DoT / DoH -> Erst Fritz!Box dann ADGuard

[Übertopf]

Hallo zusammen,

ich beschäftige mich grade mit DNS over TLS / HTTPS und würde es gerne nutzen.

Leider funktioniert es bei mir nicht.

Im ersten Schritt wäre es natürlich toll, wenn es einfach über den integrierten DNS-Server der Fritzbox funktionieren würde.

Zweiter Schritt wäre einen AdGuard mit ins Boot zu nehmen... Aber somit sind wir noch nicht.

Die Kofnigartion an der Fritz!Box für DoT / DoH ist nicht schwer.
Aktuelle Software nutzen,
grundsätzlich DoT / DoT aktivieren,
richtige Upstream DNS Server welche DoT / DoH unterstützen eintragen..
so das war es ja fast schon.

Leider bekomme ich bei diversen Testwebseiten wie
z.B.
https://1.1.1.1/help
oder
https://www.cloudflare.com/de-de/ssl/encrypted-sni/#results
die Rückmeldung das ich kein DoT / DoH nutze.

Egal mit welchem Gerät... Android, Apple, Windows..Firefox, Chrome, Edge...Natürlich immer und überall die aktuellste OS Version / Browser Version.

Setzte ich einen DoT / DoH fähigen DNS Server direkt bei den Browsern ein, so fällt das Ergebnis gleich aus.

Mein Internetanbieter ist die Telekom.. muss ich da etwas freischalten lassen z.B. den Port??


Den DNSSEC Tests bestehe z.B. immer und überall.


Ergebnis bei 1.1.1.1

Connected to 1.1.1.1	No
Using DNS over HTTPS (DoH)	No
Using DNS over TLS (DoT)	No
Using DNS over WARP	No
AS Name	Hetzner Online GmbH
AS Number	24940
Cloudflare Data Center	FRA

Ergebnis bei Cloudflare

Secure DNS
We weren’t able to detect whether you were using a DNS resolver over secure transport.
Contact your DNS provider or try using 1.1.1.1 for fast & secure DNS.

DNSSEC
Attackers cannot trick you into visiting a fake website by manipulating DNS responses for domains that are outside their control.

TLS 1.3
Nobody snooping on the wire can see the certificate of the website you made a TLS connection to.

Secure SNI
Anybody listening on the wire can see the exact website you made a TLS connection to.


Kann mir jemand bei diesem Thema helfen?
Hat jemand eine Idee woran es liegen könnte... Ich bin mir ziemlich sicher, dass ich kein Konfigurationsfehler habe.

 

[H3llF15H]

Ich bin derzeit am gleichen Thema dran. So wie ich das sehen, als Laie, ist das Problem, dass AdGuard Home im eigenen Netzwerk liegt. Warum sollte die Fritz!Box ins Internet telefonieren um festzustellen, dass der DNS-Server im eigenen Heimnetzt liegt?

Port 853 ist offen?

Die einzige Verbindung, die ich DoT-verschluüsselt bekomme, ist, wenn ich an meinem Android-Handy den privaten DNS-Server auf meinen AdGuard mittels Subdomain anspreche. Im Anfrageprotokoll sieht man dann, dass mein Handy die DoT-Verschlüsselung verwendet.

Hier noch ein interessanter Artikel dazu:

https://kwellkorn.de/2021/07/08/adguard-internetfilter-als-alternative-zum-pihole/

 

[Übertopf]

Ich bin derzeit am gleichen Thema dran. So wie ich das sehen, als Laie, ist das Problem, dass AdGuard Home im eigenen Netzwerk liegt. Warum sollte die Fritz!Box ins Internet telefonieren um festzustellen, dass der DNS-Server im eigenen Heimnetzt liegt?

Ich habe den AdGuard erstmal aus dem Spiel gelassen, weil es nur der zweite Schritt wäre.
Der ist aus der kompletten Nummer erstmal rausgelöst.

Eine DoT / DoH Verbindung kommt schon nicht mit der Fritz!Box zustande..

Die einzige Verbindung, die ich DoT-verschluüsselt bekomme, ist, wenn ich an meinem Android-Handy den privaten DNS-Server auf meinen AdGuard mittels Subdomain anspreche. Im Anfrageprotokoll sieht man dann, dass mein Handy die DoT-Verschlüsselung verwendet.

Wie wird das denn bei dir im Anfrageprotokoll angezeigt?
Ich bin etwas von den AdGuard angaben verwirrt.. "HTTPS" macht "Einfaches DNS" aber warum sind die Testwebseiten dann nicht positiv?

 

[H3llF15H]

Eine DoT / DoH Verbindung kommt schon nicht mit der Fritz!Box zustande..

Wenn Du unter "DNS-Server" die Standardserver beibehältst und unter DoT einen entsprechenden Server eintrgäst, z.B. dns.quad9.net, sollte nach ca. einer Minute unter "Online-Monitor" der Quad9-Server zu finden sein (vier Stück genaugenommen) und einem Hinweis in Klammern, dass die Verbindung DoT-verschlüsselt ist.

https://www.quad9.net/de/service/service-addresses-and-features

 

[h00bi]

über den integrierten DNS-Server der Fritzbox funktionieren würde.

