spezifizieren, aber das Feature wurde wohl entfernt. Ähnlich verhält sich bei anderen Browsern: Entweder wird DoH noch nicht unterstützt oder es ist nicht möglich einen Server händisch einzutragen. Sobald eine manuelle Konfiguration mit anderen Browsern möglich ist, werden wir euch eine entsprechende Anleitung in diesem Thread zur Verfügung stellen.
Hinweis:
22374
134
Das könnte Ihnen auch weiterhelfen
vor 8 Jahren
17528
26
27
1328
18
4
634
10
4
Akzeptierte Lösung
akzeptiert von
vor 4 Jahren
Konfiguration von DoH im Mozilla Firefox Browser
SCHRITT 1
"Einstellungen" aufrufen:
SCHRITT 2
In den Einstellungen bis ganz unten scrollen und danach unter "Verbindungs-Einstellungen" auf "Einstellungen" klicken:
SCHRITT 3
Scrollt im nächsten Dialog bis ans Ende und setzt bei "DNS über HTTPS aktivieren" ein Häkchen. Als Anbieter wählt ihr "Benutzerdefiniert" aus und trägt im Textfeld in der nächsten Zeile den Server „https://dns.telekom.de/dns-query“ ein. Jetzt speichert ihr mit "OK" die Änderungen ab. Damit ist die Konfiguration von DoH abgeschlossen.
Hinweis: Leider verfügt der Mozilla Firefox über keine Statusanzeige, über die geprüft werden kann, ob DoH verwendet wird (beispielsweise analog zur Anzeige, ob eine Internetseite verschlüsselt ist). Es gibt jedoch die Möglichkeit zu prüfen, ob bestimmte Domains über DoH aufgelöst werden. Dazu müsst ihr die interne DNS-Statusseite von Firefox aufrufen, indem ihr in die Adressleiste folgende URL eintippt: about:networking#dns
Wer möchte kann oben rechts das Häkchen bei "Automatisch alle 3 Sekunden aktualisieren" setzen.
Wenn in der Spalte TRR (Trusted Recursive Resolver) für eine Internetseite (Hostname) "true" aufgeführt ist, wurde diese über DoH aufgelöst. Ist dort "false" aufgeführt, dann erfolgte die Auflösung über das normale DNS.
27
Antwort
von
vor 4 Jahren
versuch es doch einfach mal mit "dns.telekom.de". Zumindest mein Unbound läuft damit ganz gut
server:
tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
forward-zone:
name: "."
forward-tls-upstream: yes
## Telekom
forward-addr: 217.0.43.146@853#dns.telekom.de
Antwort
von
vor 4 Jahren
@Joulinar
Könnte ich, danke für den Hinweis.
Will ich aktuell aber gar nicht.
Antwort
von
vor 4 Jahren
Übrigens scheine ich mit DoT geerbt zu haben, dass manche Werbeeinblendungen nicht mehr angezeigt werden. Und könnte an DoT liegen, dass mir Videos auf Webseiten nicht mehr ohne weiteres angezeigt werden - da hab ich aber noch keine Zeit reingesteckt.
Übrigens scheine ich mit DoT geerbt zu haben, dass manche Werbeeinblendungen nicht mehr angezeigt werden.
Und könnte an DoT liegen, dass mir Videos auf Webseiten nicht mehr ohne weiteres angezeigt werden - da hab ich aber noch keine Zeit reingesteckt.
Könnte es vielleicht an blahdns liegen?
vor 4 Jahren
Hallo zusammen, ich möchte mich nur kurz vorstellen. Ich bin einer der Systemadministratoren der Telekom DNS-Resolver Infrastruktur. Ich hoffe, dass ich hier dazu beitragen kann, offene Fragen zu den Themen DoH/DoT zu beantworten.
Winfried
97
Antwort
von
vor 4 Jahren
Ich habe ihn als DoT in Android eingetragen. Bin mir aber nicht sicher, ob er wirklich verwendet wird.
Ich bekomme im WLAN und via LTE unterschiedliche Ergebnisse. Für mich lässt das nur zwei Schlussfolgerungen zu:
Eine Möglichkeit Android nimmt ihn nicht.
Zweite Möglichkeit: Telekom ist mehr oder weniger genial und beantwortet Fragen aus IPv6 Bereich vom IPv6-only APN mit den dort erwarteten dsn64 Antworten z.B. ipv4only.arpa
Gibt's dazu Aussagen von der Technik oder soll ich das am Notebook mit geeigneten Tools selber verifizieren?
Test am Notebook via hotspot zeigt, dass kein DNS64 aufgelöst wird. D.h für mich, Android scheint die DoT-Einstellung zu ignorieren oder ich habe einen anderen Denkfehler.
Antwort
von
vor 4 Jahren
Ich habe ihn als DoT in Android eingetragen. Bin mir aber nicht sicher, ob er wirklich verwendet wird. Ich bekomme im WLAN und via LTE unterschiedliche Ergebnisse. Für mich lässt das nur zwei Schlussfolgerungen zu: Eine Möglichkeit Android nimmt ihn nicht. Zweite Möglichkeit: Telekom ist mehr oder weniger genial und beantwortet Fragen aus IPv6 Bereich vom IPv6-only APN mit den dort erwarteten dsn64 Antworten z.B. ipv4only.arpa Gibt's dazu Aussagen von der Technik oder soll ich das am Notebook mit geeigneten Tools selber verifizieren? Test am Notebook via hotspot zeigt, dass kein DNS64 aufgelöst wird. D.h für mich, Android scheint die DoT-Einstellung zu ignorieren oder ich habe einen anderen Denkfehler.
