Gelöst

Telekom hilft Labor: Testet mit uns „DNS over TLS“!

vor 4 Jahren

Update 23.08.2021: Der Test ist beendet.

********************************

 

Liebe Community,

 

mit DNS over TLS (DoT) steht euch ein neues Protokoll zur Verfügung, das DNS-Verkehre zwischen Client (Router) und Server verschlüsselt. Es kann verhindern, dass der DNS-Verkehr eines Nutzers von Dritten mitgelesen wird. Damit auch Telekom Kunden diesen Service direkt von ihrem Telekommunikationsanbieter beziehen können, testen wir das Protokoll gerade in der Praxis. Aus diesem Grund laden wir euch herzlich dazu ein, DNS over TLS zu konfigurieren und auszuprobieren!

 

Für diejenigen unter euch, die direkt loslegen möchten, hier die notwendigen Informationen zur Nutzung des DoT Servers der Telekom: 😉

 

Server Name:    dns.telekom.de

Port Nummer:   853 (Standardport für DoT)

 

Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt. Unser Experte @WinfriedA begleitet den Test und unterstützt euch, wenn ihr Fragen habt. 😊

 

Viel Spaß beim Ausprobieren!

 

Hinweis: 

Dieser Beitrag wurde geschlossen.

39753

87

  • vor 4 Jahren

    Konfiguration von DoT im Router am Beispiel der AVM FRITZ!Box

     

    Um DNS over TLS (DoT) unter einer FRITZ!Box einzurichten, muss zunächst die aktuellste Version der FRITZ! OS Software installiert werden. Dies kann über den regulären Update-Mechanismus des Routers angestoßen werden. Derzeit benötigt die Box ein Release ab Version 7.20.

     

    Schritte zum Einschalten von DoT:

    Nachdem ihr euch an der Benutzeroberfläche der FRITZ!Box angemeldet habt, müsst ihr die "erweiterte Ansicht" einschalten. Dies geht, indem ihr auf die drei Punkte in der rechten oberen Ecke klickt. Danach erscheint ein entsprechendes Menü:

     

    Bild nicht vorhanden

     

    Hier könnt ihr die "erweiterte Ansicht" einschalten:

     

    Bild nicht vorhanden

     

    Im nächsten Schritt lässt sich DoT unter dem Menüpunkt "Internet/Zugangsdaten" im Reiter "DNS-Server" wie folgt konfigurieren:

     

    • Einschalten von DoT, indem ihr unter "Verschlüsselte Namensauflösung" einen Haken setzt.
    • Sowohl die "Zertifikatsprüfung" als auch der "Fallback" müssen aktiviert sein.-> Der Fallback stellt sicher, dass bei einem Ausfall der DoT-Server automatisch auf unverschlüsseltes DNS zurückgestellt wird.
    • Tragt als nächstes unter "Auflösungsnamen der DNS-Server" den Wert "dns.telekom.de"  ein.-> die FRITZ!Box verwendet damit automatisch einen geeigneten DoT-Server aus dem Netz der Deutschen Telekom.
    • Klickt zum Abschließen der Konfiguration auf "Übernehmen".

    Bild nicht vorhanden

     

     

    Damit ist die Konfiguration von DoT auf der FRITZ!Box abgeschlossen. Von nun an werden alle DNS Anfragen von Clients im Heimnetz über die FRITZ!Box mittels DoT verschlüsselt, sofern auf dem Client die FRITZ!Box als DNS-Server hinterlegt ist.

     

    Wer möchte kann die - hoffentlich erfolgreiche - Konfiguration auch überprüfen. Wechselt dazu ins Log des Routers und schaut unter "System/Ereignisse" nach, ob die DoT Verbindung erfolgreich aufgebaut wurde. Das kann einen Moment dauern, also nicht direkt ungeduldig werden. 😉

     

    Bild nicht vorhanden

     

    Bei Problemen, Anregungen usw. bitte einen Beitrag erstellen – wir sind über jedes Feedback dankbar und werden den Artikel regelmäßig aktualisieren. In den nächsten Tagen/Wochen werden wir hier weitere Anleitungen ergänzen.

     

    40

    Antwort

    von

    vor 4 Jahren

    Ah, ja, logisch! Da hast Du natürlich Recht!

