Telekom hilft Labor: Testet mit uns „DNS over TLS“!

Nils_K · ‎16.07.2021

Update 23.08.2021: Der Test ist beendet.

********************************

Liebe Community,

mit DNS over TLS (DoT) steht euch ein neues Protokoll zur Verfügung, das DNS-Verkehre zwischen Client (Router) und Server verschlüsselt. Es kann verhindern, dass der DNS-Verkehr eines Nutzers von Dritten mitgelesen wird. Damit auch Telekom Kunden diesen Service direkt von ihrem Telekommunikationsanbieter beziehen können, testen wir das Protokoll gerade in der Praxis. Aus diesem Grund laden wir euch herzlich dazu ein, DNS over TLS zu konfigurieren und auszuprobieren!

Für diejenigen unter euch, die direkt loslegen möchten, hier die notwendigen Informationen zur Nutzung des DoT Servers der Telekom: 😉

Server Name: dns.telekom.de

Port Nummer: 853 (Standardport für DoT)

Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt. Unser Experte @WinfriedA begleitet den Test und unterstützt euch, wenn ihr Fragen habt. 😊

Viel Spaß beim Ausprobieren!

Nils_K · ‎23.08.2021

Hallo zusammen,

vielen Dank für all eure Rückmeldungen!

Dank eures Feedbacks konnten die Kollegen rund um @WinfriedA einiges mitnehmen. 😊

Dieser Test ist nun beendet.

Wir würden uns freuen, euch in Zukunft erneut im Telekom hilft Labor zu lesen.

Bis dahin alles Gute!

Viele Grüße,

Euer Experten-Team und die Labor-Crew

Lösung in ursprünglichem Beitrag anzeigen

Nils_K · ‎16.07.2021

Konfiguration von DoT im Router am Beispiel der AVM FRITZ!Box

Um DNS over TLS (DoT) unter einer FRITZ!Box einzurichten, muss zunächst die aktuellste Version der FRITZ!OS Software installiert werden. Dies kann über den regulären Update-Mechanismus des Routers angestoßen werden. Derzeit benötigt die Box ein Release ab Version 7.20.

Schritte zum Einschalten von DoT:

Nachdem ihr euch an der Benutzeroberfläche der FRITZ!Box angemeldet habt, müsst ihr die "erweiterte Ansicht" einschalten. Dies geht, indem ihr auf die drei Punkte in der rechten oberen Ecke klickt. Danach erscheint ein entsprechendes Menü:

Hier könnt ihr die "erweiterte Ansicht" einschalten:

Im nächsten Schritt lässt sich DoT unter dem Menüpunkt "Internet/Zugangsdaten" im Reiter "DNS-Server" wie folgt konfigurieren:

Einschalten von DoT, indem ihr unter "Verschlüsselte Namensauflösung" einen Haken setzt.
Sowohl die "Zertifikatsprüfung" als auch der "Fallback" müssen aktiviert sein.-> Der Fallback stellt sicher, dass bei einem Ausfall der DoT-Server automatisch auf unverschlüsseltes DNS zurückgestellt wird.
Tragt als nächstes unter "Auflösungsnamen der DNS-Server" den Wert "dns.telekom.de" ein.-> die FRITZ!Box verwendet damit automatisch einen geeigneten DoT-Server aus dem Netz der Deutschen Telekom.
Klickt zum Abschließen der Konfiguration auf "Übernehmen".

Damit ist die Konfiguration von DoT auf der FRITZ!Box abgeschlossen. Von nun an werden alle DNS Anfragen von Clients im Heimnetz über die FRITZ!Box mittels DoT verschlüsselt, sofern auf dem Client die FRITZ!Box als DNS-Server hinterlegt ist.

Wer möchte kann die - hoffentlich erfolgreiche - Konfiguration auch überprüfen. Wechselt dazu ins Log des Routers und schaut unter "System/Ereignisse" nach, ob die DoT Verbindung erfolgreich aufgebaut wurde. Das kann einen Moment dauern, also nicht direkt ungeduldig werden. 😉

Bei Problemen, Anregungen usw. bitte einen Beitrag erstellen – wir sind über jedes Feedback dankbar und werden den Artikel regelmäßig aktualisieren. In den nächsten Tagen/Wochen werden wir hier weitere Anleitungen ergänzen.

AgentMcGee · ‎16.07.2021

@Nils_K Top! Danke, ist eingerichtet auf der Fritz!Box und läuft. Kann der Cloudflare Server raus….

