Telekom hilft Labor: Testet mit uns „DNS over HTTPS“!

Waldemar H. · ‎03.02.2021

Zum Einstieg ein kleiner Exkurs: Wat is'n Dampfmaschin'? Uups, falscher Film. 😉 Noch mal von vorne: Wat is DNS? DNS steht für „Domain Name System“. Es wird von vielen auch als „Telefonbuch des Internets“ bezeichnet. Denn ohne DNS müsstet ihr euch die IP-Adresse jeder Seite merken, um darauf zuzugreifen. Wenn ihr beispielsweise www.telekom.de in den Browser eingibt, wird dieser Name in eine computerfreundliche Server-IP-Adresse – wie 80.158.67.40 – übersetzt bzw. aufgelöst. Mit „normalem“ DNS ist die Kommunikation zwischen dem Client (also eurem Browser/Rechner) und dem DNS-Server (in dem das Telefonbuch gespeichert ist) nicht verschlüsselt.

Mit „DNS over HTTPS (DoH)“ steht euch ein neues Protokoll zur Verfügung, mit dem der DNS-Verkehr zwischen Client und Server verschlüsselt wird. Es kann verhindern, dass der DNS-Verkehr von Dritten mitgelesen und manipuliert wird.

Um diesen Service zukünftig allen Kunden anzubieten, testen wir das Protokoll gerade in der Praxis. Wer möchte kann DoH jetzt schon im Firefox* konfigurieren und ausprobieren. Wir freuen uns in der Test-Phase über jeden Kunden, der gemeinsam mit uns testet.

Unsere Experten @WinfriedA und @Nicolai L. begleiten diesen Test. Sie freuen sich auf eure Fragen und euer Feedback. Also startet den Feuerfuchs, konfiguriert DoH und testet drauf los! 😊

* Chrome unterstützt nur eine bestimmte Auswahl von Servern über das "Auto-Upgrade" - es kann kein Server händisch eingetragen werden (so wie bei Firefox). In einer früheren Version konnte man den Server in der Kommando-Zeile spezifizieren, aber das Feature wurde wohl entfernt. Ähnlich verhält sich bei anderen Browsern: Entweder wird DoH noch nicht unterstützt oder es ist nicht möglich einen Server händisch einzutragen. Sobald eine manuelle Konfiguration mit anderen Browsern möglich ist, werden wir euch eine entsprechende Anleitung in diesem Thread zur Verfügung stellen.

Bernd M. · ‎31.05.2021

Liebe Teilnehmer*innen,

vielen Dank für euer konstruktives Feedback und die interessanten Unterhaltungen. Wir konnten daraus einiges für uns mitnehmen. Dieser Test ist nun abgeschlossen.

Wie schon häufiger in den letzten Wochen angesprochen, möchten wir ca. Mitte Juli „DNS over TLS“ vertesten. Es wird hierzu ebenfalls einen offenen Test im Telekom hilft Labor geben. Wir freuen uns auch dort über reges Interesse und eure Rückmeldungen.

Bis dahin!

Euer Experten-Team und die Labor-Crew

Lösung in ursprünglichem Beitrag anzeigen

Waldemar H. · ‎03.02.2021

Konfiguration von DoH im Mozilla Firefox Browser

SCHRITT 1

"Einstellungen" aufrufen:

SCHRITT 2

In den Einstellungen bis ganz unten scrollen und danach unter "Verbindungs-Einstellungen" auf "Einstellungen" klicken:

SCHRITT 3

Scrollt im nächsten Dialog bis ans Ende und setzt bei "DNS über HTTPS aktivieren" ein Häkchen. Als Anbieter wählt ihr "Benutzerdefiniert" aus und trägt im Textfeld in der nächsten Zeile den Server „https://dns.telekom.de/dns-query“ ein. Jetzt speichert ihr mit "OK" die Änderungen ab. Damit ist die Konfiguration von DoH abgeschlossen.

