[Frage] DNS over TLS (DoT)

Grisu_

IPPF-Promi
Mitglied seit
26 Apr 2019
Beiträge
4,033
Punkte für Reaktionen
1,159
Punkte
113
Könntet ihr einem Unwissenden bitte erklären was man dazu einstellen muß auf der Box 7590.
Habe meine Provider-DNS Adressen eingetragen und aus Jux und Tollerei "Verschlüsselte Namensauflösung im Internet (DNS over TLS)" aktiviert.
Komm noch auf diverse Seiten.
So einen Schritt weiter, "Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen" auch noch aktiviert
Geht denk ich immer noch alles, komme auf neue nie besuchte Seiten.
Zuletzt auch "Fallback auf unverschlüsselte Namensauflösung im Internet zulassen" deaktiviert und noch immer scheint alles zu funktionieren.
Den Punkt "Auflösungsnamen der zu verwendenden DNS-Server" habe ich nichts eingetragen da ich das Feld weder verstehe noch wüßte was ich dort reinschreiben sollte.

Verstehe ich das nun richtig, daß meine Betreiber-DNS DoT unterstützen, obwohl ich nirgendwo ansatzweise solches wo finden konnte oder gelesen habe, eher das Gegenteil scheint der Fall zu sein gemäß Beiträgen vor 2 Monaten?
Und müßte man in das "Auflösungsnamen"-Feld nicht irgendwas eintragen müssen?

Zuletzt noch eine grundsätzliche Verständnisfrage: Bringt es überhaupt etwas DoT zu aktivieren, wenn man die Betreiber-DNS verwendet, die sehen doch sowieso alles und dazwischen wird kaum jemand meine Abfragen verwerten können, oder lieg ich da ganz falsch?
 
Zuletzt bearbeitet:
Moinsen


Schau mal hier...
...und lies auch den WiKi Artikel am Ende ;)

Meine DSL Box ist eine 7560 ohne DoT Funktionalität, aber mit Benutzerdefinierten DNS Einträgen jeweils 2x für IPv4 und 2x IPv6.
Im Vergleich ist dagegen DoT wesentlich simpler zu konfigurieren, da Dot dafür nur den auflösbaren Namen benötigt.

...aber anders als DoH*, gehen die Anfragen nach der Validierung ( Port 853 ) immer an die Portnummer 53.


* DNS over HTTPS = Port 443
...sieht nach normalen HTTPS Webseitenzugriff aus.
 
Zuletzt bearbeitet:
Danke für den Versuch, hab auch alles gelesen, meine Fragen haben sich dadurch für mich aber dennoch nicht ansatzweise erschlossen.

Mein Verständnis (vermutl. daneben) ist halt, für DNS-Abfragen um die URL aufzulösen gibts einen DNS-Server dessen IP ich im Router eintrage, mein PC mit Windows routet mangels anderer Einstellungen halt alles zum Router damit er es richtig weiterleitet.
Wenn ich nun am Router DoT eintrage und alle Fallbacks abdrehe, dürfte doch mein PC nichts mehr auflösen können nachdem meine eingetragenen Provider-DNS ja ziemlich sicher kein DoT können.
Außer ich verwende FF oder Chrome mit aktiviertem DoH, dann umgeht er den Router ja, das hab ich aber (wissentlich zumindest) nicht.

Und wozu muß man einen DoT Hostnamen eintragen?
Dachte da verwendet man halt einfach DoT-fähige DNS IP-Adresse an die das verschlüsselt mit TLS (sowas ähnliches wie HTTPS in meinem einfachen Weltbild) übertragen wird.
Und warum kann ich weiterhin alles ansurfen wo doch im Router kein Hostname eingetragen ist (was wohl unabdingbar wäre) und alles für reines DoT angeklickt ist?
Oder muß ich den Router dazu erst neu starten damit es wirksam wird und ich nichts mehr erreiche?
 
Wenn ich nun am Router DoT eintrage und alle Fallbacks abdrehe, dürfte doch mein PC nichts mehr auflösen können nachdem meine eingetragenen Provider-DNS ja ziemlich sicher kein DoT können.
Offenbar ignoriert die Fritz die DoT-Aktivierung, wenn es der eingetragene DNS-Server nicht kann.

Ein Beispiel für funktionierendes DoT gibt
 
Danke, das würde ja meine Überlegung bestätigen und wäre somit ein Fehlverhalten.
Die Seite hatte ich auch schon gefunden, aber ich mein Zugang war eher darauf ausgerichtet die Erfahrungen anderer dazu einzuholen als blauäugig selbst damit herumzuspielen ohne tiefere Ahnung.
 
Zum selber probieren bietet DNSHOME.DE einen kostenlosen DynDNS-Dienst mit DoH und DoT an:
 
  • Like
Reaktionen: Grisu_
Auch interessant als Alternative zu DoT und DoH, der eigene DNS-Server.
Klappt bei mir seit über einem Jahr und kann ich nur empfehlen.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.