Telekom hilft Labor: Testet mit uns „DNS over TLS“!

Gelöst

Update 23.08.2021: Der Test ist beendet.

********************************

 

Liebe Community,

 

mit DNS over TLS (DoT) steht euch ein neues Protokoll zur Verfügung, das DNS-Verkehre zwischen Client (Router) und Server verschlüsselt. Es kann verhindern, dass der DNS-Verkehr eines Nutzers von Dritten mitgelesen wird. Damit auch Telekom Kunden diesen Service direkt von ihrem Telekommunikationsanbieter beziehen können, testen wir das Protokoll gerade in der Praxis. Aus diesem Grund laden wir euch herzlich dazu ein, DNS over TLS zu konfigurieren und auszuprobieren!

 

Für diejenigen unter euch, die direkt loslegen möchten, hier die notwendigen Informationen zur Nutzung des DoT Servers der Telekom: :zwinkerndes_Gesicht:

 

Server Name:    dns.telekom.de

Port Nummer:   853 (Standardport für DoT)

 

Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt. Unser Experte @WinfriedA begleitet den Test und unterstützt euch, wenn ihr Fragen habt. :lächelndes_Gesicht_mit_lächelnden_Augen:

 

Viel Spaß beim Ausprobieren!

 

1 AKZEPTIERTE LÖSUNG
Lösung

Hallo zusammen,

 

vielen Dank für all eure Rückmeldungen!

Dank eures Feedbacks konnten die Kollegen rund um @WinfriedA einiges mitnehmen. :lächelndes_Gesicht_mit_lächelnden_Augen:

 

Dieser Test ist nun beendet.

 

Wir würden uns freuen, euch in Zukunft erneut im Telekom hilft Labor zu lesen.

 

Bis dahin alles Gute!

 

Viele Grüße,

Euer Experten-Team und die Labor-Crew

Lösung in ursprünglichem Beitrag anzeigen  


@muc80337_2  schrieb:
Euer Screenshot ist dahingehend zu verstehen, diese beiden zu löschen und stattdessen den Telekom DNS-Server einzutragen?

Genau so Fröhlich


@Stefan  schrieb:

Allerdings ist es relativ witzlos DOH zu aktivieren, wenn man DOT testen will, weil dann die Requests vom Browser am DOH vorbeilaufen. Alle nicht Browser bezogenen Requests würden aber trotzdem über DOT laufen.


Das ist mir bewusst. Allerdings hätte ich es für sinnvoll gehalten, wenn das im zugemachten DOH Thread geschrieben worden wäre (und ggf. hier im Eröffnungsbeitrag) weil nicht davon auszugehen ist, dass das der Mehrheit bewusst ist.


@muc80337_2  schrieb:

[...]

 


Das ist mir bewusst. Allerdings hätte ich es für sinnvoll gehalten, wenn das im zugemachten DOH Thread geschrieben worden wäre (und ggf. hier im Eröffnungsbeitrag) weil nicht davon auszugehen ist, dass das der Mehrheit bewusst ist.


Ja, wenn Du es nicht thematisiert hättest, wäre es mir nicht - zeitnah - bewusst geworden. Danke dafür!

Ja, man sollte immer bedenken, wo der Endpunkt ist. Bei DoH ist es der Browser und bei DoT der Router. Es kann durchaus sinnvoll sein, im Browser DoH immer aktiviert zu lassen, wenn es sich um ein mobiles Gerät handelt. So sind die DNS Daten auch dann verschlüsselt, wenn sich das Gerät in einem fremden LAN/WLAN befindet.

Zu DOH ist mein Gefühl gespalten - habe mich aber auch nicht komplett damit auseinander gesetzt.

Gerade bei Geräten die auch in anderen Netzen verwendet werden die interne Adressen auflösen müssen, sehe ich da Probleme,

die ein "Normalo" dann nicht gelöst bekommt. Im Zeitalter von Mobiler Nutzung/Homeoffice/etc. bestimmt keine Seltenheit

 

Gerade DOH Server von z.B. Google zu nutzen mag zwar "Secure" sein aber bestimmt auch aus tracking Sicht "idiotisch"


@Stefan  schrieb:
Gerade DOH Server von z.B. Google zu nutzen mag zwar "Secure" sein aber bestimmt auch aus tracking Sicht "idiotisch"

Genau das ist der Grund für unsere Initiative. Wir möchten unseren Kunden eine Alternative zu den sogenannten "over-the-top" (OTT) DNS Anbietern geben. Unsere Kunden sind somit nicht mehr auf Google, Cloudflare, ...  angewiesen, wenn sie ihr DNS Protokoll verschlüsseln möchten. Sie können damit bei dem Provider bleiben, dem sie eh schon vertrauen. Und wir wirken damit der Zentralisierung des Internets ein bisschen entgegen.

@WinfriedA 

Funktionieren eure DOT/DOH Server denn wenn sich das Gerät ausserhalb des Telekom Neztes befindet?


