DNS over TLS DoT in der Fritz!Box einrichten

Stellt euch vor ihr wollt verschlüsselt Flüsterpost spielen 🙂 Person A, B, C, D spielen mit. Person A schickt über die ganze Reihe eine Frage unverschlüsselt an Person D und Person D antwortet in Geheimsprache, die nur A versteht.

C und B können die Antwort dann nicht verstehen. Die Frage allerdings kann jeder mitbekommen. So funktioniert momentan unser Internet, bei Nutzern, die nichts anderes einrichten.

Dieses Bild stellt eine didaktische Reduktion dar. Der eigentliche DNS Vorgang fehlt, aber für das Verständnis reicht es aus. Wer sich ein wenig in DNS Server einlesen möchte, kann das hier tun: https://de.wikipedia.org/wiki/Domain_Name_System

Es dürfte jedem einleuchten, dass ihr über diese Kette keine Homepages aufrufen werdet, die zwar verschlüsselt zurückschreiben aber die Überbringer der Anfrage wissen, was ihr gerade wollt.

Natürlich gibt es schon Lösungen. Das sind DNS over HTTPS (DoH) und DNS over TLS (DoT). Diese Protokolle sorgen dafür, dass eure Anfrage ebenfalls verschlüsselt wird.

Im Folgenden zeige ich euch, wie ihr DoT in einer Fritz!Box 7590 (dann ist die Anfrage bis zu eurem Router verschlüsselt) mit einem Server von quad9 einrichtet.

  1. Meldet euch unter fritz.box an und klickt auf Internet -> Zugangsdaten -> DNS-Server
  2. Aktiviert das Kästchen Verschlüsselte Namensauflösung im Internet (DNS over TLS)
  3. Trag DNS Server eurer Wahl ein. Eine kleine Liste gibt es hier.
  4. Nun müsst ihr eine Nummer in euer Telefon eintippen, welche die Fritz!Box euch anzeigt.

Wie ihr seht, habe ich keine alternativen DNS Server eingetragen. Das ist mehr ein Tribut an meinen kleinen lokalen Internetanbieter. Wenn ihr große Konzerne als Provider habt (Telekom, Vodafone usw.), empfehle ich hier auch alternative Server (bspw. quad9) einzutragen. Einen kleinen Artikel, warum es sich lohnen kann, alternative DNS Server auch dann einzutragen, wenn man DoT oder DoH nicht nutzt gibts hier.

Ich habe mich für quad9, digitalcourage und digitale-gesellschaft.ch entschieden.

Außerdem habe ich angeklickt, dass das Zertifikat vernünftig geprüft werden muss.

Zu guter Letzt habe ich das Häkchen bei Fallback auf unverschlüsselte Namensauflösung im Internet zulassen. Das ist mehr der Tatsache geschuldet, dass ich selbst das ganze noch ausprobiere. Im Grunde bedeutet das: Wenn alle drei genannten Server ausfallen, dann mach es unverschlüsselt. Ansonsten wäre bei Ausfall aller drei Server euer Internet tot.

Natürlich ist es noch sinnvoller das Endgerät mit DoH oder DoT einzurichten, aber dies hier ist ein guter erster Schritt.

Für alle, die sich noch nie damit beschäftigt haben: Probiert es einfach mal aus.
Für alle, die sich richtig gut auskennen: Gibt es Optimierungsvorschläge für meine Lösung?

7 Gedanken zu „DNS over TLS DoT in der Fritz!Box einrichten

  1. Rayman

    Wie vertrauenswürdig ist denn quad9?

    Hier ist noch ein übersichtliche Liste empfehlenswerter DNS-Server:
    https://www.kuketz-blog.de/empfehlungsecke/#dns

    Ich hatte mal eine Weile DoH auf meinem Raspberry Pi vor Pi-Hole geschaltet. Seit einer Neuinstallation habe ich das aber nicht mehr eingerichtet. Hat insgesamt ganz gut funktioniert. Mein Eindruck war aber, dass die Antwortzeiten schon deutlich größer waren. Perfekt wäre es natürlich, wenn Pi-Hole selbst DoH und DoT sprechen könnte.

    Noch eine Frage: wenn Du gerade in der Testphase bist, wieso setzt Du dann überhaupt das Häkchen bei „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“. Wie willst Du mitbekommen, dass die Anfrage an die DoT-Server gerade nicht geklappt hat und Du die Antwort von Deinem Provider bekommst? Schaust Du in die Logs?

    Antworten
    1. Timotheus

      Hallo Rayman,
      die Frage, warum das Häkchen….. eigentlich nur, da ich für einen Dreigenerationenhaushalt das Internet bereitstelle und verhindern will, dass ich auf Arbeit bin und hier alles still steht.
      Auf der anderen Seite sind drei DNS Server mit DoT eingetragen. Wenn wirklich alle drei ausfallen oder die Fritz!box mal spinnt, dann ist es eben so.
      Danke für die Anregung, ich versuchs mal ohne Netz und doppelten Boden.
      Timotheus

      Antworten
  2. André

    Deine Erklärung am Anfang stellt sehr gut das Kernproblem dar.

    Da ich schon lange auf die Unterstützung von DoH/DoT bei AVM Produkten warte, war ich überrascht von deinem Screenshot der Fritzbox DNS Einstellung 😮
    Leider unterstützt die 7360 und vermutlich auch ältere dies (noch?) nicht 🙁

    Antworten
    1. Timotheus

      Hallo André
      hab eben mal geschaut, für deine Box gibt es leider kein Fritz-Labor. Also eine neue Version.
      Für die 4040 beispielsweise schon, das soll mal einer verstehen.
      Grüße Timotheus

      Antworten
  3. Art

    Quad9 ist für mich definitiv kein DNS, den ich verwenden möchte – da könnte ich auch beim Google DNS bleiben.
    Zusätzlich zu Digitalcourage und Digitale Gesellschaft habe ich noch censurfridns.dk in meiner Liste.

    „Irgendetwas in die Schweiz verlegen“ mag ja bei einigen Unabhängigkeit suggerieren – falls man die CryptoAG Story nicht kennt – mMn macht man dies primär aus finanziellen Gründen: geringe Steuern und lächerlich kleine Strafen bei GDPR Verstößen.
    Quad9 ist und bleibt für mich eine US Organisation, deren (US) Mitarbeiter US Recht unterstehen und alle anderen (inkl. non-US Kunden) sind vogelfrei nach US Recht.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.