DNS-over-TLS bei AVM FRITZ!Box 7590

[Cin-Hoo]

Hallo!

An unserem VDSL-Anschluss betreibe ich eine AVM FRITZ!Box 7590 mit aktuellem FRITZ!OS 7.20. Nun würde ich gerne die neue DNS-over-TLS-Funktion nutzen. Da die DNS-Server meines Providers htp aber wahrscheinlich keine Verschlüsselung unterstützen, habe ich mir überlegt, mal die Server von Digitalcourage und der Digitalen Gesellschaft Schweiz auszuprobieren. Allerdings bin ich mir nicht sicher, was passiert, wenn zufälligerweise beide nicht erreichbar sind oder es andere Probleme, z. B. mit der Verschlüsselung, gibt. Sollte dann nur temporär das Surfen nicht mehr möglich sein, wäre das verschmerzbar, aber was ist in dem Fall mit der VoIP-Funktion der FRITZ!Box? Hätte sie für diesen Fall die Resource Records der sipgate-Domain im Cache, um die Funktionalität aufrechtzuerhalten oder würde für diesen Zeitraum gar nichts mehr funktionieren? Da wir beide nur ein uraltes Handy meiner Tante als Notreserve besitzen, wäre das übel.

Wie genau konfiguriere ich DNS-over-TLS in der FRITZ!Box eigentlich? Kann ich, nachdem ich oben die vier IP-Adressen eingetragen habe, im unteren Bereich einfach untereinander die beiden URLs der DoT-fähigen DNS-Server von Digitalcourage und der Digitalen Gesellschaft Schweiz eintragen oder werden noch weitere Informationen benötigt (in der Anleitung von Digitalcourage stehen ja noch einige Angaben)?

Gruß von Cin-Hoo

 

[dynAdZ]

Um die prinzipielle Funktion von DoT und deiner Konfiguration zu prüfen, könntest du es erst einmal mit zwei bekannteren Anbietern versuchen, die DoT supporten. Z.B. Cloudflare oder AdGuard. Bei der Konfiguration spielt die Eingabe der IP-Adressen im oberen Bereich erstmal keine Rolle, diese werden bei konfiguriertem DoT nur als Fallback benutzt, was man aber auch deaktivieren kann (Haken raus bei Fallback auf unverschlüsselte Verbindung erlauben). Bei dem DoT-Eingabefeld dann z.B. mal folgenden Server einrichten:

dns.adguard.com

Die Funktion kann hier geprüft werden: https://adguard.com/de/test.html

Oder:

1dot1dot1dot1.cloudflare-dns.com

Die Funktion kann anschließend hier geprüft werden: 1.1.1.1/help

Sofern die Testseiten der Anbieter hier grünes Licht geben, kannst du ja mal deinen speziellen DoT-Server angeben. Die URL scheint hier dann dns2.digitalcourage.de zu sein, die anderen Angaben werden nicht benötigt. Da ich nicht weiß, ob sie eine Testseite anbieten, wird der einzig valide Test dann sein, überhaupt noch DNS-Abfragen machen zu können. Wenn der Fallback-DNS deaktiviert ist und dann keine Name Resolution mehr möglich ist, funktioniert es nicht.

Ganz davon abgesehen würde ich mir überlegen, einfach generell den DNS von Cloudflare zu verwenden, da dieser sehr sehr schnell (Platz 1 laut DNSPerf) und unzensiert und logging-frei ist. AdGuard ist sicher langsamer, blockt aber Werbung und Tracker, z.B. auch in Smartphone-Apps. Auch keine ganz schlechte Sache meiner Meinung nach. Und wenn du Lust auf noch mehr Möglichkeiten und Spielereien hast, dann schaue dir unbedingt einmal NextDNS an.

