Telekom hilft Labor: Testet mit uns „DNS over TLS“!

Gelöst

Update 23.08.2021: Der Test ist beendet.

********************************

 

Liebe Community,

 

mit DNS over TLS (DoT) steht euch ein neues Protokoll zur Verfügung, das DNS-Verkehre zwischen Client (Router) und Server verschlüsselt. Es kann verhindern, dass der DNS-Verkehr eines Nutzers von Dritten mitgelesen wird. Damit auch Telekom Kunden diesen Service direkt von ihrem Telekommunikationsanbieter beziehen können, testen wir das Protokoll gerade in der Praxis. Aus diesem Grund laden wir euch herzlich dazu ein, DNS over TLS zu konfigurieren und auszuprobieren!

 

Für diejenigen unter euch, die direkt loslegen möchten, hier die notwendigen Informationen zur Nutzung des DoT Servers der Telekom: :zwinkerndes_Gesicht:

 

Server Name:    dns.telekom.de

Port Nummer:   853 (Standardport für DoT)

 

Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt. Unser Experte @WinfriedA begleitet den Test und unterstützt euch, wenn ihr Fragen habt. :lächelndes_Gesicht_mit_lächelnden_Augen:

 

Viel Spaß beim Ausprobieren!

 

1 AKZEPTIERTE LÖSUNG
Lösung

Hallo zusammen,

 

vielen Dank für all eure Rückmeldungen!

Dank eures Feedbacks konnten die Kollegen rund um @WinfriedA einiges mitnehmen. :lächelndes_Gesicht_mit_lächelnden_Augen:

 

Dieser Test ist nun beendet.

 

Wir würden uns freuen, euch in Zukunft erneut im Telekom hilft Labor zu lesen.

 

Bis dahin alles Gute!

 

Viele Grüße,

Euer Experten-Team und die Labor-Crew

Lösung in ursprünglichem Beitrag anzeigen  

woher soll der externe Test auch wissen, ob die die IP des Servers über einen DoT oder über einen normalen 
dns Server bekommen hast?

 

Das Test Szenario macht nur Sinn wenn du ausschließlich einen DNS Server nutzt, sonst weißt du nie welcher Gerade geantwortet hat.  Ausserdem muss am Client natürlich auch auf jeden Fall der Router als DNS Server eingestellt sein. Nicht dass da noch ein anderer konfiguriert ist


@MichaelE.Mauer  schrieb:
Nutze ich dagegen (z.B.) dns2.digitalcourage.de an erster Stelle ist alles ok.

Kann ich nicht bestätigen. Ich habs mehrfach versucht. "Secure DNS" wird nur grün, wenn "one.one.one.one" eingetragen wird, also der Server von Cloudflare selbst. Für mich sieht das so aus, wie wenn CF das nur sicher überprüfen kann, wenn der eigene Dienst verwendet wird. Ich wüßte auch nicht, wie CF das beim Telekom DoT Service erkennen könnte. CF sagt ja auch nicht, dass es nicht sicher ist, sondern "You *may* not be using secure DNS".

 

Danke für die Rückmeldungen. Die Fritzbox zeigt im Online Monitor "2003:180:2:8100::4:0:53 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)".  Dann bleibt "dns.telekom.de" an erster Stelle.

Lösung

Hallo zusammen,

 

vielen Dank für all eure Rückmeldungen!

Dank eures Feedbacks konnten die Kollegen rund um @WinfriedA einiges mitnehmen. :lächelndes_Gesicht_mit_lächelnden_Augen:

 

Dieser Test ist nun beendet.

 

Wir würden uns freuen, euch in Zukunft erneut im Telekom hilft Labor zu lesen.

 

Bis dahin alles Gute!

 

Viele Grüße,

Euer Experten-Team und die Labor-Crew

Wie sieht es aus, wann wird DoT produktiv verfügbar sein, so das auch die Telekom dafür "wirbt"? Und die Server werde trotzdem noch online sein, oder?