Ich habe ihn als DoT in Android eingetragen. Bin mir aber nicht sicher, ob er wirklich verwendet wird.
Ich bekomme im WLAN und via LTE unterschiedliche Ergebnisse. Für mich lässt das nur zwei Schlussfolgerungen zu:
Eine Möglichkeit Android nimmt ihn nicht.
Zweite Möglichkeit: Telekom ist mehr oder weniger genial und beantwortet Fragen aus IPv6 Bereich vom IPv6-only APN mit den dort erwarteten dsn64 Antworten z.B. ipv4only.arpa
Gibt's dazu Aussagen von der Technik oder soll ich das am Notebook mit geeigneten Tools selber verifizieren?
Test am Notebook via hotspot zeigt, dass kein DNS64 aufgelöst wird. D.h für mich, Android scheint die DoT-Einstellung zu ignorieren oder ich habe einen anderen Denkfehler.
Es gibt eigentlich keinen Grund warum Android dann nicht dauerhaft DoT verwendet. DNS64 steht noch nicht zur Verfügung am DoT. Welche "unterschiedliche Ergebnisse"?
Antwort
von
vor 4 Jahren
Wenn ich im LTE Netz bin und den DoT-Server eingetragen habe, bekomme ich für ipv4only Adressen immernoch AAAA-Reords.
Im WLAN nicht.
Ich habe es noch einmal mit dem normalen DoT von Google verglichen. Da habe ich mittlerweile das gleiche Verhalten. Früher gab es an dieser Stelle keine Auflösungen. Android (11) oder früher scheint hier etwas intern geändert zu haben.
WLAN Tests mit IPv6-only Umgebungen stehen noch aus, Mal sehen, was Android dort macht.
vor 4 Jahren
Ist in Telekom DoT ein Adblocker eingebaut?
Manche Werbung verschwindet damit.
6
Antwort
von
vor 4 Jahren
Ist es denn trotzdem okay DoT zu testen oder ist es ein Problem?
Ist es denn trotzdem okay DoT zu testen oder ist es ein Problem?
Es ist kein Problem. Allerdings kann es je nach Client Konfiguration (FritBox, Stubby, Android, ...) noch vereinzelt zu Timeouts (DNS SERVFAIL) kommen, wenn zu viele DNS queries auf einmal gesendet werden. Die Ursache ist Serverseitig. Die Verarbeitung erfolgt pro TCP Client Verbindung sequentiell. Das ist nicht gut, weil "problematische" Queries diese Warteschlange blockieren. Je mehr TCP Verbindungen ein Client verwendet, desto weniger Probleme im Moment. Allerdings ist die Lösung bereits im Labor-Test. Wir warten mit dem Rollout nur noch auf die Freigabe der SW.
Antwort
von
vor 4 Jahren
Liebe Teilnehmer*innen,
vielen Dank für euer konstruktives Feedback und die interessanten Unterhaltungen. Wir konnten daraus einiges für uns mitnehmen. Dieser Test ist nun abgeschlossen.
Wie schon häufiger in den letzten Wochen angesprochen, möchten wir ca. Mitte Juli „DNS over TLS“ vertesten. Es wird hierzu ebenfalls einen offenen Test im Telekom hilft Labor geben. Wir freuen uns auch dort über reges Interesse und eure Rückmeldungen.
Bis dahin!
Euer Experten-Team und die Labor-Crew
Antwort
von
vor 4 Jahren
Moin zusammen,
@Bernd M. hatte es bereits angekündigt, jetzt ist es soweit. 😉
Unser neuer Test „DNS over TLS“ ist heute im Telekom hilft Labor gestartet. Ihr findet ihn - wie gehabt - im Bereich der öffentlichen Tests und Umfragen. Alternativ hier der Direktlink:
https://telekomhilft.telekom.de/t5/Offene-Tests-Umfragen/Telekom-hilft-Labor-Testet-mit-uns-DNS-over-TLS/td-p/5259336
Wenn ihr Zeit und Lust habt, würden wir uns sehr über eure Teilnahme freuen. 😊
Habt ein schönes Wochenende! 😎
Euer Experten-Team und die Labor-Crew
Akzeptierte Lösung
akzeptiert von
vor 4 Jahren
Liebe Teilnehmer*innen,
vielen Dank für euer konstruktives Feedback und die interessanten Unterhaltungen. Wir konnten daraus einiges für uns mitnehmen. Dieser Test ist nun abgeschlossen.
Wie schon häufiger in den letzten Wochen angesprochen, möchten wir ca. Mitte Juli „DNS over TLS“ vertesten. Es wird hierzu ebenfalls einen offenen Test im Telekom hilft Labor geben. Wir freuen uns auch dort über reges Interesse und eure Rückmeldungen.
Bis dahin!
Euer Experten-Team und die Labor-Crew
0