    0

    Antwort

    von

    vor 4 Jahren

    Das verschlüsselte DNS Protokoll im IPhone hat nichts mit dem DoH/DoT bei der Telekom zu tun. Es müsste also völlig unabhängig voneinander funktionieren. Das iPhone verwendet bei verschlüsseltem DNS allerdings DNS Resolver von Drittanbietern.

     

    invidianer

    Netzwerk verschlüsseltes DNS blockiert“

    Netzwerk verschlüsseltes DNS blockiert“
    invidianer
    Netzwerk verschlüsseltes DNS blockiert“

    Dafür habe ich keine Erklärung. Im Grunde ist eine verschlüsselte DNS (DoH) Verbindung genau das Gleiche wie die Verbindung zu jedem anderen HTTPS Webserver über Port 443. Was da genau angeblich "blockiert" wird, weiß ich nicht.

     

    Wie auch immer. Egal ob die FB auf DoT eingestellt ist oder nicht, verschlüsseltes DNS in IOS muss unabhängig davon funktionieren.

    Antwort

    von

    vor 4 Jahren

    @WinfriedA

    Dankeschön!

    0

  • vor 4 Jahren

    @Nils_K Top! Danke, ist eingerichtet auf der Fritz!Box und läuft. Kann der Cloudflare Server raus….

    8

    Antwort

    von

    vor 4 Jahren

    @WinfriedA 

     

    der Query führt bei mir zu einem Serverfail - ich habe aber auch keine Fritzbox. auf meinem Router "pfSense" wird aber der DOT Server als forwarder angezeigt.

     

    endpoint-type ist doch der Hostname/Domain ? ist die Vollständig?  

    0

    Antwort

    von

    vor 4 Jahren

    Stefan

    der Query führt bei mir zu einem Serverfail

    der Query führt bei mir zu einem Serverfail
    Stefan
    der Query führt bei mir zu einem Serverfail

    Das ist seltsam. Versuche es mal mit einem Punkt "endpoint-type." am Ende. 

     

    Kann ich einen Screenshot sehen?

    0

    Antwort

    von

    vor 4 Jahren

    @WinfriedA 

    Problem hat sich erledigt, funktioniert.

    es gab bei mir im Resolver einen Domainoverwrite der wohl falsch war, daher hat er den Query an einen falschen DNS weitergeleitet.

     

    0

  • vor 4 Jahren

    Nils_K

    Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt.

    Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt.
    Nils_K
    Im nachfolgenden Beitrag gibt es detailierte Hinweise, wie ihr DoT unter einer FRITZ!Box einrichten könnt.

    Hallo @Nils_K 

    geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?

    9

    Antwort

    von

    vor 4 Jahren

    Hallo zusammen,

     

    rainer1809

    Hallo @Nils_K geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?

    Hallo @Nils_K 

    geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?

    rainer1809

    Hallo @Nils_K 

    geht das auch auf einen Speedport (Smart 4) und wenn ja, wie sind da die Einstellungen zur Einrichtung?


    DNS over TLS ist für den Smart 4 in Planung. 😉

     

    VG,

    Nils

    Antwort

    von

    vor 4 Jahren

    Guten Morgen Nils,

    Ich habe seit September auch ein Speedport Smart 4 Typ A( vorher Fritzbox 7590), möchte deshalb auch DoT auf dem Speedport einrichten.

    Wie ist der Status hier ?

    Mit frundlichen Grüßen

    Tom

    0

    Antwort

    von

    vor 4 Jahren

    Guten Morgen Nils,

    Stand 03.09.21 ist der Speedport Smart 4 Typ A immer noch nicht für DoT freigeschaltet.

    Wann wird der Router hierfür freigeschaltet ?

    Mit freundlichen Grüßen

    Tom

    0

  • vor 4 Jahren

    Mit opnsense (unbound) und AdGuard Home getestet.

    Funktioniert bisher tadellos.

     

    VG p.zwackelmann

    0

  • vor 4 Jahren

    Benutze DoT schon seit dem ihr DoH im Labor hattet. Lief bisher tadellos, außer am Anfang. Da war es aber auch noch nicht offiziell. Von der Geschwindigkeit bemerke ich keinen Unterschied.

     

    Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.

