Gelöst
Telekom hilft Labor: Testet mit uns „DNS over HTTPS“!
vor 5 Jahren
Zum Einstieg ein kleiner Exkurs: Wat is'n Dampfmaschin'? Uups, falscher Film. 😉 Noch mal von vorne: Wat is DNS? DNS steht für „Domain Name System“. Es wird von vielen auch als „Telefonbuch des Internets“ bezeichnet. Denn ohne DNS müsstet ihr euch die IP-Adresse jeder Seite merken, um darauf zuzugreifen. Wenn ihr beispielsweise www.telekom.de in den Browser eingibt, wird dieser Name in eine computerfreundliche Server-IP-Adresse – wie 80.158.67.40 – übersetzt bzw. aufgelöst. Mit „normalem“ DNS ist die Kommunikation zwischen dem Client (also eurem Browser/Rechner) und dem DNS-Server (in dem das Telefonbuch gespeichert ist) nicht verschlüsselt.
Mit „DNS over HTTPS (DoH)“ steht euch ein neues Protokoll zur Verfügung, mit dem der DNS-Verkehr zwischen Client und Server verschlüsselt wird. Es kann verhindern, dass der DNS-Verkehr von Dritten mitgelesen und manipuliert wird.
Um diesen Service zukünftig allen Kunden anzubieten, testen wir das Protokoll gerade in der Praxis. Wer möchte kann DoH jetzt schon im Firefox* konfigurieren und ausprobieren. Wir freuen uns in der Test-Phase über jeden Kunden, der gemeinsam mit uns testet.
Unsere Experten @WinfriedA und @Nicolai L. begleiten diesen Test. Sie freuen sich auf eure Fragen und euer Feedback. Also startet den Feuerfuchs, konfiguriert DoH und testet drauf los! 😊
* Chrome unterstützt nur eine bestimmte Auswahl von Servern über das "Auto-Upgrade" - es kann kein Server händisch eingetragen werden (so wie bei Firefox). In einer früheren Version konnte man den Server in der Kommando-Zeile spezifizieren, aber das Feature wurde wohl entfernt. Ähnlich verhält sich bei anderen Browsern: Entweder wird DoH noch nicht unterstützt oder es ist nicht möglich einen Server händisch einzutragen. Sobald eine manuelle Konfiguration mit anderen Browsern möglich ist, werden wir euch eine entsprechende Anleitung in diesem Thread zur Verfügung stellen.
Hinweis:
23094
134
Das könnte Ihnen auch weiterhelfen
4986
38
14
1224
16
5
Beliebte Tags letzte 7 Tage
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Aktuelle Telekom Angebote für Mobilfunk (5G/LTE), Festnetz und Internet, TV & mehr.
Akzeptierte Lösung
akzeptiert von
vor 5 Jahren
Konfiguration von DoH im Mozilla Firefox Browser
SCHRITT 1
"Einstellungen" aufrufen:
SCHRITT 2
In den Einstellungen bis ganz unten scrollen und danach unter "Verbindungs-Einstellungen" auf "Einstellungen" klicken:
SCHRITT 3
Scrollt im nächsten Dialog bis ans Ende und setzt bei "DNS über HTTPS aktivieren" ein Häkchen. Als Anbieter wählt ihr "Benutzerdefiniert" aus und trägt im Textfeld in der nächsten Zeile den Server „https://dns.telekom.de/dns-query“ ein. Jetzt speichert ihr mit "OK" die Änderungen ab. Damit ist die Konfiguration von DoH abgeschlossen.
Hinweis: Leider verfügt der Mozilla Firefox über keine Statusanzeige, über die geprüft werden kann, ob DoH verwendet wird (beispielsweise analog zur Anzeige, ob eine Internetseite verschlüsselt ist). Es gibt jedoch die Möglichkeit zu prüfen, ob bestimmte Domains über DoH aufgelöst werden. Dazu müsst ihr die interne DNS-Statusseite von Firefox aufrufen, indem ihr in die Adressleiste folgende URL eintippt: about:networking#dns
Wer möchte kann oben rechts das Häkchen bei "Automatisch alle 3 Sekunden aktualisieren" setzen.