Hinweis: Leider verfügt der Mozilla Firefox über keine Statusanzeige, über die geprüft werden kann, ob DoH verwendet wird (beispielsweise analog zur Anzeige, ob eine Internetseite verschlüsselt ist). Es gibt jedoch die Möglichkeit zu prüfen, ob bestimmte Domains über DoH aufgelöst werden. Dazu müsst ihr die interne DNS-Statusseite von Firefox aufrufen, indem ihr in die Adressleiste folgende URL eintippt: about:networking#dns

Wer möchte kann oben rechts das Häkchen bei "Automatisch alle 3 Sekunden aktualisieren" setzen.

Wenn in der Spalte TRR (Trusted Recursive Resolver) für eine Internetseite (Hostname) "true" aufgeführt ist, wurde diese über DoH aufgelöst. Ist dort "false" aufgeführt, dann erfolgte die Auflösung über das normale DNS.

Lösung in ursprünglichem Beitrag anzeigen

viper.de · ‎06.02.2021

@Joulinar

Dein dig macht doch sicherlich kein DoH.

Aber egal, diese dnsleak Seite hat ja nichts mit DoH zu tun

Im FF mit DoH löst dies Seite jedenfalls bei mir auf.

Edge kann ich mal morgen testen.

muc80337_2 · ‎06.02.2021

@WinfriedA
Wo ist die entsprechende Telekom-Seite

Joulinar · ‎06.02.2021

@viper.de

wie kommst du da drauf? Auf dem Port läuft mein Clodfare DNS Proxy der als Upstream https://dns.telekom.de/dns-quer nutzt

viper.de · ‎06.02.2021

@Joulinar schrieb:
@viper.de
wie kommst du da drauf? Auf dem Port läuft mein Clodfare DNS Proxy der als Upstream https://dns.telekom.de/dns-quer nutzt

Achja vergessen, bzw. verdrängt dass der Proxy alles auffängt.

Ich hol mal nen alten RaspbiB aus der Kiste und bastel mal.

Joulinar · ‎06.02.2021

Hier mal ein Link zur PiHole Doku wie man den Cloudflare Proxy installiert. Die Einrichtung von PiHole kann man sich ja sparen.

cloudflared (DoH) - Pi-hole documentation (pi-hole.net)

viper.de · ‎06.02.2021

@WinfriedA schrieb:Bestimmte Fritzboxen und bald auch bestimmte Speedports haben bzw. bekommen DoT Unterstützung.

Habe ich bei einem bereits im Umlauf befindlichen Speedport schon im Engineering Menu gesehen Einem Test stünde nichts im Wege.

muc80337_2 · ‎06.02.2021

@Joulinar schrieb:
Am Ende bleibt die Frage DoT oder DoH? DNS over TLS vs. DNS over HTTPS | Secure DNS | Cloudflare

Also ich habe in der Fritzbox DNS over TLS aktiv - und im Firefox DNS over HTTPS.

D.h. wenn ich nicht per Firefox unterwegs bin, dann läuft DNS over TLS

KabelDigifreak · ‎06.02.2021

@WinfriedA schrieb:
@KabelDigifreak schrieb:
Habe ich meine Standardeinstellung, dann ist diese Seite abrufbar: DNS leak test

Habe ich Edge für den Test konfiguriert, dann wird das nix.

Was heißt dass?
Kannst du das genauer beschreiben? Kann die Site nicht aufgerufen werden? Fehlermeldung? Oder können die Tests dort nicht gemacht werden? Fehlermeldung? Oder Screenshots?

Aber sicher.

Mit DoH, Microsoft EdgeOhne DoH, Microsoft Edge

KabelDigifreak · ‎06.02.2021

Ich steige erstmal aus, denn "fritz.box" macht dasselbe.

viper.de · ‎06.02.2021

@KabelDigifreak schrieb:
Ich steige erstmal aus, denn "fritz.box" macht dasselbe.

Das war so eine meiner Befürchtungen.

viper.de · ‎06.02.2021

@Joulinar schrieb:
Hier mal ein Link zur PiHole Doku wie man den Cloudflare Proxy installiert. Die Einrichtung von PiHole kann man sich ja sparen.

Nur um sicherzugehen, Du hast aber schon 53 und nicht 5053 als Proxy Port definiert?

Oder geht das bei Dir über Pi Hole als Forwarder?

