Telekom hilft Labor: Testet mit uns „DNS over HTTPS“!

Waldemar H. · ‎03.02.2021

Zum Einstieg ein kleiner Exkurs: Wat is'n Dampfmaschin'? Uups, falscher Film. 😉 Noch mal von vorne: Wat is DNS? DNS steht für „Domain Name System“. Es wird von vielen auch als „Telefonbuch des Internets“ bezeichnet. Denn ohne DNS müsstet ihr euch die IP-Adresse jeder Seite merken, um darauf zuzugreifen. Wenn ihr beispielsweise www.telekom.de in den Browser eingibt, wird dieser Name in eine computerfreundliche Server-IP-Adresse – wie 80.158.67.40 – übersetzt bzw. aufgelöst. Mit „normalem“ DNS ist die Kommunikation zwischen dem Client (also eurem Browser/Rechner) und dem DNS-Server (in dem das Telefonbuch gespeichert ist) nicht verschlüsselt.

Mit „DNS over HTTPS (DoH)“ steht euch ein neues Protokoll zur Verfügung, mit dem der DNS-Verkehr zwischen Client und Server verschlüsselt wird. Es kann verhindern, dass der DNS-Verkehr von Dritten mitgelesen und manipuliert wird.

Um diesen Service zukünftig allen Kunden anzubieten, testen wir das Protokoll gerade in der Praxis. Wer möchte kann DoH jetzt schon im Firefox* konfigurieren und ausprobieren. Wir freuen uns in der Test-Phase über jeden Kunden, der gemeinsam mit uns testet.

Unsere Experten @WinfriedA und @Nicolai L. begleiten diesen Test. Sie freuen sich auf eure Fragen und euer Feedback. Also startet den Feuerfuchs, konfiguriert DoH und testet drauf los! 😊

* Chrome unterstützt nur eine bestimmte Auswahl von Servern über das "Auto-Upgrade" - es kann kein Server händisch eingetragen werden (so wie bei Firefox). In einer früheren Version konnte man den Server in der Kommando-Zeile spezifizieren, aber das Feature wurde wohl entfernt. Ähnlich verhält sich bei anderen Browsern: Entweder wird DoH noch nicht unterstützt oder es ist nicht möglich einen Server händisch einzutragen. Sobald eine manuelle Konfiguration mit anderen Browsern möglich ist, werden wir euch eine entsprechende Anleitung in diesem Thread zur Verfügung stellen.

Bernd M. · ‎31.05.2021

Liebe Teilnehmer*innen,

vielen Dank für euer konstruktives Feedback und die interessanten Unterhaltungen. Wir konnten daraus einiges für uns mitnehmen. Dieser Test ist nun abgeschlossen.

Wie schon häufiger in den letzten Wochen angesprochen, möchten wir ca. Mitte Juli „DNS over TLS“ vertesten. Es wird hierzu ebenfalls einen offenen Test im Telekom hilft Labor geben. Wir freuen uns auch dort über reges Interesse und eure Rückmeldungen.

Bis dahin!

Euer Experten-Team und die Labor-Crew

Lösung in ursprünglichem Beitrag anzeigen

Waldemar H. · ‎03.02.2021

Konfiguration von DoH im Mozilla Firefox Browser

SCHRITT 1

"Einstellungen" aufrufen:

SCHRITT 2

In den Einstellungen bis ganz unten scrollen und danach unter "Verbindungs-Einstellungen" auf "Einstellungen" klicken:

SCHRITT 3

Scrollt im nächsten Dialog bis ans Ende und setzt bei "DNS über HTTPS aktivieren" ein Häkchen. Als Anbieter wählt ihr "Benutzerdefiniert" aus und trägt im Textfeld in der nächsten Zeile den Server „https://dns.telekom.de/dns-query“ ein. Jetzt speichert ihr mit "OK" die Änderungen ab. Damit ist die Konfiguration von DoH abgeschlossen.

Hinweis: Leider verfügt der Mozilla Firefox über keine Statusanzeige, über die geprüft werden kann, ob DoH verwendet wird (beispielsweise analog zur Anzeige, ob eine Internetseite verschlüsselt ist). Es gibt jedoch die Möglichkeit zu prüfen, ob bestimmte Domains über DoH aufgelöst werden. Dazu müsst ihr die interne DNS-Statusseite von Firefox aufrufen, indem ihr in die Adressleiste folgende URL eintippt: about:networking#dns

Wer möchte kann oben rechts das Häkchen bei "Automatisch alle 3 Sekunden aktualisieren" setzen.

