crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
16.07.2021 10:44 Zuletzt bearbeitet: 23.08.2021 15:32 durch den Autor
Update 23.08.2021: Der Test ist beendet.
********************************
Liebe Community,
mit DNS over TLS (DoT) steht euch ein neues Protokoll zur Verfügung, das DNS-Verkehre zwischen Client (Router) und Server verschlüsselt. Es kann verhindern, dass der DNS-Verkehr eines Nutzers von Dritten mitgelesen wird. Damit auch Telekom Kunden diesen Service direkt von ihrem Telekommunikationsanbieter beziehen können, testen wir das Protokoll gerade in der Praxis. Aus diesem Grund laden wir euch herzlich dazu ein, DNS over TLS zu konfigurieren und auszuprobieren!
Für diejenigen unter euch, die direkt loslegen möchten, hier die notwendigen Informationen zur Nutzung des DoT Servers der Telekom: 😉
Server Name: dns.telekom.de
Port Nummer: 853 (Standardport für DoT)
Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt. Unser Experte @WinfriedA begleitet den Test und unterstützt euch, wenn ihr Fragen habt. 😊
Viel Spaß beim Ausprobieren!
Gelöst! Gehe zu Lösung.
Hallo zusammen,
vielen Dank für all eure Rückmeldungen!
Dank eures Feedbacks konnten die Kollegen rund um @WinfriedA einiges mitnehmen. 😊
Dieser Test ist nun beendet.
Wir würden uns freuen, euch in Zukunft erneut im Telekom hilft Labor zu lesen.
Bis dahin alles Gute!
Viele Grüße,
Euer Experten-Team und die Labor-Crew
16.07.2021 10:45
Um DNS over TLS (DoT) unter einer FRITZ!Box einzurichten, muss zunächst die aktuellste Version der FRITZ!OS Software installiert werden. Dies kann über den regulären Update-Mechanismus des Routers angestoßen werden. Derzeit benötigt die Box ein Release ab Version 7.20.
Schritte zum Einschalten von DoT:
Nachdem ihr euch an der Benutzeroberfläche der FRITZ!Box angemeldet habt, müsst ihr die "erweiterte Ansicht" einschalten. Dies geht, indem ihr auf die drei Punkte in der rechten oberen Ecke klickt. Danach erscheint ein entsprechendes Menü:
Hier könnt ihr die "erweiterte Ansicht" einschalten:
Im nächsten Schritt lässt sich DoT unter dem Menüpunkt "Internet/Zugangsdaten" im Reiter "DNS-Server" wie folgt konfigurieren:
Damit ist die Konfiguration von DoT auf der FRITZ!Box abgeschlossen. Von nun an werden alle DNS Anfragen von Clients im Heimnetz über die FRITZ!Box mittels DoT verschlüsselt, sofern auf dem Client die FRITZ!Box als DNS-Server hinterlegt ist.
Wer möchte kann die - hoffentlich erfolgreiche - Konfiguration auch überprüfen. Wechselt dazu ins Log des Routers und schaut unter "System/Ereignisse" nach, ob die DoT Verbindung erfolgreich aufgebaut wurde. Das kann einen Moment dauern, also nicht direkt ungeduldig werden. 😉
Bei Problemen, Anregungen usw. bitte einen Beitrag erstellen – wir sind über jedes Feedback dankbar und werden den Artikel regelmäßig aktualisieren. In den nächsten Tagen/Wochen werden wir hier weitere Anleitungen ergänzen.
16.07.2021 10:49 Zuletzt bearbeitet: 16.07.2021 10:51 durch den Autor
@Nils_K Top! Danke, ist eingerichtet auf der Fritz!Box und läuft. Kann der Cloudflare Server raus….