    8

    Antwort

    von

    vor 4 Jahren

    UlrichZ

    Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten

    Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten

    UlrichZ

    Leider konnte ich es bislang auf keinem meiner vielen Speedports einrichten


    Der Smart4 kann es, siehe eng Menu, es ist lediglich „noch“ nicht freigeschaltet. Geht dann bestimmt, wenn der Test zu Ende ist

    Bild nicht vorhanden

    Antwort

    von

    vor 4 Jahren

    viper.de

    Geht dann bestimmt, wenn der Test zu Ende ist

    Geht dann bestimmt, wenn der Test zu Ende ist
    viper.de
    Geht dann bestimmt, wenn der Test zu Ende ist

    Wahrscheinlich erst, wenn der Smart 5 im Testlabor erscheint,

    Bild nicht vorhanden

     

    Duck und wech ...

     

    Gruß Ulrich

    Antwort

    von

    vor 3 Jahren

    WinfriedA

    MaximilianH Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung. Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung. MaximilianH Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung. Gute Frage. Aktuell benutzen wir noch nicht alle Resolver-Sites für DoT. Ich denke, spätestens wenn dieser Test abgeschlossen ist, werden wir auch dazu übergehen mehrere Adressen zu liefern. Ich weiß zwar nicht ob ein DoT Client damit einen Fail-over machen kann im Fehler-Fall, aber schaden kann es nicht. Und es scheint Best Practice zu sein.

    MaximilianH

    Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.

    Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.
    MaximilianH
    Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.

    Gute Frage. Aktuell benutzen wir noch nicht alle Resolver-Sites für DoT. Ich denke, spätestens wenn dieser Test abgeschlossen ist, werden wir auch dazu übergehen mehrere Adressen zu liefern. Ich weiß zwar nicht ob ein DoT Client damit einen Fail-over machen kann im Fehler-Fall, aber schaden kann es nicht. Und es scheint Best Practice zu sein.

    WinfriedA
    MaximilianH

    Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.

    Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.
    MaximilianH
    Was mich nur verwundert, wieso wird nur jeweils eine IPv4 und IPv6 Adresse für DoT aufgelöst? Bei anderen DoT Anbietern sind immer primäre und sekundäre in Benutzung.

    Gute Frage. Aktuell benutzen wir noch nicht alle Resolver-Sites für DoT. Ich denke, spätestens wenn dieser Test abgeschlossen ist, werden wir auch dazu übergehen mehrere Adressen zu liefern. Ich weiß zwar nicht ob ein DoT Client damit einen Fail-over machen kann im Fehler-Fall, aber schaden kann es nicht. Und es scheint Best Practice zu sein.


    Wurde implementiert.

  • vor 4 Jahren

    Hallo,

     

    in der heutigen ct (Ausgabe 16) war ja ein Artikel darüber. Es wurde auch das Thema DNS64 angeschnitten. Wie ist das nun

    aber realisiert. Wovon hängt es ab, ob nach DNS (AAAA fehlt, wenn es nicht da ist) oder DNS64(fehlendes AAAA wird ersetzt)  aufgelöst wird?

     

    Mein erster Test brachte auch an einem Rechner mit Einwahl über den v6-only-apn nur normale DNS-Auflösungen.

     

    Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com

     

    Thomas Schäfer

     

    0

    1

    Antwort

    von

    vor 4 Jahren

    tschaefer1

    Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com

    Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com
    tschaefer1
    Gibt es so etwas wie dns64.dns.google oder dns64.cloudflare-dns.com

    DNS64 macht nur der T-Mobile Resolver wenn v6-only verwendet wird. Dort gibt es jedoch noch keine DoH/DoT Endpunkte.

    0

  • vor 4 Jahren

    Leider registriert sich die Netphone Cloud (Swyx  App) bei Nutzung des DNS nicht - wird der DNS gewechselt geht es. Die eigenen Dienste sind euch keinen Eintrag wert? 😛

     

    iOS 14 - Swyx 3.1.2

    0

    0

  • vor 4 Jahren

    Ist DNS over TLS (dns.telekom.de) mit anderen iPv4 und IPv6 DNS Servern kompatibel?

    0

    1

    Antwort

    von

    vor 4 Jahren

    Xman64

    Ist DNS over TLS (dns.telekom.de) mit anderen iPv4 und IPv6 DNS Servern kompatibel?

