Solved
Telekom hilft Labor: Testet mit uns „DNS over TLS“!
4 years ago
Update 23.08.2021: Der Test ist beendet.
********************************
Liebe Community,
mit DNS over TLS (DoT) steht euch ein neues Protokoll zur Verfügung, das DNS-Verkehre zwischen Client (Router) und Server verschlüsselt. Es kann verhindern, dass der DNS-Verkehr eines Nutzers von Dritten mitgelesen wird. Damit auch Telekom Kunden diesen Service direkt von ihrem Telekommunikationsanbieter beziehen können, testen wir das Protokoll gerade in der Praxis. Aus diesem Grund laden wir euch herzlich dazu ein, DNS over TLS zu konfigurieren und auszuprobieren!
Für diejenigen unter euch, die direkt loslegen möchten, hier die notwendigen Informationen zur Nutzung des DoT Servers der Telekom: 😉
Server Name: dns.telekom.de
Port Nummer: 853 (Standardport für DoT)
Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt. Unser Experte @WinfriedA begleitet den Test und unterstützt euch, wenn ihr Fragen habt. 😊
Viel Spaß beim Ausprobieren!
Note:
39396
87
This could help you too
3 years ago
1719
0
2
8 years ago
17528
26
27
1328
18
4
634
10
4
4 years ago
Konfiguration von DoT im Router am Beispiel der AVM FRITZ!Box
Um DNS over TLS (DoT) unter einer FRITZ!Box einzurichten, muss zunächst die aktuellste Version der FRITZ! OS Software installiert werden. Dies kann über den regulären Update-Mechanismus des Routers angestoßen werden. Derzeit benötigt die Box ein Release ab Version 7.20.
Schritte zum Einschalten von DoT:
Nachdem ihr euch an der Benutzeroberfläche der FRITZ!Box angemeldet habt, müsst ihr die "erweiterte Ansicht" einschalten. Dies geht, indem ihr auf die drei Punkte in der rechten oberen Ecke klickt. Danach erscheint ein entsprechendes Menü:
Hier könnt ihr die "erweiterte Ansicht" einschalten:
Im nächsten Schritt lässt sich DoT unter dem Menüpunkt "Internet/Zugangsdaten" im Reiter "DNS-Server" wie folgt konfigurieren:
Damit ist die Konfiguration von DoT auf der FRITZ!Box abgeschlossen. Von nun an werden alle DNS Anfragen von Clients im Heimnetz über die FRITZ!Box mittels DoT verschlüsselt, sofern auf dem Client die FRITZ!Box als DNS-Server hinterlegt ist.
Wer möchte kann die - hoffentlich erfolgreiche - Konfiguration auch überprüfen. Wechselt dazu ins Log des Routers und schaut unter "System/Ereignisse" nach, ob die DoT Verbindung erfolgreich aufgebaut wurde. Das kann einen Moment dauern, also nicht direkt ungeduldig werden. 😉
Bei Problemen, Anregungen usw. bitte einen Beitrag erstellen – wir sind über jedes Feedback dankbar und werden den Artikel regelmäßig aktualisieren. In den nächsten Tagen/Wochen werden wir hier weitere Anleitungen ergänzen.
40
Answer
from
3 years ago
Ah, ja, logisch! Da hast Du natürlich Recht!
Answer
from
3 years ago
Das verschlüsselte DNS Protokoll im IPhone hat nichts mit dem DoH/DoT bei der Telekom zu tun. Es müsste also völlig unabhängig voneinander funktionieren. Das iPhone verwendet bei verschlüsseltem DNS allerdings DNS Resolver von Drittanbietern.
Netzwerk verschlüsseltes DNS blockiert“
Dafür habe ich keine Erklärung. Im Grunde ist eine verschlüsselte DNS (DoH) Verbindung genau das Gleiche wie die Verbindung zu jedem anderen HTTPS Webserver über Port 443. Was da genau angeblich "blockiert" wird, weiß ich nicht.
Wie auch immer. Egal ob die FB auf DoT eingestellt ist oder nicht, verschlüsseltes DNS in IOS muss unabhängig davon funktionieren.
Answer
from
3 years ago
@WinfriedA
Dankeschön!
4 years ago
@Nils_K Top! Danke, ist eingerichtet auf der Fritz!Box und läuft. Kann der Cloudflare Server raus….
8
Answer
from
4 years ago
@WinfriedA
der Query führt bei mir zu einem Serverfail - ich habe aber auch keine Fritzbox. auf meinem Router "pfSense" wird aber der DOT Server als forwarder angezeigt.
endpoint-type ist doch der Hostname/Domain ? ist die Vollständig?
Answer
from
4 years ago
der Query führt bei mir zu einem Serverfail
Das ist seltsam. Versuche es mal mit einem Punkt "endpoint-type." am Ende.
Kann ich einen Screenshot sehen?
Answer
from
4 years ago
@WinfriedA
Problem hat sich erledigt, funktioniert.
es gab bei mir im Resolver einen Domainoverwrite der wohl falsch war, daher hat er den Query an einen falschen DNS weitergeleitet.
4 years ago
Hallo @Nils_K
geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?
9
Answer
from
4 years ago
Hallo zusammen,
Hallo @Nils_K geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?
Hallo @Nils_K
geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?