Wenn in der Spalte TRR (Trusted Recursive Resolver) für eine Internetseite (Hostname) "true" aufgeführt ist, wurde diese über DoH aufgelöst. Ist dort "false" aufgeführt, dann erfolgte die Auflösung über das normale DNS.

Lösung in ursprünglichem Beitrag anzeigen

muc80337_2 · ‎04.02.2021

Ich dachte da eher an z.B. youtube im Broswer - diktiert da der Browser der youtube App...

Es würde mich wundern wenn es keine vereinzelten interoperability Probleme geben würde wenn DoT und DNS over https gleichzeitig aktiv sind.

Joulinar · ‎04.02.2021

Die DoT Konfiguration der FritzBox ist komplett unabhängig von dem was im FF an DoH eingestellt sind. Die DoH DNS Anfragen vom FF gehen an der FritzBox vorbei. Da kannst du in der FritzBox einstellen was du willst. Sollte eine Anfrage vom FF nicht beantwortet werden können wird sie halt ganz normal an die FritzBox als lokalen DNS Server gesendet und von der FritzBox per DoT aufgelöst. Das wiederum ist dem FF egal.

muc80337_2 · ‎04.02.2021

Ja, das ist klar.

Das ist aber auch nicht was ich meine.

viper.de · ‎04.02.2021

@muc80337_2 schrieb:
Ich dachte da eher an z.B. youtube im Broswer - diktiert da der Browser der youtube App...
Es würde mich wundern wenn es keine vereinzelten interoperability Probleme geben würde wenn DoT und DNS over https gleichzeitig aktiv sind.

Naja, von DoT im DNS des Routers weiß das Programm ja nichts, das macht dann einfach eine DNS Abfrage... Als was das der Router dann forwarded bekommt es nicht mit.

Ich sehe gerade das Probem nicht, das Du da konstruieren möchtest.

muc80337_2 · ‎04.02.2021

Ich will kein Problem konstruieren.
Meine langjährige Erfahrung ist allerdings so, dass es IMMER irgendwelches Theater gibt wenn etwas neu eingeführt wird. Und es gibt ja auch einen Grund für das Labor.
Ich habe nur versucht mir irgendwelche Interworking-Szenarien vorzustellen, die nicht auf der Agende der Telekom zum Thema DNS over https stehen.

viper.de · ‎04.02.2021

Auf der Agenda der Telekom steht sicherlich zu testen ob deren Standarschnittstellen und die Infrastruktur funktionieren aber sicher nicht ob irgendein Client funktioniert oder wie der Client welche Szenarien handhabt. Die Telekom Server bedienen einen https Request, das wars dann.

KabelDigifreak · ‎05.02.2021

Die aktuelle Stable-Version vom Edge kann dass, nach allem, was man liest.

viper.de · ‎05.02.2021

@KabelDigifreak schrieb:
Die aktuelle Stable-Version vom Edge kann dass, nach allem, was man liest.

Ja, hab ich mit dem Telekom Server aktiv. Scheint zu funktionieren, suche allerdings noch nach so einer Status Seite wo man das auch überprüfen kann.

kurz59 · ‎05.02.2021

@viper.de

siehe 2. Beitrag unten?

viper.de · ‎05.02.2021

@kurz59 schrieb:
@viper.de
siehe 2. Beitrag unten?

Nicht bei Chrome und Edge

Stockibass · ‎05.02.2021

@Waldemar H.

Ein richtigen Server gibt es noch nicht? Oder wie kann ich das in der Fritzbox rein basteln?

Joulinar · ‎05.02.2021

@Stockibass

Die FritzBox macht DoT und nicht DoH.

viper.de · ‎05.02.2021

@Nicolai L. schrieb:
Hallo viper.de

"Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt."

"It depends"

Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können).,

@Nicolai L.

Das wäre aber doof, wenn die Auflösung lokaler Namen erstmal nach draussen geht...