Wenn in der Spalte TRR (Trusted Recursive Resolver) für eine Internetseite (Hostname) "true" aufgeführt ist, wurde diese über DoH aufgelöst. Ist dort "false" aufgeführt, dann erfolgte die Auflösung über das normale DNS.
27
von
vor 5 Jahren
versuch es doch einfach mal mit "dns.telekom.de". Zumindest mein Unbound läuft damit ganz gut
server:
tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
forward-zone:
name: "."
forward-tls-upstream: yes
## Telekom
forward-addr: 217.0.43.146@853#dns.telekom.de
von
vor 5 Jahren
@Joulinar
Könnte ich, danke für den Hinweis.
Will ich aktuell aber gar nicht.
0
von
vor 5 Jahren
Übrigens scheine ich mit DoT geerbt zu haben, dass manche Werbeeinblendungen nicht mehr angezeigt werden. Und könnte an DoT liegen, dass mir Videos auf Webseiten nicht mehr ohne weiteres angezeigt werden - da hab ich aber noch keine Zeit reingesteckt.
Übrigens scheine ich mit DoT geerbt zu haben, dass manche Werbeeinblendungen nicht mehr angezeigt werden.
Und könnte an DoT liegen, dass mir Videos auf Webseiten nicht mehr ohne weiteres angezeigt werden - da hab ich aber noch keine Zeit reingesteckt.
Könnte es vielleicht an blahdns liegen?
vor 5 Jahren
Hallo zusammen, ich möchte mich nur kurz vorstellen. Ich bin einer der Systemadministratoren der Telekom DNS-Resolver Infrastruktur. Ich hoffe, dass ich hier dazu beitragen kann, offene Fragen zu den Themen DoH/DoT zu beantworten.
Winfried
97
von
vor 5 Jahren
Nicolai L. Hallo viper.de "Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt." "It depends" Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können)., Hallo viper.de "Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt." "It depends" Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können)., Nicolai L. Hallo viper.de "Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt." "It depends" Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können)., @Nicolai L. Das wäre aber doof, wenn die Auflösung lokaler Namen erstmal nach draussen geht... Dazu böte es sich eher an in network.trr.excluded-domains Einträge zu machen. Oder besser noch der Browser erfragt die eigene Domain und exkludiert diese dann automagisch. Allerdings hilft das auch nicht, wenn nur der hostname angegeben wird... Ok betrifft ja eigentlich im Heimbereich meistens "nur" die Konfigseiten der Geräte aber eben auch Bedienoberflächen. Mein Fazit ist, zum Surfen ist DoH ja ganz nett, aber eine richtige Lösung als Ersatz für eine bestehende DNS Lösung/infratruktur sieht anders aus.
Hallo viper.de "Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt." "It depends" Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können).,
Hallo viper.de
"Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt."
"It depends"
Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können).,
@Nicolai L.
Das wäre aber doof, wenn die Auflösung lokaler Namen erstmal nach draussen geht...
Dazu böte es sich eher an in network.trr.excluded-domains Einträge zu machen. Oder besser noch der Browser erfragt die eigene Domain und exkludiert diese dann automagisch. Allerdings hilft das auch nicht, wenn nur der hostname angegeben wird...
Ok betrifft ja eigentlich im Heimbereich meistens "nur" die Konfigseiten der Geräte aber eben auch Bedienoberflächen.
Mein Fazit ist, zum Surfen ist DoH ja ganz nett, aber eine richtige Lösung als Ersatz für eine bestehende DNS Lösung/infratruktur sieht anders aus.