 

[DeusoftheWired]

Cloudflare ist leider problematisch.

https://blog.fefe.de/?ts=a0d42b38
https://blog.fefe.de/?ts=a34b5e05
https://blog.fefe.de/?ts=a5965118
https://blog.fefe.de/?ts=a598205d

 

[dynAdZ]

Cloudflare ist leider problematisch.

https://blog.fefe.de/?ts=a0d42b38
https://blog.fefe.de/?ts=a34b5e05
https://blog.fefe.de/?ts=a5965118
https://blog.fefe.de/?ts=a598205d

Muss man ja nicht machen, gibt auch noch andere. Google, Quad9, OpenDNS, NextDNS und viele bekannte Anbieter unterstützen DoT, mir ging es in den oberen Beispielen lediglich um die Möglichkeit, die Funktion auch testen zu können. Jedoch... diese Quelle... mit Polizeistaat und so. Ich glaube ich vertraue lieber Cloudflare als einem random Verschwörungsblog

 

[Cin-Hoo]

@dynAdZ
An der generellen Funktionalität von DoT bei meiner FRITZ!Box hatte ich eigentlich keinen Zweifel. Das FRITZ!OS 7.20 ist ja final und die DNS-Server von Digitalcourage höchstwahrscheinlich vielfach erprobt. Mir ging es eigentlich wirklich nur um den speziellen Fall eines Ausfalls beider Server oder eines anders gelagerten Fehlers. Da ich nicht ewig am PC hocke und wir auch nicht stetig raus telefonieren, würde es wahrscheinlich erst etwas später auffallen, wenn der VoIP-Dienst der FRITZ!Box nicht verfügbar wäre und länger nicht erreichbar zu sein, ist ja schließlich doof. Deshalb meine Frage nach dem potentiellen Cache, der DNS-Probleme bei der VoIP-Verbindung auffangen könnte.

Wenn die „normalen“ IP-Adressen aber nur als Fallback dienen sollen, wie löst die FRITZ!Box dann die URLs zu den DoT-Servern auf?

Bist du dir eigentlich sicher, dass das Cloudflare DNS wirklich logging-frei ist? In einigen Artikeln, die ich bislang las, wurde dessen Datenschutzfreundlichkeit stark angezweifelt.

EDIT: Ach so, sollten nur Beispiele zum Testen sein.

Gruß von Cin-Hoo

 

[dynAdZ]

Nun in erster Linie habe ich jetzt einfach mal dem vertraut, was Cloudflare selber sagt:

"We will never log your IP address (the way other companies identify you). And we’re not just saying that. We’ve retained a big 4 accounting firm to audit our assertions about our systems annually to ensure that we're doing what we say.

Frankly, we don’t want to know what you do on the Internet—it’s none of our business—and we’ve taken the technical steps to ensure we can’t."

Siehe auch hier: https://blog.cloudflare.com/announcing-1111/

Die haben auch noch umfangreichere Blogs und technische Dokumentationen veröffentlicht, also ich hatte da bisher keine Zweifel und auch noch keine mitbekommen. Aber ja wie gesagt, es gibt ja da draußen noch viele andere.

Zum Thema Fritzbox: Ich denke für die initiale Auflösung der DoT-Adressen werden die normalen DNS-Einträge verwendet, diese kann man ja auch nicht leer lassen und sie werden zwingend benötigt. Jedoch, wenn man das Fallback deaktiviert und der DoT-Server ist nicht mehr verfügbar, funktioniert die Name Resolution wie gesagt gar nicht mehr, musste ich bereits am eigenen Leib spüren als der DNS von AdGuard jüngst für eine halbe Stunde down war. Man kann natürlich auch hergehen und mehrere DoT-Server untereinander einpflegen um so auche eine Ausfallsicherheit zu erzeugen.

 

[Cin-Hoo]

Also einen DNS-Cache scheinen alle FRITZ!Boxen zu besitzen (habe jetzt mal kurz mit Startpage.com gesucht; siehe >>HIER<<). Nur, ob dieser im Falle eines DNS-Server-Ausfalls auch wirklich als Absicherung für die VoIP-Funktionalität zu Rate gezogen wird, konnte ich noch nicht in Erfahrung bringen.

Gruß von Cin-Hoo

 

[Raijin]

Wenn die „normalen“ IP-Adressen aber nur als Fallback dienen sollen, wie löst die FRITZ!Box dann die URLs zu den DoT-Servern auf?

