crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
03.02.2021 14:45 Zuletzt bearbeitet: 08.02.2021 09:54 durch den Autor
Zum Einstieg ein kleiner Exkurs: Wat is'n Dampfmaschin'? Uups, falscher Film. 😉 Noch mal von vorne: Wat is DNS? DNS steht für „Domain Name System“. Es wird von vielen auch als „Telefonbuch des Internets“ bezeichnet. Denn ohne DNS müsstet ihr euch die IP-Adresse jeder Seite merken, um darauf zuzugreifen. Wenn ihr beispielsweise www.telekom.de in den Browser eingibt, wird dieser Name in eine computerfreundliche Server-IP-Adresse – wie 80.158.67.40 – übersetzt bzw. aufgelöst. Mit „normalem“ DNS ist die Kommunikation zwischen dem Client (also eurem Browser/Rechner) und dem DNS-Server (in dem das Telefonbuch gespeichert ist) nicht verschlüsselt.
Mit „DNS over HTTPS (DoH)“ steht euch ein neues Protokoll zur Verfügung, mit dem der DNS-Verkehr zwischen Client und Server verschlüsselt wird. Es kann verhindern, dass der DNS-Verkehr von Dritten mitgelesen und manipuliert wird.
Um diesen Service zukünftig allen Kunden anzubieten, testen wir das Protokoll gerade in der Praxis. Wer möchte kann DoH jetzt schon im Firefox* konfigurieren und ausprobieren. Wir freuen uns in der Test-Phase über jeden Kunden, der gemeinsam mit uns testet.
Unsere Experten @WinfriedA und @Nicolai L. begleiten diesen Test. Sie freuen sich auf eure Fragen und euer Feedback. Also startet den Feuerfuchs, konfiguriert DoH und testet drauf los! 😊
* Chrome unterstützt nur eine bestimmte Auswahl von Servern über das "Auto-Upgrade" - es kann kein Server händisch eingetragen werden (so wie bei Firefox). In einer früheren Version konnte man den Server in der Kommando-Zeile spezifizieren, aber das Feature wurde wohl entfernt. Ähnlich verhält sich bei anderen Browsern: Entweder wird DoH noch nicht unterstützt oder es ist nicht möglich einen Server händisch einzutragen. Sobald eine manuelle Konfiguration mit anderen Browsern möglich ist, werden wir euch eine entsprechende Anleitung in diesem Thread zur Verfügung stellen.
Gelöst! Gehe zu Lösung.
31.05.2021 14:30 Zuletzt bearbeitet: 31.05.2021 15:19 durch den Autor
Liebe Teilnehmer*innen,
vielen Dank für euer konstruktives Feedback und die interessanten Unterhaltungen. Wir konnten daraus einiges für uns mitnehmen. Dieser Test ist nun abgeschlossen.
Wie schon häufiger in den letzten Wochen angesprochen, möchten wir ca. Mitte Juli „DNS over TLS“ vertesten. Es wird hierzu ebenfalls einen offenen Test im Telekom hilft Labor geben. Wir freuen uns auch dort über reges Interesse und eure Rückmeldungen.
Bis dahin!
Euer Experten-Team und die Labor-Crew
03.02.2021 14:46 Zuletzt bearbeitet: 03.02.2021 14:47 durch den Autor
SCHRITT 1
"Einstellungen" aufrufen:
SCHRITT 2
In den Einstellungen bis ganz unten scrollen und danach unter "Verbindungs-Einstellungen" auf "Einstellungen" klicken:
SCHRITT 3
Scrollt im nächsten Dialog bis ans Ende und setzt bei "DNS über HTTPS aktivieren" ein Häkchen. Als Anbieter wählt ihr "Benutzerdefiniert" aus und trägt im Textfeld in der nächsten Zeile den Server „https://dns.telekom.de/dns-query“ ein. Jetzt speichert ihr mit "OK" die Änderungen ab. Damit ist die Konfiguration von DoH abgeschlossen.