@viper.de
Ich denke es geht erstmal da drum zu sehen ob die Namensauflösung per DoH generell funktioniert. Und für einen unkomplizierten Test bietet sich eben das Ganze im FF an. Eventuell wird das ganze ja irgendwann mal nativ in die Speedport Router eingebaut?
von
vor 5 Jahren
@Joulinar
Da hast Du sicher Recht, momentan geht es ja auch nur weil die Browser das selbst implementieren und deswegen ja auch https, da ist der Aufwand gering. Aber zukunftsträchtig und zielführende ist das sicher nicht, wenn ein Browser Betriebssystem Funktionen bzw. Aufgaben des IP Stack übernimmt.
Als Proof of Concept ok. Funktioniert ja auch.
Sehe ich genauso wie Du, erstmal ausprobieren wie es Serverseitig so läuft und dann weiterschauen.
von
vor 5 Jahren
um das Ganze mal etwas realistischer zu gestalten, habe ich mir mal einen kleinen Cloudflare DNS Proxy hingestellt der jetzt alle Anfragen aus dem LAN per DoH beantwortet. Ja Cloudflare is nur das Tool, als Upstream DNS wird https://dns.telekom.de/dns-query benutzt
vor 5 Jahren
Ist in Telekom DoT ein Adblocker eingebaut?
Manche Werbung verschwindet damit.
0
6
von
vor 5 Jahren
Ist es denn trotzdem okay DoT zu testen oder ist es ein Problem?
Ist es denn trotzdem okay DoT zu testen oder ist es ein Problem?
Es ist kein Problem. Allerdings kann es je nach Client Konfiguration (FritBox, Stubby, Android, ...) noch vereinzelt zu Timeouts (DNS SERVFAIL) kommen, wenn zu viele DNS queries auf einmal gesendet werden. Die Ursache ist Serverseitig. Die Verarbeitung erfolgt pro TCP Client Verbindung sequentiell. Das ist nicht gut, weil "problematische" Queries diese Warteschlange blockieren. Je mehr TCP Verbindungen ein Client verwendet, desto weniger Probleme im Moment. Allerdings ist die Lösung bereits im Labor-Test. Wir warten mit dem Rollout nur noch auf die Freigabe der SW.
von
vor 5 Jahren
Liebe Teilnehmer*innen,
vielen Dank für euer konstruktives Feedback und die interessanten Unterhaltungen. Wir konnten daraus einiges für uns mitnehmen. Dieser Test ist nun abgeschlossen.
Wie schon häufiger in den letzten Wochen angesprochen, möchten wir ca. Mitte Juli „DNS over TLS“ vertesten. Es wird hierzu ebenfalls einen offenen Test im Telekom hilft Labor geben. Wir freuen uns auch dort über reges Interesse und eure Rückmeldungen.
Bis dahin!
Euer Experten-Team und die Labor-Crew
von
vor 5 Jahren
Moin zusammen,
@Bernd M. hatte es bereits angekündigt, jetzt ist es soweit. 😉
Unser neuer Test „DNS over TLS“ ist heute im Telekom hilft Labor gestartet. Ihr findet ihn - wie gehabt - im Bereich der öffentlichen Tests und Umfragen. Alternativ hier der Direktlink:
https://telekomhilft.telekom.de/t5/Offene-Tests-Umfragen/Telekom-hilft-Labor-Testet-mit-uns-DNS-over-TLS/td-p/5259336
Wenn ihr Zeit und Lust habt, würden wir uns sehr über eure Teilnahme freuen. 😊
Habt ein schönes Wochenende! 😎
Euer Experten-Team und die Labor-Crew
Akzeptierte Lösung
akzeptiert von
vor 5 Jahren
Liebe Teilnehmer*innen,
vielen Dank für euer konstruktives Feedback und die interessanten Unterhaltungen. Wir konnten daraus einiges für uns mitnehmen. Dieser Test ist nun abgeschlossen.
Wie schon häufiger in den letzten Wochen angesprochen, möchten wir ca. Mitte Juli „DNS over TLS“ vertesten. Es wird hierzu ebenfalls einen offenen Test im Telekom hilft Labor geben. Wir freuen uns auch dort über reges Interesse und eure Rückmeldungen.
Bis dahin!
Euer Experten-Team und die Labor-Crew
0