@Stefan  schrieb:
Funktionieren eure DOT/DOH Server denn wenn sich das Gerät ausserhalb des Telekom Neztes befindet?

Ja, die Adressen von "dns.telekom.de" sind öffentlich erreichbar.


@UlrichZ  schrieb:

Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten


Der Smart4 kann es, siehe eng Menu, es ist lediglich „noch“ nicht freigeschaltet. Geht dann bestimmt, wenn der Test zu Ende ist Fröhlich

Hallo zusammen,

 


@rainer1809  schrieb:

Hallo @Nils_K 

geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?


DNS over TLS ist für den Smart 4 in Planung. :zwinkerndes_Gesicht:

 

VG,

Nils

Leider registriert sich die Netphone Cloud (Swyx  App) bei Nutzung des DNS nicht - wird der DNS gewechselt geht es. Die eigenen Dienste sind euch keinen Eintrag wert? :Gesicht_mit_Zunge:

 

iOS 14 - Swyx 3.1.2

Standardmäßig sind keine DoT-Servet bei der Fritzbox hinterlegt. Anscheinend hast du (oder wer anderes) die in deinem Router eingetragen.

Es kommt keine FRITZ!Box zum Einsatz. Das ist eine Einstellung in iOS selbst. Dabei gehen die Anfragen direkt zum eingetragenen DNS, egal was der DHCP Server an den Client gibt 


@viper.de  schrieb:
Geht dann bestimmt, wenn der Test zu Ende ist

Wahrscheinlich erst, wenn der Smart 5 im Testlabor erscheint, Zwinkernd

 

Duck und wech ...

 

Gruß Ulrich


@Herr-Direktor  schrieb:
Das ist eine Einstellung in iOS selbst. Dabei gehen die Anfragen direkt zum eingetragenen DNS

Und iOS weiß dann auch, dass es ein DoT Server ist?


@Stefan  schrieb:
wäre es schick, wenn man eine DNS Query  machen könnte, die nur über DOT zu einem Ergebnis führt. Dann wüsste man immer ob die Config klappt oder nicht

Ist implementiert

 

Screenshot_2021-07-26_12-53-11.png

Eingerichtet und funktioniert bisher gut. :daumen_hoch:

@WinfriedA 

 

der Query führt bei mir zu einem Serverfail - ich habe aber auch keine Fritzbox. auf meinem Router "pfSense" wird aber der DOT Server als forwarder angezeigt.

 

endpoint-type ist doch der Hostname/Domain ? ist die Vollständig?  


@Stefan  schrieb:
der Query führt bei mir zu einem Serverfail

Das ist seltsam. Versuche es mal mit einem Punkt "endpoint-type." am Ende. 

 

Kann ich einen Screenshot sehen?

@WinfriedA 

Problem hat sich erledigt, funktioniert.

es gab bei mir im Resolver einen Domainoverwrite der wohl falsch war, daher hat er den Query an einen falschen DNS weitergeleitet.

 

Ist das ganze dann immer noch HomeOffice-tauglich?


@Xman64  schrieb:
Ist das ganze dann immer noch HomeOffice-tauglich?

Selbstverständlich. Aus Sicht des Desktops/Notebooks/Smartphones ändert sich sowieso nichts. Die DNS Daten werden zwischen Fritzbox und DNS Server verschlüsselt.

Ist DNS over TLS (dns.telekom.de) mit anderen iPv4 und IPv6 DNS Servern kompatibel?


@Xman64  schrieb:
Ist DNS over TLS (dns.telekom.de) mit anderen iPv4 und IPv6 DNS Servern kompatibel?

Ja, selbstverständlich. Es ist nur ein anderes Frontend, mit dem die Fritzbox via TLS kommuniziert. Am Backend der DNS Resolver hat sich nichts geändert.

 

Der Datenaustausch zwischen DNS Resolvern und autoritativen DNS Servern ist bis jetzt weiterhin unverschlüsselt. Dafür gibt es noch keinen etablierten Standard.

 

Weil ein Resolver mit unzähligen autoritativen DNS Servern kommuniziert und kein Bezug zum ursprünglichen Client existiert, ist das aus Sicht des Datenschutzes nicht so kritisch.

 

Ein wichtiger Aspekt dabei ist auch das DNS Resolver Feature "DNS Query Name Minimization", das die Telekom Resolvern anwenden.

Hallo.
Ich habe "dns.telekom.de" an die erste Stelle in der Fritzbox 7590 (Fritz!OS 07.27) eingetragen.
Bei einer externen Prüfung (www.cloudflare.com/ssl/encrypted-sni) bekomme ich aber kein Haken bei Secure DNS.
Nutze ich dagegen (z.B.) dns2.digitalcourage.de an erster Stelle ist alles ok.
Im Log der Fritz!Box "System/Ereignisse" bekommen ich in beiden Fälle keine Meldung ob die DoT Verbindung erfolgreich aufgebaut wurde .