Has · ‎16.07.2021

7590 meldet:

Es wurde erfolgreich eine Verbindung - samt vollständiger Validierung - zu den verschlüsselten DNS-Servern aufgebaut.

rainer1809 · ‎16.07.2021

@Nils_K schrieb:
Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt.

Hallo @Nils_K

geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?

Stefan · ‎16.07.2021

@Nils_K @WinfriedA

Ich habe den Service unter pfSense 2.5.2 konfiguriert. Es scheint zu funktionieren zumindest kann ich weiterhin DSN REcords auflösen. Da im Systemlog hier nicht steht ob das wirklich über DOT ging, wäre es schick, wenn man eine DNS Query machen könnte, die nur über DOT zu einem Ergebnis führt. Dann wüsste man immer ob die Config klappt oder nicht

p.zwackelmann · ‎16.07.2021

Mit opnsense (unbound) und AdGuard Home getestet.

Funktioniert bisher tadellos.

VG p.zwackelmann

Nils_K · ‎16.07.2021

Moin Rainer,

@rainer1809 schrieb:

Hallo @Nils_K

geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?

wir melden uns deswegen nochmal. 🙂

Viele Grüße,

Nils

Stefan · ‎16.07.2021

Was man jetzt schon sagen kann, ist dass die DNS Auflösung dadurch deutlich langsamer wird.

Der Effekte wird natürlich durch Cache und TTL abgemildert wird aber beim erstmaligen Seitenaufbau sehr deutlich

MaximilianH · ‎16.07.2021

Benutze DoT schon seit dem ihr DoH im Labor hattet. Lief bisher tadellos, außer am Anfang. Da war es aber auch noch nicht offiziell. Von der Geschwindigkeit bemerke ich keinen Unterschied.

Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.

tank-776 · ‎16.07.2021

Erfolgreich eingerichtet

timotaeuser · ‎16.07.2021

7590 meldet:

teezeh · ‎16.07.2021

Das wüsste ich auch gern – habe auch den Smart 4. DoT ist in den Expertenmenüs irgendwo versteckt, aber bislang offenbar nicht aktiv. Ich hoffe, das ändert sich bald.

WinfriedA · ‎16.07.2021

@Stefan schrieb:
wenn man eine DNS Query machen könnte, die nur über DOT zu einem Ergebnis führt.

Ja, zum Beispiel ein TXT RR, der den Endpunkt zurück gibt (Do53, DoH oder DoT). Guter Vorschlag! Werden wir implementieren, wenn möglich.

WinfriedA · ‎16.07.2021

@Stefan schrieb:
Was man jetzt schon sagen kann, ist dass die DNS Auflösung dadurch deutlich langsamer wird.

Subjektiv oder Objektiv? Wir können das nicht bestätigen. Die FB baut bei der ersten Anfrage die TCP Verbindung auf und hält sie offen für weitere Anfragen. Deshalb ist DoT im Grunde nicht langsamer wie Do53.

WinfriedA · ‎16.07.2021

@MaximilianH schrieb:
Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.

Gute Frage. Aktuell benutzen wir noch nicht alle Resolver-Sites für DoT. Ich denke, spätestens wenn dieser Test abgeschlossen ist, werden wir auch dazu übergehen mehrere Adressen zu liefern. Ich weiß zwar nicht ob ein DoT Client damit einen Fail-over machen kann im Fehler-Fall, aber schaden kann es nicht. Und es scheint Best Practice zu sein.

UlrichZ · ‎16.07.2021

Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten, wozu dann der Test, frage ich hier mal ganz sarkastisch, ;-)?

Gruß Ulrich

timotaeuser · ‎16.07.2021

@UlrichZ schrieb:
Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten, wozu dann der Test, frage ich hier mal ganz sarkastisch, ;-)?

Gruß Ulrich

Für die Nutzer*innen der wirklich guten Router 😜 (wegduck).

VG
tt

StephanH-71 · ‎16.07.2021

@UlrichZ schrieb:
Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten, wozu dann der Test, frage ich hier mal ganz sarkastisch, ;-)?

Gruß Ulrich

Dann darf ich wohl ebenfalls nicht teilnehmen... 🤨

Oder ist es evtl. ein "Wink mit dem Zaunpfahl" besser Fremdhardware zu nutzen. 🤭😉

Stefan · ‎16.07.2021

@WinfriedA

Ich habe keine FB im Einsatz.

gemessen habe ich es nicht.