Hinweis: Leider verfügt der Mozilla Firefox über keine Statusanzeige, über die geprüft werden kann, ob DoH verwendet wird (beispielsweise analog zur Anzeige, ob eine Internetseite verschlüsselt ist). Es gibt jedoch die Möglichkeit zu prüfen, ob bestimmte Domains über DoH aufgelöst werden. Dazu müsst ihr die interne DNS-Statusseite von Firefox aufrufen, indem ihr in die Adressleiste folgende URL eintippt: about:networking#dns
Wer möchte kann oben rechts das Häkchen bei "Automatisch alle 3 Sekunden aktualisieren" setzen.
Wenn in der Spalte TRR (Trusted Recursive Resolver) für eine Internetseite (Hostname) "true" aufgeführt ist, wurde diese über DoH aufgelöst. Ist dort "false" aufgeführt, dann erfolgte die Auflösung über das normale DNS.
04.02.2021 21:01
Ich dachte da eher an z.B. youtube im Broswer - diktiert da der Browser der youtube App...
Es würde mich wundern wenn es keine vereinzelten interoperability Probleme geben würde wenn DoT und DNS over https gleichzeitig aktiv sind.
04.02.2021 21:09
Die DoT Konfiguration der FritzBox ist komplett unabhängig von dem was im FF an DoH eingestellt sind. Die DoH DNS Anfragen vom FF gehen an der FritzBox vorbei. Da kannst du in der FritzBox einstellen was du willst. Sollte eine Anfrage vom FF nicht beantwortet werden können wird sie halt ganz normal an die FritzBox als lokalen DNS Server gesendet und von der FritzBox per DoT aufgelöst. Das wiederum ist dem FF egal.
04.02.2021 21:13
Ja, das ist klar.
Das ist aber auch nicht was ich meine.
04.02.2021 21:58
@muc80337_2 schrieb:Ich dachte da eher an z.B. youtube im Broswer - diktiert da der Browser der youtube App...
Es würde mich wundern wenn es keine vereinzelten interoperability Probleme geben würde wenn DoT und DNS over https gleichzeitig aktiv sind.
Naja, von DoT im DNS des Routers weiß das Programm ja nichts, das macht dann einfach eine DNS Abfrage... Als was das der Router dann forwarded bekommt es nicht mit.
Ich sehe gerade das Probem nicht, das Du da konstruieren möchtest.
04.02.2021 22:02
04.02.2021 22:24
Auf der Agenda der Telekom steht sicherlich zu testen ob deren Standarschnittstellen und die Infrastruktur funktionieren aber sicher nicht ob irgendein Client funktioniert oder wie der Client welche Szenarien handhabt. Die Telekom Server bedienen einen https Request, das wars dann.
05.02.2021 09:30
Die aktuelle Stable-Version vom Edge kann dass, nach allem, was man liest.
05.02.2021 10:04
@KabelDigifreak schrieb:Die aktuelle Stable-Version vom Edge kann dass, nach allem, was man liest.
Ja, hab ich mit dem Telekom Server aktiv. Scheint zu funktionieren, suche allerdings noch nach so einer Status Seite wo man das auch überprüfen kann.
05.02.2021 10:17
siehe 2. Beitrag unten?
05.02.2021 10:21
05.02.2021 10:48
Ein richtigen Server gibt es noch nicht? Oder wie kann ich das in der Fritzbox rein basteln?
05.02.2021 15:02
Die FritzBox macht DoT und nicht DoH.
05.02.2021 15:44 Zuletzt bearbeitet: 05.02.2021 15:48 durch den Autor
@Nicolai L. schrieb:Hallo viper.de
"Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt."
"It depends"
Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können).,
Das wäre aber doof, wenn die Auflösung lokaler Namen erstmal nach draussen geht...