Die Kofnigartion an der Fritz!Box für DoT / DoH ist nicht schwer.
Aktuelle Software nutzen,
grundsätzlich DoT / DoT aktivieren,
richtige Upstream DNS Server welche DoT / DoH unterstützen eintragen..
so das war es ja fast schon.

Ich bin mir ziemlich sicher, dass ich kein Konfigurationsfehler habe.

Mach doch mal Screenshots deiner Fritzbox Einstellungen. Sonst raten wir hier nur rum.
Bitte einmal von Internet -> Zugangsdaten -> DNS-Server und einmal von Internet -> Online Monitor

 

[TZUI1111]

Da du noch kein Bild hast, hier mal ein Tipp: Lass den Fallback auf die unverschlüsselte

Verbindung nicht zu. Dann müsste es gehen.

In der Übersicht steht dann die Verbindung drin.

 

[Übertopf]

Mach doch mal Screenshots deiner Fritzbox Einstellungen. Sonst raten wir hier nur rum.
Bitte einmal von Internet -> Zugangsdaten -> DNS-Server und einmal von Internet -> Online Monitor

Ergänzung (1. Februar 2023)

Da du noch kein Bild hast, hier mal ein Tipp: Lass den Fallback suf die unverschlüsselte

Fahre Garde einen Test ohne Fallback

Ergänzung (1. Februar 2023)

Fahre Garde einen Test ohne Fallback

Leider das sogar ein schlechteres Ergebnis.

1.1.1.1/help sagt weiter folgendes:

Connected to 1.1.1.1	No
Using DNS over HTTPS (DoH)	No
Using DNS over TLS (DoT)	No
Using DNS over WARP	No
AS Name	Freie Netze Muenchen e.V.
AS Number	212567
Cloudflare Data Center	FRA

Bei Cloudflare nutze ich jetzt sogar kein TLS 1.3 mehr:

 

[TZUI1111]

Mhm komisch, sowohl für Ipv6 als auch 4 sind die DoT Server vorhanden. Aber warum hast du vom ISP 2 DNS für 4 und 6 bekommen?

Aber laut der Auswertung liefert anscheinend doc.ffmuc.net die DNS infos unverschlüsselt, schmeiß den mal raus.

Du musst halt bedenken, dass die DNS-Server an sich auch einen Fallback haben können der unverschlüsselt Läuft. Diese sind halt bei Cloudflare und Google geblockt, also nur Verschlüsselt oder garnicht.

Zeigt sich ja auch bei TLS1.3 das muss eig drin sein, ist dann nicht deine sondern eine Server fehlkonfiguration.

 

[H3llF15H]

dns.quad9.net,

Nutze den mal bitte...

 

[norKoeri]

Eine DoT […] Verbindung kommt schon nicht mit der Fritz!Box zustande.

Bei mir geht DoT. Habe es so gemacht … Übrigens: DoH wäre mir in FRITZ!OS neu.

 

[H3llF15H]

Eine DoT / DoH Verbindung kommt schon nicht mit der Fritz!Box zustande..

Habe an meiner 6660 testweise alles auf quad9 ausgelegt und wollte dein Ergebnis gegenprüfen.

Mein Ergebnis ist selbiges wie im ersten Post von dir geschildert. Warum ist weshalb: keine Ahnung.

Edit:

Achtung: Diese Testseite funktioniert nur korrekt, wenn auch der Cloudflare DNS-Server 1dot1dot1dot1.cloudflare-dns.com verwendet wird.

Quelle: https://bitreporter.de/fritzbox/ver...,um die benötigten Einstellungen einzublenden.

Ergebnis auf 1.1.1.1/Help: DoT = Yes

 

[90210]

das kann sehr einfach sein*

hab es jetzt auch mal eingestellt in der Fritzbox und der test war immer

Using DNS over TLS (DoT)

No

hab es aber lösen können und zwar lag es bei mir am PC, an Firefox den da hatte ich DNS Schutz auf Maximum
ergo DNS über HTTPS.

hab es zum testen auf die Schwächste Stufe gestellt und sie da es hat funktioniert !
https://1.1.1.1/help

 

[norKoeri]

lösen

Zu DoT hatten wir auch hier was … Bitte überlege, ob Du nach jenem erfolgreichen Test im Web-Browser nicht wieder auf DoH umschaltest, besonders wenn es ein Notebook ist. Zwar minimiert DoT Angriffe über DNS … Aber Dein Internet-Betreiber vor Ort muss gar nicht über DNS umlenken, er kann einfach die IP-Adresse selbst umlenken. Daher schützt Du Dich über DoT „lediglich“ gegen Angriffe Dritter. Deswegen DoH bzw. DoQ …

 

[90210]

klar hab wieder auch DOH umgeschaltet, in der fritzbox ist aber noch eingestelt !

 

[90210]

hast jetzt mal geschaut ob das so richtig eingestellt ist Bild ?

oder ist das jetzt in Sache Sicherheit negativ ?

 

[norKoeri]

Also ich sehe keine Fehler. Wobei ich Cloudflare-DNS for Families nutze; besonders Malware-Webseiten braucht echt kein Mensch.