Dazu böte es sich eher an in network.trr.excluded-domains Einträge zu machen. Oder besser noch der Browser erfragt die eigene Domain und exkludiert diese dann automagisch. Allerdings hilft das auch nicht, wenn nur der hostname angegeben wird...

Ok betrifft ja eigentlich im Heimbereich meistens "nur" die Konfigseiten der Geräte aber eben auch Bedienoberflächen.

Mein Fazit ist, zum Surfen ist DoH ja ganz nett, aber eine richtige Lösung als Ersatz für eine bestehende DNS Lösung/infratruktur sieht anders aus.

Stockibass · ‎05.02.2021

@Joulinar schrieb:
@Stockibass
Die FritzBox macht DoT und nicht DoH.

Ah, stimmt, sorry.

Joulinar · ‎05.02.2021

@viper.de schrieb:
@Nicolai L. schrieb:
Hallo viper.de

"Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt."

"It depends"

Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können).,
@Nicolai L.
Das wäre aber doof, wenn die Auflösung lokaler Namen erstmal nach draussen geht...
Dazu böte es sich eher an in network.trr.excluded-domains Einträge zu machen. Oder besser noch der Browser erfragt die eigene Domain und exkludiert diese dann automagisch. Allerdings hilft das auch nicht, wenn nur der hostname angegeben wird...
Ok betrifft ja eigentlich im Heimbereich meistens "nur" die Konfigseiten der Geräte aber eben auch Bedienoberflächen.

Mein Fazit ist, zum Surfen ist DoH ja ganz nett, aber eine richtige Lösung als Ersatz für eine bestehende DNS Lösung/infratruktur sieht anders aus.

@viper.de

Ich denke es geht erstmal da drum zu sehen ob die Namensauflösung per DoH generell funktioniert. Und für einen unkomplizierten Test bietet sich eben das Ganze im FF an. Eventuell wird das ganze ja irgendwann mal nativ in die Speedport Router eingebaut?

viper.de · ‎05.02.2021

@Joulinar

Da hast Du sicher Recht, momentan geht es ja auch nur weil die Browser das selbst implementieren und deswegen ja auch https, da ist der Aufwand gering. Aber zukunftsträchtig und zielführende ist das sicher nicht, wenn ein Browser Betriebssystem Funktionen bzw. Aufgaben des IP Stack übernimmt.

Als Proof of Concept ok. Funktioniert ja auch.

Sehe ich genauso wie Du, erstmal ausprobieren wie es Serverseitig so läuft und dann weiterschauen.

Joulinar · ‎06.02.2021

um das Ganze mal etwas realistischer zu gestalten, habe ich mir mal einen kleinen Cloudflare DNS Proxy hingestellt der jetzt alle Anfragen aus dem LAN per DoH beantwortet. Ja Cloudflare is nur das Tool, als Upstream DNS wird https://dns.telekom.de/dns-query benutzt

root@DietPiVM1:~# systemctl status cloudflared
● cloudflared.service - cloudflared DNS over HTTPS proxy
     Loaded: loaded (/etc/systemd/system/cloudflared.service; enabled; vendor preset: enabled)
     Active: active (running) since Sat 2021-02-06 01:29:52 CET; 14min ago
   Main PID: 2519 (cloudflared)
      Tasks: 8 (limit: 2368)
     Memory: 23.8M
        CPU: 2.420s
     CGroup: /system.slice/cloudflared.service
             └─2519 /usr/local/bin/cloudflared proxy-dns --port 5053 --upstream https://dns.telekom.de/dns-query

Feb 06 01:29:52 DietPiVM1 systemd[1]: Started cloudflared DNS over HTTPS proxy.
Feb 06 01:29:52 DietPiVM1 cloudflared[2519]: 2021-02-06T00:29:52Z INF Adding DNS upstream url=https://dns.telekom.de/dns-query
Feb 06 01:29:52 DietPiVM1 cloudflared[2519]: 2021-02-06T00:29:52Z INF Starting DNS over HTTPS proxy server address=dns://localhost:5053
Feb 06 01:29:52 DietPiVM1 cloudflared[2519]: 2021-02-06T00:29:52Z INF Starting metrics server on 127.0.0.1:42899/metrics
root@DietPiVM1:~#

muc80337_2 · ‎06.02.2021

Zusätzlich zur von @Waldemar H. geposteten Info-Seite des Firefox about:networking#dns

Ist eine solche Seite interessant, die einen Test macht https://www.cloudflare.com/ssl/encrypted-sni/

der bei mir im Firefox mit aktiviertem DNS over HTTPS (a la Waldemar) ein etwas unerwartetes Ergebnis bringt

viper.de · ‎06.02.2021

Fragt sich jetzt nur, wie die Seite das ermitteln will.

