DNS over TLS mit Digitale Gesellschaft Schweiz als Provider

by Volker Weber

0ad57b14a18d7449951ddd1ebc93783d

Stephan fragte mich, welches VPN er verwenden sollte. Ich bin dafür nicht so leicht zu haben, weil man dann sämtlichen Verkehr über diesen Tunnel abwickelt. Ich bin allerdings sehr dafür zu haben, meinen DNS-Traffic zu tunneln. Die Fritzbox macht das einfach, siehe oben. Man trägt einfach vier Adressen ein:

185.95.218.42
185.95.218.43
2a05:fc84::42
2a05:fc84::43

Dann schaltet man DNS über TLS (DoT) an und im letzten Feld noch dns.digitale-gesellschaft.ch - das war's. Ab dann werden alle DNS-Anfragen verschlüsselt und an einen vertrauenswürdigen Server geschickt. Damit wird Überwachung nicht unmöglich, aber schwieriger.

More >

PS: Ich selbst verwende übrigens Quad9 mit

9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::9
dns.quad9.net

Warum? Das ist in meinen Benchmarks der schnellste Server und er blacklisted böse Buben.

Comments

Ähnliches Angebot gibt's bei Digitalcourage: https://digitalcourage.de/support/zensurfreier-dns-server

Christoph Flick, 2021-01-04

Der ist viel zu lahm. Und instabil obendrein.

Volker Weber, 2021-01-05

Läuft. Das war leicht, vielen Dank.

Nils Michael Becker, 2021-01-05

We use 1.1.1.1 (one.one.one.one) from CloudFlare.

Same logic, great performance. As customers of CloudFlare access we also gain control and visibility over requests / company blacklists

Daniele Vistalli, 2021-01-05

Fernab der großen amerikanischen Anbieter gibt es Deutschland auch Angebote wie das von FFMUC: https://ffmuc.net/wiki/doku.php?id=knb:dohdot

Stefan Funke, 2021-01-05

Nicht dass erste Mal, dass ich mich über die von Vodafone kaputt-konfigurierte Fritzbox AKA Homebox ärgere. Der verwendete DNS geht mich gar nichts an.

Markus Mews, 2021-01-05

Mache ich auch so. Ich verwende NextDNS und kann es sehr empfehlen, da man wirklich sehr viel konfigurieren kann.

René Fischer, 2021-01-05

Stefan, das ist immer so putzig, wenn jemand "für euch mal einen Server aufgesetzt" hat. Warum sollte ich sowas benutzen, statt einer verteilten, schnellen Infrastruktur?

Markus, ab in die Tonne damit.

Volker Weber, 2021-01-05

Stellt sich nur noch die Frage wie man überprüfen kann ob DNS over TLS nach der Einrichtung auch wirklich tut...

Yves Menge, 2021-01-05

@Yves: https://www.cloudflare.com/ssl/encrypted-sni/

Martin Kautz, 2021-01-05

Bei mir erscheint leider der Bereich "DNS over TLS (DoT)" überhaupt nicht. Ist das auch ein Fall von "von Vodafone kaputt-konfigurierte Fritzbox"?

Rafael Mayoral, 2021-01-05

@Rafael Das ist bei meiner Fritz.Box 7530 auch so. Die DNS Einstellungen lassen sich anpassen, DNS over TLS gibt es nicht in den Menüs. Nur eine Idee: es gibt recht viele Problemberichte zu DNS over TLS im Netz, vielleicht ist das in einer aktuellen Firmware gerade nicht drin?

Martin Imbeck, 2021-01-05

Hallo,
@Vowe:Danke für die Erinnung dies mal zu nutzen..

ich hatte erst o.g. DNS/IP-Einträge von Volker übernommen, aber meine 7490 mit 7.21 von O2 hatte damit bereits 2mal Probleme seit gestern Abend...hab jetzt mal die Cloudfare-Zugangsdaten benutzt..mal schauen, ob das stabiler ist.

Woran könnte ich erkennen/entscheiden, welchem DNSoT-Anbieter ich mehr bzw. weniger "vertrauen" sollte!?

Cheers aus B

Christian Jaschul, 2021-01-05

Wenn es kein DoT gibt, erst mal die FritzOS-Version checken. Das gibt es ab 7.20. Und Vodafone ist ungefähr so fix mit Updates wie Android.

Volker Weber, 2021-01-05

Firefox und Chrome unterstützen übrigens auch DNS over HTTPS (DoH). Bei den neueren Chrome Versionen ist das sogar standardmäßig aktiv.
Vorteil soll sein, dass kein separater Port benötigt wird (DoT verwendet Port 853), und die DNS-Anfragen gehen im HTTPS Traffic unter.
Und Firefox kombiniert DoH sogar mit einem Trusted Recursive Resolver (TRR) von Cloudflare zum Schutz vor Deanonymisierung der Benutzeranfragen.

Manfred Wiktorin, 2021-01-05

Brauche ich nicht in meinem eigenen Netz.

