Telekom hilft Labor: Testet mit uns „DNS over HTTPS“!

Waldemar H. · ‎03.02.2021

Zum Einstieg ein kleiner Exkurs: Wat is'n Dampfmaschin'? Uups, falscher Film. 😉 Noch mal von vorne: Wat is DNS? DNS steht für „Domain Name System“. Es wird von vielen auch als „Telefonbuch des Internets“ bezeichnet. Denn ohne DNS müsstet ihr euch die IP-Adresse jeder Seite merken, um darauf zuzugreifen. Wenn ihr beispielsweise www.telekom.de in den Browser eingibt, wird dieser Name in eine computerfreundliche Server-IP-Adresse – wie 80.158.67.40 – übersetzt bzw. aufgelöst. Mit „normalem“ DNS ist die Kommunikation zwischen dem Client (also eurem Browser/Rechner) und dem DNS-Server (in dem das Telefonbuch gespeichert ist) nicht verschlüsselt.

Mit „DNS over HTTPS (DoH)“ steht euch ein neues Protokoll zur Verfügung, mit dem der DNS-Verkehr zwischen Client und Server verschlüsselt wird. Es kann verhindern, dass der DNS-Verkehr von Dritten mitgelesen und manipuliert wird.

Um diesen Service zukünftig allen Kunden anzubieten, testen wir das Protokoll gerade in der Praxis. Wer möchte kann DoH jetzt schon im Firefox* konfigurieren und ausprobieren. Wir freuen uns in der Test-Phase über jeden Kunden, der gemeinsam mit uns testet.

Unsere Experten @WinfriedA und @Nicolai L. begleiten diesen Test. Sie freuen sich auf eure Fragen und euer Feedback. Also startet den Feuerfuchs, konfiguriert DoH und testet drauf los! 😊

* Chrome unterstützt nur eine bestimmte Auswahl von Servern über das "Auto-Upgrade" - es kann kein Server händisch eingetragen werden (so wie bei Firefox). In einer früheren Version konnte man den Server in der Kommando-Zeile spezifizieren, aber das Feature wurde wohl entfernt. Ähnlich verhält sich bei anderen Browsern: Entweder wird DoH noch nicht unterstützt oder es ist nicht möglich einen Server händisch einzutragen. Sobald eine manuelle Konfiguration mit anderen Browsern möglich ist, werden wir euch eine entsprechende Anleitung in diesem Thread zur Verfügung stellen.

Bernd M. · ‎31.05.2021

Liebe Teilnehmer*innen,

vielen Dank für euer konstruktives Feedback und die interessanten Unterhaltungen. Wir konnten daraus einiges für uns mitnehmen. Dieser Test ist nun abgeschlossen.

Wie schon häufiger in den letzten Wochen angesprochen, möchten wir ca. Mitte Juli „DNS over TLS“ vertesten. Es wird hierzu ebenfalls einen offenen Test im Telekom hilft Labor geben. Wir freuen uns auch dort über reges Interesse und eure Rückmeldungen.

Bis dahin!

Euer Experten-Team und die Labor-Crew

Lösung in ursprünglichem Beitrag anzeigen

Waldemar H. · ‎03.02.2021

Konfiguration von DoH im Mozilla Firefox Browser

SCHRITT 1

"Einstellungen" aufrufen:

SCHRITT 2

In den Einstellungen bis ganz unten scrollen und danach unter "Verbindungs-Einstellungen" auf "Einstellungen" klicken:

SCHRITT 3

Scrollt im nächsten Dialog bis ans Ende und setzt bei "DNS über HTTPS aktivieren" ein Häkchen. Als Anbieter wählt ihr "Benutzerdefiniert" aus und trägt im Textfeld in der nächsten Zeile den Server „https://dns.telekom.de/dns-query“ ein. Jetzt speichert ihr mit "OK" die Änderungen ab. Damit ist die Konfiguration von DoH abgeschlossen.

