DNS over TLS mit Digitale Gesellschaft Schweiz als Provider
by Volker Weber
Stephan fragte mich, welches VPN er verwenden sollte. Ich bin dafür nicht so leicht zu haben, weil man dann sämtlichen Verkehr über diesen Tunnel abwickelt. Ich bin allerdings sehr dafür zu haben, meinen DNS-Traffic zu tunneln. Die Fritzbox macht das einfach, siehe oben. Man trägt einfach vier Adressen ein:
185.95.218.42
185.95.218.43
2a05:fc84::42
2a05:fc84::43
Dann schaltet man DNS über TLS (DoT) an und im letzten Feld noch dns.digitale-gesellschaft.ch - das war's. Ab dann werden alle DNS-Anfragen verschlüsselt und an einen vertrauenswürdigen Server geschickt. Damit wird Überwachung nicht unmöglich, aber schwieriger.
PS: Ich selbst verwende übrigens Quad9 mit
9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::9
dns.quad9.net
Warum? Das ist in meinen Benchmarks der schnellste Server und er blacklisted böse Buben.
Comments
Ähnliches Angebot gibt's bei Digitalcourage: https://digitalcourage.de/support/zensurfreier-dns-server
Der ist viel zu lahm. Und instabil obendrein.
Läuft. Das war leicht, vielen Dank.
We use 1.1.1.1 (one.one.one.one) from CloudFlare.
Same logic, great performance. As customers of CloudFlare access we also gain control and visibility over requests / company blacklists
Fernab der großen amerikanischen Anbieter gibt es Deutschland auch Angebote wie das von FFMUC: https://ffmuc.net/wiki/doku.php?id=knb:dohdot
Nicht dass erste Mal, dass ich mich über die von Vodafone kaputt-konfigurierte Fritzbox AKA Homebox ärgere. Der verwendete DNS geht mich gar nichts an.
Mache ich auch so. Ich verwende NextDNS und kann es sehr empfehlen, da man wirklich sehr viel konfigurieren kann.
Stefan, das ist immer so putzig, wenn jemand "für euch mal einen Server aufgesetzt" hat. Warum sollte ich sowas benutzen, statt einer verteilten, schnellen Infrastruktur?
Markus, ab in die Tonne damit.
Stellt sich nur noch die Frage wie man überprüfen kann ob DNS over TLS nach der Einrichtung auch wirklich tut...
@Yves: https://www.cloudflare.com/ssl/encrypted-sni/
Bei mir erscheint leider der Bereich "DNS over TLS (DoT)" überhaupt nicht. Ist das auch ein Fall von "von Vodafone kaputt-konfigurierte Fritzbox"?
@Rafael Das ist bei meiner Fritz.Box 7530 auch so. Die DNS Einstellungen lassen sich anpassen, DNS over TLS gibt es nicht in den Menüs. Nur eine Idee: es gibt recht viele Problemberichte zu DNS over TLS im Netz, vielleicht ist das in einer aktuellen Firmware gerade nicht drin?
Hallo,
@Vowe:Danke für die Erinnung dies mal zu nutzen..
ich hatte erst o.g. DNS/IP-Einträge von Volker übernommen, aber meine 7490 mit 7.21 von O2 hatte damit bereits 2mal Probleme seit gestern Abend...hab jetzt mal die Cloudfare-Zugangsdaten benutzt..mal schauen, ob das stabiler ist.
Woran könnte ich erkennen/entscheiden, welchem DNSoT-Anbieter ich mehr bzw. weniger "vertrauen" sollte!?
Cheers aus B
Wenn es kein DoT gibt, erst mal die FritzOS-Version checken. Das gibt es ab 7.20. Und Vodafone ist ungefähr so fix mit Updates wie Android.
Firefox und Chrome unterstützen übrigens auch DNS over HTTPS (DoH). Bei den neueren Chrome Versionen ist das sogar standardmäßig aktiv.
Vorteil soll sein, dass kein separater Port benötigt wird (DoT verwendet Port 853), und die DNS-Anfragen gehen im HTTPS Traffic unter.
Und Firefox kombiniert DoH sogar mit einem Trusted Recursive Resolver (TRR) von Cloudflare zum Schutz vor Deanonymisierung der Benutzeranfragen.
Brauche ich nicht in meinem eigenen Netz.
Stimmt. Nach dem Update ist alles okay :-)
Hm. Warum nimmst du für Quad9 nicht
9.9.9.9, 149.112.112.112
2620:fe::fe, 2620:fe::9 ?
EDNS ist für CDN und IoT, dachte ich?
Danke, Thomas. Ist korrigiert.
Bei den Fritzboxen kann es unter v7.21 dennoch zu Problemen bei der Verwendung von DoT kommen - gibt dazu einige Bereichte im Netz und ich selbst gehöre auch dazu. Namensauflösung der Fritzbox fällt plötzlich aus (unabhängig ob des Providers); entweder durch einen reboot behebbar oder DoT deaktivieren. Die aktuelle Laborversion (v7.24) beinhaltet lt. changelog Verbesserungen in dem Bereich; läuft zumindest bei mir auch stabiler als 7.21.
Volker: Das ist verteilte Infrastruktur, von Leuten betrieben, die Ahnung von dem haben was sie da tun mit Netz, was ebenfalls ziemlich gut aufgebaut ist. Ich weiß, das vermutet man bei FF nicht. Warum man das benutzen möchte muss jeder selbst beantworten. (ich bin da nicht involviert)
Danke, Stefan Funke. Für mich ist das nichts, aber vielleicht mag sonst jemand. Stefan Brandl, uff, wieder ein Labor? Ich wollte da eigentlich mal die Finger von lassen.
@vowe: ja, hatte das thema secure dns bei der fritzbox eigentlich abgehakt. aber die formulierungen "Verbesserung - Optimierung des Retry-Verhaltens von DNS over TLS (DoT)" bzw. "Verbesserung - Robustheit von DNS over TLS (DoT) [...]" im changelog machten mich neugierig :)
Beachtet das die DigiGes DNS Server nur DOH / DOT machen und kein "herkömmliches" DNS. Daher ist die Konfiguration oben nicht ganz korrekt.
Für DOH/DOT ist alles i.O. für den normalen DNS müsste Mensch einen anderen DNS-Server nutzen z.B. die Quad9 die Vowe vorschlägt.
Gruss Bastian - unter anderem bei der Digitalen Gesellschaft dabei 👋
Danke @vowe. Bin inzwischen auch auf Quad9 umgestiegen. Wirklich flott.
Danke für den Tipp. Direkt Quad9 eingetragen!
Ich habe das jetzt in der Fritz!Box wieder deaktiviert und warte auf die 7.24. Da waren zu häufig Ausfälle in der Namensauflösung (mit 7.21).