Volker Weber, 2021-01-05

Stimmt. Nach dem Update ist alles okay :-)

Martin Imbeck, 2021-01-05

Hm. Warum nimmst du für Quad9 nicht

9.9.9.9, 149.112.112.112

2620:fe::fe, 2620:fe::9 ?

EDNS ist für CDN und IoT, dachte ich?

Thomas Cloer, 2021-01-05

Danke, Thomas. Ist korrigiert.

Volker Weber, 2021-01-05

Bei den Fritzboxen kann es unter v7.21 dennoch zu Problemen bei der Verwendung von DoT kommen - gibt dazu einige Bereichte im Netz und ich selbst gehöre auch dazu. Namensauflösung der Fritzbox fällt plötzlich aus (unabhängig ob des Providers); entweder durch einen reboot behebbar oder DoT deaktivieren. Die aktuelle Laborversion (v7.24) beinhaltet lt. changelog Verbesserungen in dem Bereich; läuft zumindest bei mir auch stabiler als 7.21.

Stefan Brandl, 2021-01-05

Volker: Das ist verteilte Infrastruktur, von Leuten betrieben, die Ahnung von dem haben was sie da tun mit Netz, was ebenfalls ziemlich gut aufgebaut ist. Ich weiß, das vermutet man bei FF nicht. Warum man das benutzen möchte muss jeder selbst beantworten. (ich bin da nicht involviert)

Stefan Funke, 2021-01-05

Danke, Stefan Funke. Für mich ist das nichts, aber vielleicht mag sonst jemand. Stefan Brandl, uff, wieder ein Labor? Ich wollte da eigentlich mal die Finger von lassen.

Volker Weber, 2021-01-05

@vowe: ja, hatte das thema secure dns bei der fritzbox eigentlich abgehakt. aber die formulierungen "Verbesserung - Optimierung des Retry-Verhaltens von DNS over TLS (DoT)" bzw. "Verbesserung - Robustheit von DNS over TLS (DoT) [...]" im changelog machten mich neugierig :)

Stefan Brandl, 2021-01-05

Beachtet das die DigiGes DNS Server nur DOH / DOT machen und kein "herkömmliches" DNS. Daher ist die Konfiguration oben nicht ganz korrekt.

Für DOH/DOT ist alles i.O. für den normalen DNS müsste Mensch einen anderen DNS-Server nutzen z.B. die Quad9 die Vowe vorschlägt.

Gruss Bastian - unter anderem bei der Digitalen Gesellschaft dabei 👋

Bastian Widmer, 2021-01-05

Danke @vowe. Bin inzwischen auch auf Quad9 umgestiegen. Wirklich flott.

Stephan Bohr, 2021-01-06

Danke für den Tipp. Direkt Quad9 eingetragen!

Mathias Ziolo, 2021-01-06

Ich habe das jetzt in der Fritz!Box wieder deaktiviert und warte auf die 7.24. Da waren zu häufig Ausfälle in der Namensauflösung (mit 7.21).

Oliver Regelmann, 2021-01-20

Post a comment

Store next two fields in a cookie for you?




Use your full name and a working email address. Unless you want your comment to be removed. No kidding.

Recent comments

Andy Mell on Hush :: Was für eine Erleichterung at 23:15
Kai Stukenbrock on So klingst du gut in Clubhouse at 23:03
Oliver Regelmann on Hush :: Was für eine Erleichterung at 22:30
Volker Weber on So klingst du gut in Clubhouse at 21:14
Friedrich Holstein on So klingst du gut in Clubhouse at 18:15
Ralf Pichler on Hush :: Was für eine Erleichterung at 15:25
Tobias Hauser on So klingst du gut in Clubhouse at 15:13
Volker Weber on So klingst du gut in Clubhouse at 13:28
Kai Stukenbrock on So klingst du gut in Clubhouse at 13:18
Raphael Rehberg on Hush :: Was für eine Erleichterung at 13:09
Volker Weber on Hush :: Was für eine Erleichterung at 12:49
Frank Quednau on Hush :: Was für eine Erleichterung at 12:32
Uwe Papenfuss on Hush :: Was für eine Erleichterung at 12:21
Marko Schulz on Hush :: Was für eine Erleichterung at 11:53
René Fischer on Hush :: Was für eine Erleichterung at 11:42
Volker Weber on Hush :: Was für eine Erleichterung at 11:30
Marc Henkel on Hush :: Was für eine Erleichterung at 11:27
Daniel Meyer on Hush :: Was für eine Erleichterung at 11:24
Benedikt Niemann on Hush :: Was für eine Erleichterung at 11:14
Volker Weber on Hush :: Was für eine Erleichterung at 11:03
René Fischer on Hush :: Was für eine Erleichterung at 11:01
Frank Müller on Hush :: Was für eine Erleichterung at 10:59
Thorsten Puzich on Hush :: Was für eine Erleichterung at 10:57
Frank Stoermer on Hush :: Was für eine Erleichterung at 10:52
Axel Borschbach on Hush :: Was für eine Erleichterung at 10:52

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 16:39

visitors.gif

Paypal vowe