    Ist DNS over TLS (dns.telekom.de) mit anderen iPv4 und IPv6 DNS Servern kompatibel?
    Xman64
    Ist DNS over TLS (dns.telekom.de) mit anderen iPv4 und IPv6 DNS Servern kompatibel?

    Ja, selbstverständlich. Es ist nur ein anderes Frontend, mit dem die Fritzbox via TLS kommuniziert. Am Backend der DNS Resolver hat sich nichts geändert.

     

    Der Datenaustausch zwischen DNS Resolvern und autoritativen DNS Servern ist bis jetzt weiterhin unverschlüsselt. Dafür gibt es noch keinen etablierten Standard.

     

    Weil ein Resolver mit unzähligen autoritativen DNS Servern kommuniziert und kein Bezug zum ursprünglichen Client existiert, ist das aus Sicht des Datenschutzes nicht so kritisch.

     

    Ein wichtiger Aspekt dabei ist auch das DNS Resolver Feature "DNS Query Name Minimization", das die Telekom Resolvern anwenden.

    0

  • Akzeptierte Lösung

    akzeptiert von

    vor 4 Jahren

    Hallo zusammen,

     

    vielen Dank für all eure Rückmeldungen!

    Dank eures Feedbacks konnten die Kollegen rund um @WinfriedA einiges mitnehmen. 😊

     

    Dieser Test ist nun beendet.

     

    Wir würden uns freuen, euch in Zukunft erneut im Telekom hilft Labor zu lesen.

     

    Bis dahin alles Gute!

     

    Viele Grüße,

    Euer Experten-Team und die Labor-Crew

    0

  • vor 4 Jahren

    @WinfriedAWieso funktioniert DoT nicht mehr über das Mobilfunknetz?

    0

    1

    Antwort

    von

    vor 4 Jahren

    MaximilianH

    Wieso funktioniert DoT nicht mehr über das Mobilfunknetz?

    Wieso funktioniert DoT nicht mehr über das Mobilfunknetz?
    MaximilianH
    Wieso funktioniert DoT nicht mehr über das Mobilfunknetz?

    DoT ist derzeit nur für Festnetz vorgesehen. Usecase ist Fritzbox und zukünftig auch Speedport oder andere Festnetzrouter.

Das könnte Ihnen auch weiterhelfen

Gelöst

Community Manager

in  

22512

50

4

Gelöst

Community Managerin

in  

2796

14

2

Gelöst

Community Manager

in  

4945

38

14

Gelöst

Community Manager

in  

3070

20

10

Beliebte Tags letzte 7 Tage

Keine Tags gefunden!

Cookies and similar technologies

We use cookies and similar technologies (including ) on our website to save, read out and process information on your device. In doing so, we enhance your experience, analyze site traffic, and show you content and ads that interest you. User profiles are created across websites and devices for this purpose. Our partners use these technologies as well.


By selecting “Only Required”, you only accept cookies that make our website function properly. “Accept All” means that you allow access to information on your device and the use of all cookies for analytics and marketing purposes by Telekom Deutschland GmbH and our partners. Your data might then be transferred to countries outside the European Union where we cannot ensure the same level of data protection as in the EU (see Art. 49 (1) a GDPR). Under “Settings”, you can specify everything in detail and change your consent at any time.


Find more information in the Privacy Policy and Partner List.


Use of Utiq technology powered by your telecom operator


We, Telekom Deutschland GmbH, use the Utiq technology for digital marketing or analytics (as described on this consent notice) based on your browsing activity across our websites (only if you are using a supported internet connection provided by a participating telecom operator and consent on each website).

The Utiq technology is privacy centric to give you choice and control.

It uses an identifier created by your telecom operator based on your IP address and a telecom reference such as your telecom account (e.g., mobile number).

The identifier is assigned to the internet connection, so anyone connecting their device and consenting to the Utiq technology will receive the same identifier. Typically:

  • on a broadband connection (e.g., Wi-Fi), the marketing or analytics will be performed based on the browsing activities of consenting household members’.
  • on mobile data, the marketing will be more personalised, as it will be based on the browsing of the individual mobile user only.

By consenting, you confirm that you have permission from the telecom account holder to enable the Utiq technology on this internet connection.

You can withdraw this consent anytime via "Manage Utiq" at the bottom of this site or in Utiq’s privacy portal (“consenthub”). For more, see Utiq's privacy statement.