[Frage] DNSSEC und Fritzbox und Clients im Heimnetzwerk

Peter931

Aktives Mitglied
Mitglied seit
5 Mai 2005
Beiträge
893
Punkte für Reaktionen
2
Punkte
18
Hallo,
ich habe eine Frage zu DNSSEC.

1. Ich habe auf der Fritzbox angewählt, dass der DNS-Server vom Internetprovider übernommen werden soll.
2. ich habe auf allen Clients im Heimnetzwerk autom. DHCP eingestellt.

Validiert die Fritzbox DNS-Antworten vom Internetprovider-DNS-Server mittels DNSSEC?

Muss ich zusätzlich auf den Clients etwas konfigurieren, oder reicht eine eventuelle Verifizierung durch die Fritzbox aus?
 
Validiert die Fritzbox DNS-Antworten vom Internetprovider-DNS-Server mittels DNSSEC?

Evtl. testen mit:
Code:
dig +dnssec bund.de @192.168.178.1
dig +dnssec bundestag.de @192.168.178.1
(oder gleichwertig).
 
DNS vom Anbieter kann man leider teils vergessen für sowas. Verwende daher auch kein DNS von Telekom mehr.

Teste einfach auf Webseite ob alles positiv ist.
https://en.internet.nl/test-connection/

Sonst halt 1.1.1.1 oder 8.8.8.8 verwenden in der FB, weitere Konfiguration ist nicht notwendig.
 
Bei dem Link von mir sind mehr Informationen zum Test, und auch welcher DNS verwendet wird.

Ist evt. mal eine nette Info wenn man keine Kontrolle hat über den Router.
 
Ups, den Link wollte ich gar nicht posten, das trägt so tatsächlich nichts zur Fragestellung bei. :)
 
Besser Quad9 (9.9.9.9/2620:fe::fe), da gibt es auch DNSSEC.
 
Validiert die Fritzbox DNS-Antworten vom Internetprovider-DNS-Server mittels DNSSEC?
Nein.

Allen DNS(SEC)-Serverbetreibern ist gemeinsam, dass sie die Userdaten in bare Münze umwandeln.
Google ist lediglich der Überkrake mit dem akt. größten Vorrat an $$$.
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
  • Like
Reaktionen: rmh
Das war jetzt deine Antwort auf die Frage aus #1 oder eher ein OT-Schuss aus persönlichem Frustablasstrieb heraus ?
Erkläre doch stattdessen einfach im Detail, wie die FB die Validierung gem. RFC im Detail durchführt, denn das war die Frage aus #1.
Hier die Liste der aktuellen Regeln: http://www.dnssec.net/rfc
Bin schon ganz gespannt auf deine ausführliche Experten-Antwort ...
---
Ich bin mir lediglich sicher, dass der Serverbetreiber eine klitzekleine Rolle dabei spielt.
Der ganze bereitgestellte Signaturkram inkl Auth. und Proxy kann jederzeit hintergangen werden.
Es ist unerheblich, ob die FB-Firmware irgendeine Aktion in petto hat.
Nichts, aber auch gar nichts, ist heutzutage sicher.
Da gab es doch gerade erst eine Riesenpanne bei AVM ...
 
Zuletzt bearbeitet:
Muss ich zusätzlich auf den Clients etwas konfigurieren, oder reicht eine eventuelle Verifizierung durch die Fritzbox aus?

Die FritzBox reicht die Antwort vom upstream-DNS-Server lediglich an den Client durch. Die FritzBox fungiert in diesem Fall als DNSSEC-Proxy. Der Client muss die Anfrage mit dem DNSSEC OK bit (do) machen.
 
Kurz gesagt: Die FB validiert gemäß Anfrage aus #1 nicht.
 
Zuletzt bearbeitet:
Die großen bekannten 8.8.8.8, 1.1.1.1 oder 9.9.9.9 können DNSSEC, viele vom Internetprovider oder auch andere bekannte nicht unbedingt.

Daher ausprobieren. Was Geschwindigkeit angeht, kommt man um die 3 genannten kaum herum, manche vom Internetanbieter sind schneller, dann aber kein DNSSEC.

Muss man also für sich selbst entscheiden, was einem wichtiger ist, DNSSEC, Geschwindigkeit oder Datenschutz.

Die Wahl des DNS wirkt sich teils auch Downloads aus von US Diensten, welche dann ggf. langsamer sein könnten, oder VoIP Anbieter an weiter entferntere Standorte geroutet wird.

Die FB verwendet immer schnellsten von den 4 welche man angeben kann.

Oder halt eigenen DNS Server betreiben mit allen root Zonen.

Selbst dann muss der Browser bzw. User ganze auch verifizieren, sonst ist ganz eh zwecklos. Selbst Banken und so halten es nicht für nötig nen TLSA Eintrag zu setzen, dass Browser Addon wie https://addons.mozilla.org/de/firefox/addon/dnssec-validator/ es prüfen können. Auch bei Mailservern wird kaum DANE verwendet.
 
Zuletzt bearbeitet von einem Moderator:
Kurz gesagt: Die FB validiert gemäß Anfrage aus #1 nicht.
Brauch sie, wenn sie nur als Proxy arbeitet, auch nicht.
Denn dann reicht sie den DNSSEC-Verkehr einfach durch.
Hier muss dann der Client das validieren.
Wenn er das nicht kann, ist nicht die F!B schuld.
 
Validiert die Fritzbox DNS-Antworten vom Internetprovider-DNS-Server mittels DNSSEC?
Verstehst du das System bei DNSSEC? Deiner Antwort nach, nicht.

Jetzt verstehe ich deine Antwort beim besten Willen überhaupt nicht mehr, da du gerade genau das vorher angezeifelte "Nein" bejahst.

Meine Antwort auf die Frage aus #1 bleibt bei einem stabilen "Nein"
 
Damit umgeht man auch DNS des Systems und Routers, heißt also sowas wie fritz.box usw. fällt weg.
 
Und in Praxis ist bei mir öfter FF abgestürzt mit der ganzen ttr Geschichte.

Zudem gilt es ja nur für den Browser nicht für andere Dienste.
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Statistik des Forums

Themen
246,361
Beiträge
2,250,846
Mitglieder
374,014
Neuestes Mitglied
flindiesel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.