Hinweis: Leider verfügt der Mozilla Firefox über keine Statusanzeige, über die geprüft werden kann, ob DoH verwendet wird (beispielsweise analog zur Anzeige, ob eine Internetseite verschlüsselt ist). Es gibt jedoch die Möglichkeit zu prüfen, ob bestimmte Domains über DoH aufgelöst werden. Dazu müsst ihr die interne DNS-Statusseite von Firefox aufrufen, indem ihr in die Adressleiste folgende URL eintippt: about:networking#dns

Wer möchte kann oben rechts das Häkchen bei "Automatisch alle 3 Sekunden aktualisieren" setzen.

Wenn in der Spalte TRR (Trusted Recursive Resolver) für eine Internetseite (Hostname) "true" aufgeführt ist, wurde diese über DoH aufgelöst. Ist dort "false" aufgeführt, dann erfolgte die Auflösung über das normale DNS.

Lösung in ursprünglichem Beitrag anzeigen

WinfriedA · ‎12.02.2021

@wizer schrieb:

Wie ich gerade feststellen musste, ist DoH im FF standardmäßig aktiv.

DoH darf eigentlich nur in den USA standardmäßig aktiv sein. Vielleicht hast du aus irgendeinem Grund versehentlich die US Version bekommen?

WinfriedA · ‎12.02.2021

@martiko70 schrieb:

Da ich keine Lust habe alle Clients (incl. Handies, Tablets etc.) umzukonfigurieren, bzw. gar nicht alle DoH unterstützen, frage ich mich, ob bzw. wann es auch für DoT Telekom-Server geben wird. Gibt es (auch) in dieser Richtung Pläne?

Ja, gibt es. Wir sind allerdings noch nicht ganz mit der Qualität des DoT Endpunktes unserer DNS SW zufrieden. Ein neues Release mit sehr guten Fortschritten in diesem Bereich steht kurz bevor wie es aussieht. Ich hoffe, dass wir diesen Test bald auf DoT erweitern können.

wizer · ‎12.02.2021

@WinfriedA schrieb:
Vielleicht hast du aus irgendeinem Grund versehentlich die US Version bekommen?

Die wäre aber nicht auf deutsch!?

WinfriedA · ‎12.02.2021

@wizer schrieb:

Die wäre aber nicht auf deutsch!?

Würde ich nicht unterschreiben. Die Sprache richtet sich normalerweise nach der im Betriebssystem eingestellten Sprache.

"Standardmäßig aktivieren wir DoH nur in den USA"

https://blog.mozilla.org/press-de/2020/02/25/firefox-macht-dns-over-https-zum-standard-fuer-us-nutze...

Vermutlich schützt uns die DSGVO davor, dass Mozilla das in Europa einfach ausrollen kann.

wizer · ‎12.02.2021

Also von einer Datenkrake (Google) zur anderen (Cloudflare).

Gelöschter Nutzer · ‎15.02.2021

@WinfriedA schrieb: Ich hoffe, dass wir diesen Test bald auf DoT erweitern können.

Ich war mal so frei, DoT in der Fritz!Box und auf dem Androiden mit dns.telekom.de einzurichten. Scheint zu funktionieren.

Fritz!Box sagt:

2003:180:2:8100::4:0:53 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)
217.0.43.114 (DoT verschlüsselt)

WinfriedA · ‎15.02.2021

@Gelöschter Nutzer schrieb:

@WinfriedA schrieb: Ich hoffe, dass wir diesen Test bald auf DoT erweitern können.

Ich war mal so frei, DoT in der Fritz!Box und auf dem Androiden mit dns.telekom.de einzurichten. Scheint zu funktionieren.

Fritz!Box sagt:

2003:180:2:8100::4:0:53 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)
217.0.43.114 (DoT verschlüsselt)

Ja, der DoT Endpunkt ist bereits geöffnet. Allerdings musst du mit kleinen Problemen rechnen, läuft noch nicht ganz rund. Wir werden den Test erst starten und unterstützen, wenn wir selbst zufrieden sind.

Gelöschter Nutzer · ‎15.02.2021

@WinfriedA schrieb: Allerdings musst du mit kleinen Problemen rechnen, läuft noch nicht ganz rund.

Kein Problem, kann man ja mit ein paar Klicks wieder abschalten, wenn es nicht funktioniert.

tschaefer1 · ‎15.02.2021

Ich habe ihn als DoT in Android eingetragen. Bin mir aber nicht sicher, ob er wirklich verwendet wird.