@Nils_K  schrieb:

Dieser Test ist nun beendet.

Genau, müssen wir die Änderungen zurück drehen?

@Nils_K  @WinfriedA 

Könnte noch jemand beantworten, ob der Server nun weiterläuft oder abgeschaltet wird?

 

Hi zusammen,

 

der Server bleibt weiterhin online.

Was das andere Thema angeht, melde ich mich nochmal. :leicht_lächelndes_Gesicht:

 

Viele Grüße,

Nils

Hallo zusammen! Bin leider jetzt erst auf dieses Thema gestoßen.

Bisher habe ich, wie wohl viele andere auch, mit meiner Fritz!Box 7590 Cloudflare benutzt. Nach deren Setup-Beschreibung (https://1.1.1.1/help) muss man ja im oberen Teil der DNS-Einstellungsseite der Fritz!Box folgende Änderungen eintragen:

 

  • For IPv4: 1.1.1.1 and 1.0.0.1
  • For IPv6: 2606:4700:4700::1111 and 2606:4700:4700::1001

Für T-Online sehe ich eine solche Änderung nicht. Was muss ich denn jetzt oben eintragen oder ankreuzen? "Vom Internetanbieter zugewiesene …"?

Ich habe dann auch mal die Tests auf https://1.1.1.1/help und https://www.cloudflare.com/de-de/ssl/encrypted-sni/ gemacht, aber da wird mir bei jedem Neuladen der Seite (und vorherigem Leeren des Caches)  ein anderes Ergebnis angezeigt und ich weiß nicht, was davon stimmt. Gibt es denn nicht eine neutrale Testseite, auf der man sehen kann, ob die Verbindung über DoT da ist und vor allem, ob die Verschlüsselungen klappen?

Klar zeigt mir der Onlinemonitor der Fritz!Box an "2003:180:2:8100::4:0:53 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)", aber das könnte ja auch einfach eine Anzeige meiner Voreinstellungen sein. Kein tatsächlicher Test.

Ich bitte um Aufklärung.

Gelöschter Nutzer

https://internet.nl/connection

 

 

Da bei meinem Smart 4 leider noch kein DoT möglich ist, nutze ich Apple Private Relay und komme auf 100%.

@WinfriedAWieso funktioniert DoT nicht mehr über das Mobilfunknetz?

Guten Morgen Nils,

Ich habe seit September auch ein Speedport Smart 4 Typ A( vorher Fritzbox 7590), möchte deshalb auch DoT auf dem Speedport einrichten.

Wie ist der Status hier ?

Mit frundlichen Grüßen

Tom

Guten Morgen Nils,

Stand 03.09.21 ist der Speedport Smart 4 Typ A immer noch nicht für DoT freigeschaltet.

Wann wird der Router hierfür freigeschaltet ?

Mit freundlichen Grüßen

Tom


@MaximilianH  schrieb:
Wieso funktioniert DoT nicht mehr über das Mobilfunknetz?

DoT ist derzeit nur für Festnetz vorgesehen. Usecase ist Fritzbox und zukünftig auch Speedport oder andere Festnetzrouter.


@Ralf Brinkmann  schrieb:
Gibt es denn nicht eine neutrale Testseite, auf der man sehen kann, ob die Verbindung über DoT da ist und vor allem, ob die Verschlüsselungen klappen?

Testseite nicht. Man kann mittels DNS Query sehen welcher "Endpunkt" gerade verwendet wird. Also DoH, DoT oder Do53.

 

Screenshot_2021-07-26_12-53-11.png

Das funktioniert aber nur bei den Festnetz Resolvern.


@Nils_K  schrieb:
Dieser Test ist nun beendet.

Heißt das, dass es in den Regel-Betrieb geht, oder dass es nicht mehr angeboten wird?

Hallo!