In der Regel werden Domains, die man in Felder, die für IP-Adressen vorgesehen sind, eingibt, einmalig aufgelöst und anschließend als IP gespeichert. Ob das bei der Fritzbox an dieser Stelle auch so ist, weiß ich aber nicht.

Bezüglich DNS-Cache: Ein DNS-Cache speichert den DNS-Eintrag normalerweise nur kurzzeitig, abhängig von der TTL (=Lebensdauer), die dem jeweiligen DNS-Eintrag zugrundeliegt. Auch ist der DNS-Cache flüchtig, ein Neustart, Stromausfall oder sonstwas wird ihn also so der so löschen.


Übrigens: Wenn du dir solche Sorgen darüber machst ob dein DoT-Server down geht, dann kannst du dir dieselben Sorgen über den DNS deines Providers oder jedes anderen DNS-Servers auf dieser Erde machen. Ja, es gibt DNS-Ausfälle, aber sie sind prinzipiell sehr selten, weil DNS ein zentrales Element des Internets darstellen. Dadurch, dass man normalerweise ja immerhin noch einen sekundären DNS eintragen kann, sind Komplettausfälle eher vernachlässigbar. Tendenziell sollte man allerdings nicht dns1 und dns2 desselben Anbieters nutzen, weil zB ein Ausfall dessen Internetanbindung bzw. des Rechenzentrums beide dns abschießen würde.

 

[Cin-Hoo]

@Raijin
Das stimmt schon, nur arbeitet ein Provider kommerziell und wird somit rund um die Uhr Administratoren für eine schnelle Fehlerbehebung zur Hand haben. Die von mir aus Datenschutzsicht präferierten DNS-Server werden hingegen von gemeinnützigen Organisationen betrieben. Deshalb interessiert es mich, ob im Fall der Fälle wenigstens die VoIP-Funktionalität der FRITZ!Box gegen DNS-Ausfälle abgesichert ist. Andererseits hast du natürlich Recht, bei der Angabe mehrerer DoT-Server sollte das Risiko eines gleichzeitigen Komplettausfalls eigentlich sehr gering sein.

Gruß von Cin-Hoo

 

[Ned Stark]

Ich habe es mit der 7.20er Fritz.OS nicht geschafft DNS over TLS verwenden zu können.

Meine Einträge:
dns2.digitalcourage.de
dns.quad9.net

Sobald ich den Haken bei “Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“ entfernen ist meine Namensauflösung kaputt. Ich tippe auf die Fritz.Box.

 

[deo]

An der Funktion muss noch gefeilt werden.
siehe https://www.ip-phone-forum.de/threads/fritz-os-7-20-dns-over-tls-führte-zu-problemen.307760/

 

[Cin-Hoo]

Vielen Dank an alle, die mir geantwortet haben, insbesondere an @Ned Stark und @deo für die Warnung! Dann lasse ich die DNS-Konfiguration meiner FRITZ!Box lieber erst mal weiterhin von meinem ISP festlegen. Diese Diskussion kann also vorerst ruhen, bis AVM die verbliebenen DoT-Bugs behoben hat.

Gruß von Cin-Hoo

 

[DeusoftheWired]

@Cin-Hoo Wenn du noch einen Raspi rumfliegen hast oder ein Docker-fähiges Gerät sich irgendwo langweilt, kannst du DoH und DoT mit unbound unter Pi-hole ausprobieren: https://www.kuketz-blog.de/dns-over-tls-dot-in-android-routern-und-pi-hole/

 

[Cin-Hoo]

@DeusoftheWired
Nein, ich besitze keine Pis. Vor einiger Zeit wollte ich mir mal einen Raspberry oder Banana Pi (weiß nicht, welcher momentan leistungsstärker ist) zum Aufbau eines Pi-holes zulegen, aber aus Sorge, mir damit eine unnötige Problemquelle ins Netzwerk zu pflanzen, habe ich die Projektidee dann doch wieder verworfen.

Gruß von Cin-Hoo