Ich bekomme im WLAN und via LTE unterschiedliche Ergebnisse. Für mich lässt das nur zwei Schlussfolgerungen zu:

Eine Möglichkeit Android nimmt ihn nicht.

Zweite Möglichkeit: Telekom ist mehr oder weniger genial und beantwortet Fragen aus IPv6 Bereich vom IPv6-only APN mit den dort erwarteten dsn64 Antworten z.B. ipv4only.arpa

Gibt's dazu Aussagen von der Technik oder soll ich das am Notebook mit geeigneten Tools selber verifizieren?

Test am Notebook via hotspot zeigt, dass kein DNS64 aufgelöst wird. D.h für mich, Android scheint die DoT-Einstellung zu ignorieren oder ich habe einen anderen Denkfehler.

WinfriedA · ‎16.02.2021

@tschaefer1 schrieb:

Ich habe ihn als DoT in Android eingetragen. Bin mir aber nicht sicher, ob er wirklich verwendet wird.

Ich bekomme im WLAN und via LTE unterschiedliche Ergebnisse. Für mich lässt das nur zwei Schlussfolgerungen zu:

Eine Möglichkeit Android nimmt ihn nicht.

Zweite Möglichkeit: Telekom ist mehr oder weniger genial und beantwortet Fragen aus IPv6 Bereich vom IPv6-only APN mit den dort erwarteten dsn64 Antworten z.B. ipv4only.arpa

Gibt's dazu Aussagen von der Technik oder soll ich das am Notebook mit geeigneten Tools selber verifizieren?

Test am Notebook via hotspot zeigt, dass kein DNS64 aufgelöst wird. D.h für mich, Android scheint die DoT-Einstellung zu ignorieren oder ich habe einen anderen Denkfehler.

Es gibt eigentlich keinen Grund warum Android dann nicht dauerhaft DoT verwendet. DNS64 steht noch nicht zur Verfügung am DoT. Welche "unterschiedliche Ergebnisse"?

tschaefer1 · ‎16.02.2021

Wenn ich im LTE Netz bin und den DoT-Server eingetragen habe, bekomme ich für ipv4only Adressen immernoch AAAA-Reords.

Im WLAN nicht.

Ich habe es noch einmal mit dem normalen DoT von Google verglichen. Da habe ich mittlerweile das gleiche Verhalten. Früher gab es an dieser Stelle keine Auflösungen. Android (11) oder früher scheint hier etwas intern geändert zu haben.

WLAN Tests mit IPv6-only Umgebungen stehen noch aus, Mal sehen, was Android dort macht.

Telenor · ‎07.03.2021

Hallo,

vielen Dank für den guten Service.

Wie lautet die IP6 Adresse von https://dns.telekom.de/dns-query ?

Telenor

WinfriedA · ‎07.03.2021

@Telenor schrieb:
vielen Dank für den guten Service.

Wie lautet die IP6 Adresse von https://dns.telekom.de/dns-query ?

Darum brauchst du dich eigentlich nicht kümmern, warum möchtest du das wissen? Das Problem mit der Antwort ist, dass sie davon abhängt wo du bist. Wir haben derzeit 6 DoH Endpunkte in Deutschland. Du bekommst, wenn möglich, die IP Adresse des nächstgelegenen.

viper.de · ‎07.03.2021

Moin,

ich habe das jetzt die ganze Zeit mal im Firefox laufen lassen und keine Einschränkungen festgestellt, auch Chrome habe ich mal kurz getestet. In einer FRITZ!Box hab ich den Server auch mal als DoT eingetragen, hat auch geklappt soweit, allerdings läuft die hinter einem Speedport und nimmt den Router als primären DNS.

Telenor · ‎07.03.2021

Ich würde gerne meinen PI-Hole auch mit DOH DNS IPv6 verbinden

Telenor

tschaefer1 · ‎07.03.2021

Das sollte problemlos gehen. Wie schon vorher beantwortet gibt es mehrere Instanzen. dns.telekom.de hat AAAA-Reords und wird dementsprechend auch von reinen IPv6 Netzen erreicht. Die Antworten sind sowieso unabhängig davon.

