Telekom hilft Labor: Testet mit uns „DNS over TLS“!

Gelöst

Update 23.08.2021: Der Test ist beendet.

********************************

 

Liebe Community,

 

mit DNS over TLS (DoT) steht euch ein neues Protokoll zur Verfügung, das DNS-Verkehre zwischen Client (Router) und Server verschlüsselt. Es kann verhindern, dass der DNS-Verkehr eines Nutzers von Dritten mitgelesen wird. Damit auch Telekom Kunden diesen Service direkt von ihrem Telekommunikationsanbieter beziehen können, testen wir das Protokoll gerade in der Praxis. Aus diesem Grund laden wir euch herzlich dazu ein, DNS over TLS zu konfigurieren und auszuprobieren!

 

Für diejenigen unter euch, die direkt loslegen möchten, hier die notwendigen Informationen zur Nutzung des DoT Servers der Telekom: :zwinkerndes_Gesicht:

 

Server Name:    dns.telekom.de

Port Nummer:   853 (Standardport für DoT)

 

Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt. Unser Experte @WinfriedA begleitet den Test und unterstützt euch, wenn ihr Fragen habt. :lächelndes_Gesicht_mit_lächelnden_Augen:

 

Viel Spaß beim Ausprobieren!

 

1 AKZEPTIERTE LÖSUNG
Lösung

Hallo zusammen,

 

vielen Dank für all eure Rückmeldungen!

Dank eures Feedbacks konnten die Kollegen rund um @WinfriedA einiges mitnehmen. :lächelndes_Gesicht_mit_lächelnden_Augen:

 

Dieser Test ist nun beendet.

 

Wir würden uns freuen, euch in Zukunft erneut im Telekom hilft Labor zu lesen.

 

Bis dahin alles Gute!

 

Viele Grüße,

Euer Experten-Team und die Labor-Crew

Lösung in ursprünglichem Beitrag anzeigen  

Das verschlüsselte DNS Protokoll im IPhone hat nichts mit dem DoH/DoT bei der Telekom zu tun. Es müsste also völlig unabhängig voneinander funktionieren. Das iPhone verwendet bei verschlüsseltem DNS allerdings DNS Resolver von Drittanbietern.

 


@invidianer  schrieb:
Netzwerk verschlüsseltes DNS blockiert“

Dafür habe ich keine Erklärung. Im Grunde ist eine verschlüsselte DNS (DoH) Verbindung genau das Gleiche wie die Verbindung zu jedem anderen HTTPS Webserver über Port 443. Was da genau angeblich "blockiert" wird, weiß ich nicht.

 

Wie auch immer. Egal ob die FB auf DoT eingestellt ist oder nicht, verschlüsseltes DNS in IOS muss unabhängig davon funktionieren.

@WinfriedA

Dankeschön!

Gelöschter Nutzer

Guten Tag weiß zufällig jemand die IP Adresse von Telekom DNS und die Ping Zeit also cloudflare soll ja gut sein weiß nicht ob die Telekom besser ist :grinsendes_Gesicht_mit_Schweißperlen::zwinkerndes_Gesicht:


@Gelöschter Nutzer  schrieb:
weiß zufällig jemand die IP Adresse von Telekom DNS

Da musst du in deinem Router (Speedport, Fritzbox, ...) schauen, weil es davon abhängt, wo du wohnst.

Gelöschter Nutzer

Kannst du mir die IP Adresse geben von der DNS für ein Tp-Link Router @WinfriedA 

@Gelöschter Nutzer 

 

Hi, wenn ich es richtig verstanden habe, dann verstecken sich hinter dns.telekom.de eine ganze Reihe an DNS Server.

Bei mir wird die 217.0.43.114 ermittelt... versuchs mal damit.

 

Der Leak Test gibt folgende Server zurück:

pzwackelmann_0-1641908453207.png

Bei mir ist der Ping 2-3 ms besser als bei 1.1.1.1... DNS-Server im "eigenen" Netz der Telekom sollten eigentlich immer kürzere Antwortzeiten haben als externe... aber lasse mich da gerne eines Besseren belehren.

 

VG

 

Gelöschter Nutzer

Heyy danke dir :zwinkerndes_Gesicht: @p.zwackelmann 

faktisch ist die ganze Diskussion um Antwortzeiten von DNS Server überflüssig.

Die Einträge bleiben ja im Resolver  Cash und mal ehrlich, selbst wenn es 100x 2 ms länger dauert - say what

 

Das hat auf keine Anwendung irgend einen nennenswerten Einfluss. Reine Fiktion das ganze.

@WinfriedA Hi, FritzBox, Stubby oder unbound sind ja schön und gut, aber wie steht es eigentlich um die Speedports? Bekommen Smart 4 und/oder Pro auch noch DoT/DoH?


@p.zwackelmann  schrieb:
Bekommen Smart 4 und/oder Pro auch noch DoT/DoH?

Keine Ahnung! Auf den Engineering Pages (Hidden Menu) ist es vorgesehen:

Mehr Infos
Zwischenablage01.jpg

 

Konfigurieren lässt es sich aber (noch?) nicht.

 

Gruß Ulrich

Hab gehört, es wird daran gearbeitet. Wann die Features beim Speedport kommen, weiß ich leider auch nicht.


@WinfriedA  schrieb:

@MaximilianH  schrieb:
Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.

Gute Frage. Aktuell benutzen wir noch nicht alle Resolver-Sites für DoT. Ich denke, spätestens wenn dieser Test abgeschlossen ist, werden wir auch dazu übergehen mehrere Adressen zu liefern. Ich weiß zwar nicht ob ein DoT Client damit einen Fail-over machen kann im Fehler-Fall, aber schaden kann es nicht. Und es scheint Best Practice zu sein.


Wurde implementiert.