DNS over TLS ist für den Smart 4 in Planung. 😉
VG,
Nils
Answer
from
4 years ago
Guten Morgen Nils,
Ich habe seit September auch ein Speedport Smart 4 Typ A( vorher Fritzbox 7590), möchte deshalb auch DoT auf dem Speedport einrichten.
Wie ist der Status hier ?
Mit frundlichen Grüßen
Tom
Answer
from
4 years ago
Guten Morgen Nils,
Stand 03.09.21 ist der Speedport Smart 4 Typ A immer noch nicht für DoT freigeschaltet.
Wann wird der Router hierfür freigeschaltet ?
Mit freundlichen Grüßen
Tom
4 years ago
Mit opnsense (unbound) und AdGuard Home getestet.
Funktioniert bisher tadellos.
VG p.zwackelmann
0
4 years ago
Benutze DoT schon seit dem ihr DoH im Labor hattet. Lief bisher tadellos, außer am Anfang. Da war es aber auch noch nicht offiziell. Von der Geschwindigkeit bemerke ich keinen Unterschied.
Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.
8
Answer
from
4 years ago
Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten
Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten
Der Smart4 kann es, siehe eng Menu, es ist lediglich „noch“ nicht freigeschaltet. Geht dann bestimmt, wenn der Test zu Ende ist
Answer
from
4 years ago
Geht dann bestimmt, wenn der Test zu Ende ist
Wahrscheinlich erst, wenn der Smart 5 im Testlabor erscheint,
Duck und wech ...
Gruß Ulrich
Answer
from
3 years ago
MaximilianH Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung. Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung. MaximilianH Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung. Gute Frage. Aktuell benutzen wir noch nicht alle Resolver-Sites für DoT. Ich denke, spätestens wenn dieser Test abgeschlossen ist, werden wir auch dazu übergehen mehrere Adressen zu liefern. Ich weiß zwar nicht ob ein DoT Client damit einen Fail-over machen kann im Fehler-Fall, aber schaden kann es nicht. Und es scheint Best Practice zu sein.
Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.
Gute Frage. Aktuell benutzen wir noch nicht alle Resolver-Sites für DoT. Ich denke, spätestens wenn dieser Test abgeschlossen ist, werden wir auch dazu übergehen mehrere Adressen zu liefern. Ich weiß zwar nicht ob ein DoT Client damit einen Fail-over machen kann im Fehler-Fall, aber schaden kann es nicht. Und es scheint Best Practice zu sein.
Wurde implementiert.
4 years ago
Hallo,
in der heutigen ct (Ausgabe 16) war ja ein Artikel darüber. Es wurde auch das Thema DNS64 angeschnitten. Wie ist das nun
aber realisiert. Wovon hängt es ab, ob nach DNS (AAAA fehlt, wenn es nicht da ist) oder DNS64(fehlendes AAAA wird ersetzt) aufgelöst wird?
Mein erster Test brachte auch an einem Rechner mit Einwahl über den v6-only-apn nur normale DNS-Auflösungen.
Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com
Thomas Schäfer
1
Answer
from
4 years ago
Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com
DNS64 macht nur der T-Mobile Resolver wenn v6-only verwendet wird. Dort gibt es jedoch noch keine DoH/DoT Endpunkte.
4 years ago
Leider registriert sich die Netphone Cloud (Swyx App) bei Nutzung des DNS nicht - wird der DNS gewechselt geht es. Die eigenen Dienste sind euch keinen Eintrag wert? 😛
iOS 14 - Swyx 3.1.2
0
4 years ago
Ist DNS over TLS (dns.telekom.de) mit anderen iPv4 und IPv6 DNS Servern kompatibel?
1
Answer
from
4 years ago
Ist DNS over TLS (dns.telekom.de) mit anderen iPv4 und IPv6 DNS Servern kompatibel?
Ja, selbstverständlich. Es ist nur ein anderes Frontend, mit dem die Fritzbox via TLS kommuniziert. Am Backend der DNS Resolver hat sich nichts geändert.
Der Datenaustausch zwischen DNS Resolvern und autoritativen DNS Servern ist bis jetzt weiterhin unverschlüsselt. Dafür gibt es noch keinen etablierten Standard.
Weil ein Resolver mit unzähligen autoritativen DNS Servern kommuniziert und kein Bezug zum ursprünglichen Client existiert, ist das aus Sicht des Datenschutzes nicht so kritisch.
Ein wichtiger Aspekt dabei ist auch das DNS Resolver Feature "DNS Query Name Minimization", das die Telekom Resolvern anwenden.
Accepted Solution
accepted by
4 years ago
Hallo zusammen,
vielen Dank für all eure Rückmeldungen!
Dank eures Feedbacks konnten die Kollegen rund um @WinfriedA einiges mitnehmen. 😊
Dieser Test ist nun beendet.
Wir würden uns freuen, euch in Zukunft erneut im Telekom hilft Labor zu lesen.
Bis dahin alles Gute!
Viele Grüße,
Euer Experten-Team und die Labor-Crew
0
4 years ago
@WinfriedAWieso funktioniert DoT nicht mehr über das Mobilfunknetz?
1
Answer
from
4 years ago
DoT ist derzeit nur für Festnetz vorgesehen. Usecase ist Fritzbox und zukünftig auch Speedport oder andere Festnetzrouter.