Dazu böte es sich eher an in network.trr.excluded-domains Einträge zu machen. Oder besser noch der Browser erfragt die eigene Domain und exkludiert diese dann automagisch. Allerdings hilft das auch nicht, wenn nur der hostname angegeben wird...
Ok betrifft ja eigentlich im Heimbereich meistens "nur" die Konfigseiten der Geräte aber eben auch Bedienoberflächen.
Mein Fazit ist, zum Surfen ist DoH ja ganz nett, aber eine richtige Lösung als Ersatz für eine bestehende DNS Lösung/infratruktur sieht anders aus.
05.02.2021 17:02
@viper.de schrieb:
@Nicolai L. schrieb:Hallo viper.de
"Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt."
"It depends"
Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können).,
Das wäre aber doof, wenn die Auflösung lokaler Namen erstmal nach draussen geht...
Dazu böte es sich eher an in network.trr.excluded-domains Einträge zu machen. Oder besser noch der Browser erfragt die eigene Domain und exkludiert diese dann automagisch. Allerdings hilft das auch nicht, wenn nur der hostname angegeben wird...
Ok betrifft ja eigentlich im Heimbereich meistens "nur" die Konfigseiten der Geräte aber eben auch Bedienoberflächen.
Mein Fazit ist, zum Surfen ist DoH ja ganz nett, aber eine richtige Lösung als Ersatz für eine bestehende DNS Lösung/infratruktur sieht anders aus.
Ich denke es geht erstmal da drum zu sehen ob die Namensauflösung per DoH generell funktioniert. Und für einen unkomplizierten Test bietet sich eben das Ganze im FF an. Eventuell wird das ganze ja irgendwann mal nativ in die Speedport Router eingebaut?
05.02.2021 19:11
Da hast Du sicher Recht, momentan geht es ja auch nur weil die Browser das selbst implementieren und deswegen ja auch https, da ist der Aufwand gering. Aber zukunftsträchtig und zielführende ist das sicher nicht, wenn ein Browser Betriebssystem Funktionen bzw. Aufgaben des IP Stack übernimmt.
Als Proof of Concept ok. Funktioniert ja auch.
Sehe ich genauso wie Du, erstmal ausprobieren wie es Serverseitig so läuft und dann weiterschauen.
06.02.2021 02:02
um das Ganze mal etwas realistischer zu gestalten, habe ich mir mal einen kleinen Cloudflare DNS Proxy hingestellt der jetzt alle Anfragen aus dem LAN per DoH beantwortet. Ja Cloudflare is nur das Tool, als Upstream DNS wird https://dns.telekom.de/dns-query benutzt
root@DietPiVM1:~# systemctl status cloudflared
● cloudflared.service - cloudflared DNS over HTTPS proxy
Loaded: loaded (/etc/systemd/system/cloudflared.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2021-02-06 01:29:52 CET; 14min ago
Main PID: 2519 (cloudflared)
Tasks: 8 (limit: 2368)
Memory: 23.8M
CPU: 2.420s
CGroup: /system.slice/cloudflared.service
└─2519 /usr/local/bin/cloudflared proxy-dns --port 5053 --upstream https://dns.telekom.de/dns-query
Feb 06 01:29:52 DietPiVM1 systemd[1]: Started cloudflared DNS over HTTPS proxy.
Feb 06 01:29:52 DietPiVM1 cloudflared[2519]: 2021-02-06T00:29:52Z INF Adding DNS upstream url=https://dns.telekom.de/dns-query
Feb 06 01:29:52 DietPiVM1 cloudflared[2519]: 2021-02-06T00:29:52Z INF Starting DNS over HTTPS proxy server address=dns://localhost:5053
Feb 06 01:29:52 DietPiVM1 cloudflared[2519]: 2021-02-06T00:29:52Z INF Starting metrics server on 127.0.0.1:42899/metrics
root@DietPiVM1:~#
06.02.2021 06:49 Zuletzt bearbeitet: 06.02.2021 06:50 durch den Autor
Zusätzlich zur von @Waldemar H. geposteten Info-Seite des Firefox about:networking#dns
Ist eine solche Seite interessant, die einen Test macht https://www.cloudflare.com/ssl/encrypted-sni/
der bei mir im Firefox mit aktiviertem DNS over HTTPS (a la Waldemar) ein etwas unerwartetes Ergebnis bringt
06.02.2021 10:27
Fragt sich jetzt nur, wie die Seite das ermitteln will.