16.07.2021 10:57 Zuletzt bearbeitet: 16.07.2021 11:00 durch den Autor
7590 meldet:
16.07.2021 11:18
16.07.2021 11:27 Zuletzt bearbeitet: 16.07.2021 13:28 durch den Autor
Ich habe den Service unter pfSense 2.5.2 konfiguriert. Es scheint zu funktionieren zumindest kann ich weiterhin DSN REcords auflösen. Da im Systemlog hier nicht steht ob das wirklich über DOT ging, wäre es schick, wenn man eine DNS Query machen könnte, die nur über DOT zu einem Ergebnis führt. Dann wüsste man immer ob die Config klappt oder nicht
16.07.2021 12:47
Mit opnsense (unbound) und AdGuard Home getestet.
Funktioniert bisher tadellos.
VG p.zwackelmann
16.07.2021 13:32
Moin Rainer,
@rainer1809 schrieb:
Hallo @Nils_K
geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?
wir melden uns deswegen nochmal. 🙂
Viele Grüße,
Nils
16.07.2021 13:53 Zuletzt bearbeitet: 16.07.2021 13:54 durch den Autor
Was man jetzt schon sagen kann, ist dass die DNS Auflösung dadurch deutlich langsamer wird.
Der Effekte wird natürlich durch Cache und TTL abgemildert wird aber beim erstmaligen Seitenaufbau sehr deutlich
16.07.2021 14:04
Benutze DoT schon seit dem ihr DoH im Labor hattet. Lief bisher tadellos, außer am Anfang. Da war es aber auch noch nicht offiziell. Von der Geschwindigkeit bemerke ich keinen Unterschied.
Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.
16.07.2021 15:14
Erfolgreich eingerichtet
16.07.2021 15:28 Zuletzt bearbeitet: 16.07.2021 15:28 durch den Autor
7590 meldet:
16.07.2021 16:22
Das wüsste ich auch gern – habe auch den Smart 4. DoT ist in den Expertenmenüs irgendwo versteckt, aber bislang offenbar nicht aktiv. Ich hoffe, das ändert sich bald.
16.07.2021 17:09
@Stefan schrieb:
wenn man eine DNS Query machen könnte, die nur über DOT zu einem Ergebnis führt.
Ja, zum Beispiel ein TXT RR, der den Endpunkt zurück gibt (Do53, DoH oder DoT). Guter Vorschlag! Werden wir implementieren, wenn möglich.
16.07.2021 17:24
@Stefan schrieb:
Was man jetzt schon sagen kann, ist dass die DNS Auflösung dadurch deutlich langsamer wird.
Subjektiv oder Objektiv? Wir können das nicht bestätigen. Die FB baut bei der ersten Anfrage die TCP Verbindung auf und hält sie offen für weitere Anfragen. Deshalb ist DoT im Grunde nicht langsamer wie Do53.
16.07.2021 17:33 Zuletzt bearbeitet: 16.07.2021 17:36 durch den Autor
@MaximilianH schrieb:
Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.
Gute Frage. Aktuell benutzen wir noch nicht alle Resolver-Sites für DoT. Ich denke, spätestens wenn dieser Test abgeschlossen ist, werden wir auch dazu übergehen mehrere Adressen zu liefern. Ich weiß zwar nicht ob ein DoT Client damit einen Fail-over machen kann im Fehler-Fall, aber schaden kann es nicht. Und es scheint Best Practice zu sein.
16.07.2021 19:55
Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten, wozu dann der Test, frage ich hier mal ganz sarkastisch, ;-)?
Gruß Ulrich
16.07.2021 19:57
@UlrichZ schrieb:Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten, wozu dann der Test, frage ich hier mal ganz sarkastisch, ;-)?
Gruß Ulrich
Für die Nutzer*innen der wirklich guten Router 😜 (wegduck).
VG
tt
16.07.2021 20:21
@UlrichZ schrieb:Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten, wozu dann der Test, frage ich hier mal ganz sarkastisch, ;-)?
Gruß Ulrich
Dann darf ich wohl ebenfalls nicht teilnehmen... 🤨
Oder ist es evtl. ein "Wink mit dem Zaunpfahl" besser Fremdhardware zu nutzen. 🤭😉
16.07.2021 20:25 Zuletzt bearbeitet: 16.07.2021 20:28 durch den Autor
Ich habe keine FB im Einsatz.
gemessen habe ich es nicht.