WinfriedA · ‎06.02.2021

@KabelDigifreak schrieb:
@WinfriedA schrieb:
@KabelDigifreak schrieb:
Habe ich meine Standardeinstellung, dann ist diese Seite abrufbar: DNS leak test

Habe ich Edge für den Test konfiguriert, dann wird das nix.

Was heißt dass?
Kannst du das genauer beschreiben? Kann die Site nicht aufgerufen werden? Fehlermeldung? Oder können die Tests dort nicht gemacht werden? Fehlermeldung? Oder Screenshots?
Aber sicher.
Mit DoH, Microsoft EdgeOhne DoH, Microsoft Edge

@KabelDigifreak schrieb:
@WinfriedA schrieb:
@KabelDigifreak schrieb:
Habe ich meine Standardeinstellung, dann ist diese Seite abrufbar: DNS leak test

Habe ich Edge für den Test konfiguriert, dann wird das nix.

Was heißt dass?
Kannst du das genauer beschreiben? Kann die Site nicht aufgerufen werden? Fehlermeldung? Oder können die Tests dort nicht gemacht werden? Fehlermeldung? Oder Screenshots?
Aber sicher.

Funktionieren denn andere Seiten mit Edge? Ist nur dnsleaktest.com betroffen?

KabelDigifreak · ‎06.02.2021

@WinfriedA schrieb:
@KabelDigifreak schrieb:
@WinfriedA schrieb:
@KabelDigifreak schrieb:
Habe ich meine Standardeinstellung, dann ist diese Seite abrufbar: DNS leak test

Habe ich Edge für den Test konfiguriert, dann wird das nix.

Was heißt dass?
Kannst du das genauer beschreiben? Kann die Site nicht aufgerufen werden? Fehlermeldung? Oder können die Tests dort nicht gemacht werden? Fehlermeldung? Oder Screenshots?
Aber sicher.
Mit DoH, Microsoft EdgeOhne DoH, Microsoft Edge
@KabelDigifreak schrieb:
@WinfriedA schrieb:
@KabelDigifreak schrieb:
Habe ich meine Standardeinstellung, dann ist diese Seite abrufbar: DNS leak test

Habe ich Edge für den Test konfiguriert, dann wird das nix.

Was heißt dass?
Kannst du das genauer beschreiben? Kann die Site nicht aufgerufen werden? Fehlermeldung? Oder können die Tests dort nicht gemacht werden? Fehlermeldung? Oder Screenshots?
Aber sicher.

Funktionieren denn andere Seiten mit Edge? Ist nur dnsleaktest.com betroffen?

fritz.box auch, dass ist schlecht. Bin jetzt auf meine Standardkonfiguration zurück. Edge aktuell, ebenso Windows 10.

viper.de · ‎06.02.2021

@WinfriedA; @KabelDigifreak

ist hier auch so mit Edge, https://dnsleaktest.com löst nicht auf mit Edge.

Auch nicht mit www davor.

Im FF schon. Muss ein Edge Ding sein. Ausserdem ist es schnarchlangsam mit Edge, getestet mit Telekom.de und heise.de

speedport.ip und fritz.box lösen hier auch nicht auf.

Anmerkung:

Ich hab das jetzt gerade in einer VM mit 32Bit Win10 getestet.

Gestern auf einem 64 Bit Windows klappte Alles.

Joulinar · ‎06.02.2021

@viper.de schrieb:
@Joulinar schrieb:
Hier mal ein Link zur PiHole Doku wie man den Cloudflare Proxy installiert. Die Einrichtung von PiHole kann man sich ja sparen.

Nur um sicherzugehen, Du hast aber schon 53 und nicht 5053 als Proxy Port definiert?
Oder geht das bei Dir über Pi Hole als Forwarder?

Ja bei mir läuft standardmäßig PiHole für alle Clients im LAN. War am einfachsten in PiHole einfach den Upstream DNS auf den Proxy zu ändern um alle Clients mit DoH beglücken zu können.

Mehr Infos

viper.de · ‎06.02.2021

@viper.de schrieb:
@WinfriedA; @KabelDigifreak
ist hier auch so mit Edge, https://dnsleaktest.com löst nicht auf mit Edge.
Auch nicht mit www davor.
Im FF schon. Muss ein Edge Ding sein. Ausserdem ist es schnarchlangsam mit Edge, getestet mit Telekom.de und heise.de
speedport.ip und fritz.box lösen hier auch nicht auf.
Anmerkung:
Ich hab das jetzt gerade in einer VM mit 32Bit Win10 getestet.
Gestern auf einem 64 Bit Windows klappte Alles.