06.02.2021 15:11
@muc80337_2 schrieb:Zusätzlich zur von @Waldemar H. geposteten Info-Seite des Firefox about:networking#dns
Ist eine solche Seite interessant, die einen Test macht https://www.cloudflare.com/ssl/encrypted-sni/
der bei mir im Firefox mit aktiviertem DNS over HTTPS (a la Waldemar) ein etwas unerwartetes Ergebnis bringt
Ich weiß nicht wie der Test funktioniert. Aber offensichtlich erkennt der Test nur, wenn der Cloudflare DoH Service verwendet wird. Andere DoH Services werden nicht erkannt. Ist möglicherweise auch nicht zu detektieren aus Sicht der Website im Browser.
06.02.2021 15:32
DNS funktioniert mit Firefox und Edge über meine Konfiguration gut. Wünschenswert wäre aus meiner Sicht eine hier mehrfach angesprochene Lösung für die FRITZ!Box, um auf der sicheren Seite fürs gesamte Heimnetz zu sein. Vielleicht könnt ihr das bei künftigen Tests berücksichtigen.
06.02.2021 16:01
@ganzknusper schrieb:DNS funktioniert mit Firefox und Edge über meine Konfiguration gut. Wünschenswert wäre aus meiner Sicht eine hier mehrfach angesprochene Lösung für die FRITZ!Box, um auf der sicheren Seite fürs gesamte Heimnetz zu sein. Vielleicht könnt ihr das bei künftigen Tests berücksichtigen. B
Bestimmte Fritzboxen und bald auch bestimmte Speedports haben bzw. bekommen DoT Unterstützung. Wird intern bereits getestet. Ich denke es gibt auch bald einen Test mit Kunden. Stay tuned!
06.02.2021 16:15
Habe ich meine Standardeinstellung, dann ist diese Seite abrufbar: DNS leak test
Habe ich Edge für den Test konfiguriert, dann wird das nix.
Was heißt dass?
06.02.2021 16:25
@KabelDigifreak schrieb:Habe ich meine Standardeinstellung, dann ist diese Seite abrufbar: DNS leak test
Habe ich Edge für den Test konfiguriert, dann wird das nix.
Was heißt dass?
Kannst du das genauer beschreiben? Kann die Site nicht aufgerufen werden? Fehlermeldung? Oder können die Tests dort nicht gemacht werden? Fehlermeldung? Oder Screenshots?
06.02.2021 16:26 Zuletzt bearbeitet: 06.02.2021 16:36 durch den Autor
für mich funktioniert die Seite normal und gibt auch die Telekom DNS Server zurück
root@DietPiVM1:~# dig .0.0.1 -p 5053 dnsleaktest.com
; <<>> DiG 9.16.11-Debian <<>> .0.0.1 -p 5053 dnsleaktest.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56519
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dnsleaktest.com. IN A
;; ANSWER SECTION:
dnsleaktest.com. 300 IN A 23.239.16.110
;; Query time: 160 msec
;; SERVER: 127.0.0.1#5053(127.0.0.1)
;; WHEN: Sat Feb 06 16:25:47 CET 2021
;; MSG SIZE rcvd: 75
root@DietPiVM1:~#
Am Ende bleibt die Frage DoT oder DoH? DNS over TLS vs. DNS over HTTPS | Secure DNS | Cloudflare
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Aktuelle Telekom Angebote für Mobilfunk (5G/LTE), Festnetz und Internet, TV & mehr.