 

Da mein iPhone meldete, daß „mein Netzwerk verschlüsseltes DNS blockiert“ bin ich auf diesen Beitrag gestoßen.

Ich habe die Einträge in meiner FritzBox gemacht und in den Ereignissen konnte ich nachvollziehen, daß eine Verbindung zu den verschlüsselten DNS-Servern aufgebaut wurde … immer kurz nach der Zwangstrennung nachts.

Allerdings hat dies nur drei Tage lang funktioniert, jetzt fehlt der entsprechende Eintrag in den Ereignissen, offenbar werden wieder die „normalen“ DNS-Server verbunden und somit meldet mein iPhone wieder selbiges.

 

Kann mir jemand sagen, warum das nicht mehr klappt?

 

Danke und Grüße,

invidianer


@invidianer  schrieb:
immer kurz nach der Zwangstrennung nachts.

Eine solche gibt es telekomseitig nur noch alle 180 Tage.

 

@muc80337_2 
Danke, gut, zu wissen!

Allerdings trennt die FritzBox automatisch (Eintrag in den Ereignissen: „Internetverbindung wird getrennt, um der Zwangstrennung zuvorzukommen.“)

Muß mal schauen, wie man das ausschaltet.

 

Aber weiterhin bleibt ja die Frage, wieso das mit den verschlüsselten DNS-Servern nicht mehr funktioniert?

 

Edit:

Heute hat es plötzlich wieder funktioniert!

Die Einträge in den Ereignissen der FritzBox anbei.

Komisch aber, daß das iPhone immer noch meldet, „dieses Netzwerk blockiert verschlüsselten DNS-Verkehr“. Kann das jemand erklären?

 

17.11.21
03:29:28
Es wurde erfolgreich eine Verbindung - samt vollständiger Validierung - zu den verschlüsselten DNS-Servern aufgebaut.
17.11.21
03:29:28
Es besteht keine Verbindung mehr zu den verschlüsselten DNS-Servern.
17.11.21
03:29:27
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 79.226.81.109, DNS-Server: 217.237.148.22 und 217.237.150.51, Gateway: 62.155.246.115, Breitband-PoP: OBUJ01
17.11.21
03:29:21
Internetverbindung wurde getrennt.
17.11.21
03:29:21
Die Internetverbindung wird kurz unterbrochen, um der Zwangstrennung durch den Anbieter zuvorzukommen.

https://service.avm.de/help/de/FRITZ-Box-7590/017p1/internetzugang_verbindungseinstellungen

Wenn der Zeitpunkt der Zwangstrennung durch den Internetanbieter ungünstig ist, dann können Sie die Zwangstrennung auf einen günstigeren Zeitraum verschieben. Aktivieren Sie dazu die Einstellung "Zwangstrennung durch den Anbieter verschieben in die Zeit zwischen". Wählen Sie dann einen Zeitraum aus der Auswahlliste aus.

@Has 
Ja, danke, das habe ich gerade eben auch gefunden und die Trennung durch die FritzBox deaktiviert. Wenn durch die Telekom nach 180 Tagen eine Zwangstrennung erfolgt, wird sich die FritzBox hoffentlich automatisch wieder einwählen.


@invidianer  schrieb:
Wenn durch die Telekom nach 180 Tagen eine Zwangstrennung erfolgt, wird sich die FritzBox hoffentlich automatisch wieder einwählen.

Das sollte die Fritz!Box auch machen, wenn aus anderen Gründen die Verbindung mal unterbrochen wird. 

@Has 

Danke!

Vermutlich ist es trotzdem ab und zu ratsam, die Internetverbindung zu trennen, nicht nur alle 180 Tage, weil sich da zwischendrin sicher mal „was verschluckt“. Aber mal abwarten …

Bei jedem Installieren einer je nach Fritz!Box mehr oder weniger oft veröffentlichten neuen Firmware gibt es einen Neustart. 

Ah, ja, logisch! Da hast Du natürlich Recht!