Mein Vorschlag auch DNS64 (was Antworten verändern würde) anzubieten, ist ja noch nicht umgesetzt worden.( siehe dns64.dns.google zum Vergleich)

Telenor · ‎07.03.2021

OK ,vielen Dank🤗

Telenor

natz-63 · ‎13.03.2021

Hallo zusammen,

ich bin noch relativ unentschlossen. Meine Fritz!Boxen sind bereits auf DoT (DNS over TLS) umgestellt. Die Telekom scheint hier mit DoH (DNS over HTTPS) mal wieder einen Sonderweg zu gehen. Beides parallel zu nutzen macht wenig Sinn. Die Konfiguration in der Fritz!Box hat den Vorteil, dass ich die Endgeräte nicht (einzeln) anfassen muss.

Viele Grüße

natz-63

viper.de · ‎13.03.2021

@natz-63

na eigentlich gehen die Browser Hersteller den Sonderweg, was ich persönlich für noch bescheuerter halte

Die Telekom testet das jetzt erstmal und wird dann sicherlich auch mit DoT bald an den Start gehen.

Joulinar · ‎13.03.2021

DoT wurde weiter oben schon drüber gesprochen das es wohl schon im internen Test ist, aber wohl noch nicht den Status hat um von einer breiten Masse getestet zu werden.

muc80337_2 · ‎13.03.2021

@natz-63 schrieb:
Meine Fritz!Boxen sind bereits auf DoT (DNS over TLS) umgestellt. Die Telekom scheint hier mit DoH (DNS over HTTPS) mal wieder einen Sonderweg zu gehen. Beides parallel zu nutzen macht wenig Sinn.

Warum?

Ich habe beides aktiv.

Für den allgemeinen Traffic nutze ich die Fritzbox mit DoT.

Im Firefox kann ich DoH probieren.

Übrigens scheine ich mit DoT geerbt zu haben, dass manche Werbeeinblendungen nicht mehr angezeigt werden.

Und könnte an DoT liegen, dass mir Videos auf Webseiten nicht mehr ohne weiteres angezeigt werden - da hab ich aber noch keine Zeit reingesteckt.

WinfriedA · ‎13.03.2021

@muc80337_2 schrieb:
Übrigens scheine ich mit DoT geerbt zu haben, dass manche Werbeeinblendungen nicht mehr angezeigt werden.

Und könnte an DoT liegen, dass mir Videos auf Webseiten nicht mehr ohne weiteres angezeigt werden - da hab ich aber noch keine Zeit reingesteckt.

Liegt eher daran, dass DoT noch nicht richtig funktioniert, wir sind dran!

Joulinar · ‎13.03.2021

Zumindest zum Testen und Spielen kann man die Telekom DoT Server schon verwenden. Ist ja jetzt nicht schwer rauszubekommen wie er lautet 😄

muc80337_2 · ‎13.03.2021

@WinfriedA schrieb:

@muc80337_2 schrieb:
Übrigens scheine ich mit DoT geerbt zu haben, dass manche Werbeeinblendungen nicht mehr angezeigt werden.

Und könnte an DoT liegen, dass mir Videos auf Webseiten nicht mehr ohne weiteres angezeigt werden - da hab ich aber noch keine Zeit reingesteckt.

Liegt eher daran, dass DoT noch nicht richtig funktioniert, wir sind dran!

Das würde mich aber überraschen, wenn Ihr das als Telekom hinbekommen würdet, was meine Fritzbox mit den angegebenen Servern macht bei DoT

Joulinar · ‎13.03.2021

versuch es doch einfach mal mit "dns.telekom.de". Zumindest mein Unbound läuft damit ganz gut

Mehr Infos

# Adding DNS-over-TLS support
server:
tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
forward-zone:
name: "."
forward-tls-upstream: yes
## Telekom
forward-addr: 217.0.43.146@853#dns.telekom.de

# Adding DNS-over-TLS supportserver:tls-cert-bundle: /etc/ssl/certs/ca-certificates.crtforward-zone:name: "."forward-tls-upstream: yes## Telekomforward-addr: 217.0.43.146@853#dns.telekom.de

Telekom hilft Labor: Testet mit uns „DNS over HTTPS“!

Konfiguration von DoH im Mozilla Firefox Browser

Social Media