Aber nach dem löschen des Resolvercache und laden einer Webseite wo viele DNS Auflösungen benötigt werden, scheint mir
das Ladeverhalten etwas langsamer zu sein als ohne DOT
Ich kann bei mir eine beliebige Anzahl DOT Server im Router eintragen, Failover ist also kein Thema
Eine Auflösung des DOT Servers über Name ist bei mir nicht mögliche, ich muss die Adressen Eintragen.
Wie soll der Router aber auch den NAMEN des DOT Server zu einer IP auflösen, dazu müsste er ja wieder einen nicht DOT DNS Server nutzen.
16.07.2021 20:53
@Stefan schrieb:
Aber nach dem löschen des Resolvercache und laden einer Webseite wo viele DNS Auflösungen benötigt werden, scheint mir
das Ladeverhalten etwas langsamer zu sein als ohne DOT
Ich kann bei mir eine beliebige Anzahl DOT Server im Router eintragen, Failover ist also kein Thema
Eine Auflösung des DOT Servers über Name ist bei mir nicht mögliche, ich muss die Adressen Eintragen.
Wie soll der Router aber auch den NAMEN des DOT Server zu einer IP auflösen, dazu müsste er ja wieder einen nicht DOT DNS Server nutzen.
Kann rein theoretisch auch an der DoT Implementierung in pfSense liegen, dass es langsamer ist. Weiß ich aber nicht.
Das mit dem Namen für die Server ist verzwickt. Eigentlich wäre ein automatisches "Upgrade" des DNS Protokolls von UDP auf DoT auf den bereits bekannten Adressen nett. Macht Android so. Allerdings kann der DoT Client bei dieser Variante das TLS Zertifikat nicht validieren (opportunistic mode). Die FB Entwickler haben sich für die Variante mit dem Namen entschieden (strict mode).
16.07.2021 22:16
Hallo,
in der heutigen ct (Ausgabe 16) war ja ein Artikel darüber. Es wurde auch das Thema DNS64 angeschnitten. Wie ist das nun
aber realisiert. Wovon hängt es ab, ob nach DNS (AAAA fehlt, wenn es nicht da ist) oder DNS64(fehlendes AAAA wird ersetzt) aufgelöst wird?
Mein erster Test brachte auch an einem Rechner mit Einwahl über den v6-only-apn nur normale DNS-Auflösungen.
Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com
Thomas Schäfer
16.07.2021 22:41
@tschaefer1 schrieb:
Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com
DNS64 macht nur der T-Mobile Resolver wenn v6-only verwendet wird. Dort gibt es jedoch noch keine DoH/DoT Endpunkte.
17.07.2021 04:13 Zuletzt bearbeitet: 17.07.2021 04:18 durch den Autor
Die sind bei mir (glaube ich - oder habe ich das in der Vergangenheit selbst... grübel...) standardmäßig in der Fritzbox eingetragen
Euer Screenshot ist dahingehend zu verstehen, diese beiden zu löschen und stattdessen den Telekom DNS-Server einzutragen?
Oder ist doch eher gemeint, den Telekom DNS zusätzlich eintutragen?
Und falls ja, an welcher Position - ganz oben in der Liste oder ganz unten in der Liste?
Weitere Frage - was sind aus Eurer Sicht interworking issues mit DNS over https? Sollte das deaktiviert werden?
17.07.2021 07:07
@muc80337_2 schrieb:
Weitere Frage - was sind aus Eurer Sicht interworking issues mit DNS over https? Sollte das deaktiviert werden?
DOT und DOH koexistieren problemlos.
Allerdings ist es relativ witzlos DOH zu aktivieren, wenn man DOT testen will, weil dann die Requests vom Browser am DOH vorbeilaufen. Alle nicht Browser bezogenen Requests würden aber trotzdem über DOT laufen.
ansonsten ist es Wurst ober man über DOT oder DOH die Namensauflösung macht.
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Aktuelle Telekom Angebote für Mobilfunk (5G/LTE), Festnetz und Internet, TV & mehr.