Aber nach dem löschen des Resolvercache und laden einer Webseite wo viele DNS Auflösungen benötigt werden, scheint mir

das Ladeverhalten etwas langsamer zu sein als ohne DOT

Ich kann bei mir eine beliebige Anzahl DOT Server im Router eintragen, Failover ist also kein Thema

Eine Auflösung des DOT Servers über Name ist bei mir nicht mögliche, ich muss die Adressen Eintragen.

Wie soll der Router aber auch den NAMEN des DOT Server zu einer IP auflösen, dazu müsste er ja wieder einen nicht DOT DNS Server nutzen.

WinfriedA · ‎16.07.2021

@Stefan schrieb:

Aber nach dem löschen des Resolvercache und laden einer Webseite wo viele DNS Auflösungen benötigt werden, scheint mir

das Ladeverhalten etwas langsamer zu sein als ohne DOT

Ich kann bei mir eine beliebige Anzahl DOT Server im Router eintragen, Failover ist also kein Thema

Eine Auflösung des DOT Servers über Name ist bei mir nicht mögliche, ich muss die Adressen Eintragen.

Wie soll der Router aber auch den NAMEN des DOT Server zu einer IP auflösen, dazu müsste er ja wieder einen nicht DOT DNS Server nutzen.

Kann rein theoretisch auch an der DoT Implementierung in pfSense liegen, dass es langsamer ist. Weiß ich aber nicht.

Das mit dem Namen für die Server ist verzwickt. Eigentlich wäre ein automatisches "Upgrade" des DNS Protokolls von UDP auf DoT auf den bereits bekannten Adressen nett. Macht Android so. Allerdings kann der DoT Client bei dieser Variante das TLS Zertifikat nicht validieren (opportunistic mode). Die FB Entwickler haben sich für die Variante mit dem Namen entschieden (strict mode).

tschaefer1 · ‎16.07.2021

Hallo,

in der heutigen ct (Ausgabe 16) war ja ein Artikel darüber. Es wurde auch das Thema DNS64 angeschnitten. Wie ist das nun

aber realisiert. Wovon hängt es ab, ob nach DNS (AAAA fehlt, wenn es nicht da ist) oder DNS64(fehlendes AAAA wird ersetzt) aufgelöst wird?

Mein erster Test brachte auch an einem Rechner mit Einwahl über den v6-only-apn nur normale DNS-Auflösungen.

Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com

Thomas Schäfer

WinfriedA · ‎16.07.2021

@tschaefer1 schrieb:
Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com

DNS64 macht nur der T-Mobile Resolver wenn v6-only verwendet wird. Dort gibt es jedoch noch keine DoH/DoT Endpunkte.

muc80337_2 · ‎17.07.2021

Die sind bei mir (glaube ich - oder habe ich das in der Vergangenheit selbst... grübel...) standardmäßig in der Fritzbox eingetragen

Euer Screenshot ist dahingehend zu verstehen, diese beiden zu löschen und stattdessen den Telekom DNS-Server einzutragen?

Oder ist doch eher gemeint, den Telekom DNS zusätzlich eintutragen?

Und falls ja, an welcher Position - ganz oben in der Liste oder ganz unten in der Liste?

Weitere Frage - was sind aus Eurer Sicht interworking issues mit DNS over https? Sollte das deaktiviert werden?

https://telekomhilft.telekom.de/t5/Offene-Tests-Umfragen/Telekom-hilft-Labor-Testet-mit-uns-DNS-over...

Stefan · ‎17.07.2021

@muc80337_2 schrieb:

Weitere Frage - was sind aus Eurer Sicht interworking issues mit DNS over https? Sollte das deaktiviert werden?

https://telekomhilft.telekom.de/t5/Offene-Tests-Umfragen/Telekom-hilft-Labor-Testet-mit-uns-DNS-over...

DOT und DOH koexistieren problemlos.

Allerdings ist es relativ witzlos DOH zu aktivieren, wenn man DOT testen will, weil dann die Requests vom Browser am DOH vorbeilaufen. Alle nicht Browser bezogenen Requests würden aber trotzdem über DOT laufen.

ansonsten ist es Wurst ober man über DOT oder DOH die Namensauflösung macht.

Telekom hilft Labor: Testet mit uns „DNS over TLS“!

Konfiguration von DoT im Router am Beispiel der AVM FRITZ!Box

Social Media