Auch mit Cloudfare als DNS Provider klappt es nicht, ist also scheinbar wirklich ein Edge Problem.

muc80337_2 · ‎06.02.2021

@WinfriedA schrieb:
Funktionieren denn andere Seiten mit Edge? Ist nur dnsleaktest.com betroffen?

Mal eine Verständnisfrage.

Funktioniert es bei Dir - oder testest Du das gar nicht auch selbst?

WinfriedA · ‎06.02.2021

@muc80337_2 schrieb:
@WinfriedA schrieb:
Funktionieren denn andere Seiten mit Edge? Ist nur dnsleaktest.com betroffen?
Mal eine Verständnisfrage.
Funktioniert es bei Dir - oder testest Du das gar nicht auch selbst?

Habe es inzwischen getestet und kann es reproduzieren. Mit Quad9 übrigens auch. Müssen wir uns genauer anschauen. Bei "fritz.box" ist das zu erwarten, weil das nur von der FB selbst aufgelöst werden kann und die ist bei DoH nicht involviert.

viper.de · ‎06.02.2021

@WinfriedA schrieb:Bei "fritz.box" ist das zu erwarten, weil das nur von der FB selbst aufgelöst werden kann und die ist bei DoH nicht involviert.

Funktioniert aber im Fallback bei Firefox(zumindestens hier) eben nur nicht bei Edge(32). Da passt eher was im Browser nicht.

WinfriedA · ‎06.02.2021

@viper.de schrieb:
@WinfriedA schrieb:Bei "fritz.box" ist das zu erwarten, weil das nur von der FB selbst aufgelöst werden kann und die ist bei DoH nicht involviert.
Funktioniert aber im Fallback bei Firefox(zumindestens hier) eben nur nicht bei Edge(32). Da passt eher was im Browser nicht.

Die DNS Server von dnsleaktest.com antworten nicht standardkonform:

https://ednscomp.isc.org/ednscomp/ce04ed459d

Das führt bei den Telekom Resolvern in bestimmten Fällen zu Fehlern. Ich schätze, das wiederum führt im Edge bei der Umschaltung auf unseren DoH Service zu dem beschriebenen Problem.

viper.de · ‎06.02.2021

Das führt auch bei anderen DoH Servern zu Problemen

Danke fürs Überprüfen.

Dem Firefox scheint es aber egal zu sein.

KabelDigifreak · ‎06.02.2021

Edge 64-BIT im Einsatz, falls relevant.

tschaefer1 · ‎06.02.2021

Warum nicht DoT?

Das wird von allen Androiden und aktuellen Fritzboxen unterstützt!

Beim Firefox für Android kann ich den DoH resolver gar nicht eintragen.

Außerdem, gibt's für den Mobilfunk noch eine DNS64-variante? (Google und cloudflare haben das)

Joulinar · ‎07.02.2021

DoT kommt sicher noch. Siehe hier Gelöst: AW: Telekom hilft Labor: Testet mit uns „DNS over ... | Telekom hilft Community

WinfriedA · ‎07.02.2021

@tschaefer1 schrieb:
Warum nicht DoT?
Das wird von allen Androiden und aktuellen Fritzboxen unterstützt!
Beim Firefox für Android kann ich den DoH resolver gar nicht eintragen.
Außerdem, gibt's für den Mobilfunk noch eine DNS64-variante? (Google und cloudflare haben das)

Wir denken ebenfalls, dass DoT am Ende die bessere Lösung ist, um DNS zu verschlüsseln. Unser DoH Angebot soll Kunden, die DoH nutzen möchten, die Möglichkeit geben, dafür unsere DNS Resolver zu nutzen, wenn sie z.B. uns mehr vertrauen als anderen DoH Anbietern.

Telekom hilft Labor: Testet mit uns „DNS over HTTPS“!

Konfiguration von DoH im Mozilla Firefox Browser

Social Media