WinfriedA · ‎06.02.2021

@muc80337_2 schrieb:
Zusätzlich zur von @Waldemar H. geposteten Info-Seite des Firefox about:networking#dns

Ist eine solche Seite interessant, die einen Test macht https://www.cloudflare.com/ssl/encrypted-sni/
der bei mir im Firefox mit aktiviertem DNS over HTTPS (a la Waldemar) ein etwas unerwartetes Ergebnis bringt

Ich weiß nicht wie der Test funktioniert. Aber offensichtlich erkennt der Test nur, wenn der Cloudflare DoH Service verwendet wird. Andere DoH Services werden nicht erkannt. Ist möglicherweise auch nicht zu detektieren aus Sicht der Website im Browser.

ganzknusper · ‎06.02.2021

DNS funktioniert mit Firefox und Edge über meine Konfiguration gut. Wünschenswert wäre aus meiner Sicht eine hier mehrfach angesprochene Lösung für die FRITZ!Box, um auf der sicheren Seite fürs gesamte Heimnetz zu sein. Vielleicht könnt ihr das bei künftigen Tests berücksichtigen.

WinfriedA · ‎06.02.2021

@ganzknusper schrieb:
DNS funktioniert mit Firefox und Edge über meine Konfiguration gut. Wünschenswert wäre aus meiner Sicht eine hier mehrfach angesprochene Lösung für die FRITZ!Box, um auf der sicheren Seite fürs gesamte Heimnetz zu sein. Vielleicht könnt ihr das bei künftigen Tests berücksichtigen. B

Bestimmte Fritzboxen und bald auch bestimmte Speedports haben bzw. bekommen DoT Unterstützung. Wird intern bereits getestet. Ich denke es gibt auch bald einen Test mit Kunden. Stay tuned!

KabelDigifreak · ‎06.02.2021

Habe ich meine Standardeinstellung, dann ist diese Seite abrufbar: DNS leak test

Habe ich Edge für den Test konfiguriert, dann wird das nix.

Was heißt dass?

WinfriedA · ‎06.02.2021

@KabelDigifreak schrieb:
Habe ich meine Standardeinstellung, dann ist diese Seite abrufbar: DNS leak test

Habe ich Edge für den Test konfiguriert, dann wird das nix.

Was heißt dass?

Kannst du das genauer beschreiben? Kann die Site nicht aufgerufen werden? Fehlermeldung? Oder können die Tests dort nicht gemacht werden? Fehlermeldung? Oder Screenshots?

Joulinar · ‎06.02.2021

für mich funktioniert die Seite normal und gibt auch die Telekom DNS Server zurück

Mehr Infos

root@DietPiVM1:~# dig .0.0.1 -p 5053 dnsleaktest.com

; <<>> DiG 9.16.11-Debian <<>> .0.0.1 -p 5053 dnsleaktest.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56519
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dnsleaktest.com.               IN      A

;; ANSWER SECTION:
dnsleaktest.com.        300     IN      A       23.239.16.110

;; Query time: 160 msec
;; SERVER: 127.0.0.1#5053(127.0.0.1)
;; WHEN: Sat Feb 06 16:25:47 CET 2021
;; MSG SIZE  rcvd: 75

root@DietPiVM1:~#

root@DietPiVM1:~# dig .0.0.1 -p 5053 dnsleaktest.com ; <<>> DiG 9.16.11-Debian <<>> .0.0.1 -p 5053 dnsleaktest.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56519 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;dnsleaktest.com. IN A ;; ANSWER SECTION: dnsleaktest.com. 300 IN A 23.239.16.110 ;; Query time: 160 msec ;; SERVER: 127.0.0.1#5053(127.0.0.1) ;; WHEN: Sat Feb 06 16:25:47 CET 2021 ;; MSG SIZE rcvd: 75 root@DietPiVM1:~#