In welchem Format trägt man die Einträge für DNS over TLS ein? (Labor)
- Ersteller Peter931
- Erstellt am
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Vielen Dank!
Habe jetzt folgende bei mir eingetragen:
dns.quad9.net
1dot1dot1dot1.cloudflare-dns.com
dns.google
Aktuell wird bei mir der Dienst DNS over TLS (DoT) von quad9 genutzt, da quad9 auch als erster DNS-Server für IPv4 und IPv6 eingetragen ist.
Habe jetzt folgende bei mir eingetragen:
dns.quad9.net
1dot1dot1dot1.cloudflare-dns.com
dns.google
Aktuell wird bei mir der Dienst DNS over TLS (DoT) von quad9 genutzt, da quad9 auch als erster DNS-Server für IPv4 und IPv6 eingetragen ist.
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,298
- Punkte für Reaktionen
- 1,760
- Punkte
- 113
@koyaanisqatsi:
Ich habe irgendwie Probleme zu verstehen, wieso man bei sich auf der einen Seite zensurfreie DNS-Server verwenden sollte (z.B. Digitalcourage e.V. und UncensoredDNS) und parallel dazu noch solche, die ihrerseits (und zwar mit Ansage) bestimmte Domains gleich ausfiltern (wie die drei freien Services von CleanBrowsing).
Wenn ich nichts übersehen habe, kann man ja auch nicht einfach die Reihenfolge im Textarea-Control ändern ... eine Erklärung, daß da nach Bedarf umsortiert wird, macht also auch keinen Sinn.
Die FRITZ!Box sucht sich halt einen davon aus ... wie steuert man denn jetzt, welcher das ist und ob die lieben Kleinen nun mit dem Adult- oder Family-Filter beschützt werden oder nicht?
Ich kann mir die Antwort zwar denken (nehme ich jedenfalls mal an und bin dabei trotzdem gespannt auf die Antwort), aber ich kenne auch Leute, die das tatsächlich verwirrend finden würden.
Die Clients befragen halt die FRITZ!Box (wenn sie nicht direkt einen DNS-Server im Internet verwenden, wo dann auch "family-filter-dns.cleanbrowsing.org" als lokale Einstellung für einen oder mehrere Clients einen Sinn ergibt) und diese dann in ihrer Rolle als (Caching-)Forwarder einen anderen Server als "Upstream".
Dabei weiß die FRITZ!Box aber nicht wirklich, welcher DoT-Server für welchen Client zu verwenden ist, oder? Wenn das einstellbar wäre, DANN machen auch wieder solche Zusammenstellungen einen Sinn, aber das bietet AVM doch meines Erachtens bisher nicht an?
In der Zusammenstellung in #2 wirkt das auf mich eher wie ein "Merkzettel" für FQDNs von DoT-Servern ... das ist aber (zumindest nach meinem Verständnis) nicht der Sinn des Textarea-Controls an dieser Stelle und wer tatsächlich einen filternden DNS-Server verwenden will, der darf dann natürlich keinen "zensurfreien" dort eintragen, solange man nicht selbst steuern kann, welchen die FRITZ!Box am Ende verwendet.
Ich habe irgendwie Probleme zu verstehen, wieso man bei sich auf der einen Seite zensurfreie DNS-Server verwenden sollte (z.B. Digitalcourage e.V. und UncensoredDNS) und parallel dazu noch solche, die ihrerseits (und zwar mit Ansage) bestimmte Domains gleich ausfiltern (wie die drei freien Services von CleanBrowsing).
Wenn ich nichts übersehen habe, kann man ja auch nicht einfach die Reihenfolge im Textarea-Control ändern ... eine Erklärung, daß da nach Bedarf umsortiert wird, macht also auch keinen Sinn.
Die FRITZ!Box sucht sich halt einen davon aus ... wie steuert man denn jetzt, welcher das ist und ob die lieben Kleinen nun mit dem Adult- oder Family-Filter beschützt werden oder nicht?
Ich kann mir die Antwort zwar denken (nehme ich jedenfalls mal an und bin dabei trotzdem gespannt auf die Antwort), aber ich kenne auch Leute, die das tatsächlich verwirrend finden würden.
Die Clients befragen halt die FRITZ!Box (wenn sie nicht direkt einen DNS-Server im Internet verwenden, wo dann auch "family-filter-dns.cleanbrowsing.org" als lokale Einstellung für einen oder mehrere Clients einen Sinn ergibt) und diese dann in ihrer Rolle als (Caching-)Forwarder einen anderen Server als "Upstream".
Dabei weiß die FRITZ!Box aber nicht wirklich, welcher DoT-Server für welchen Client zu verwenden ist, oder? Wenn das einstellbar wäre, DANN machen auch wieder solche Zusammenstellungen einen Sinn, aber das bietet AVM doch meines Erachtens bisher nicht an?
In der Zusammenstellung in #2 wirkt das auf mich eher wie ein "Merkzettel" für FQDNs von DoT-Servern ... das ist aber (zumindest nach meinem Verständnis) nicht der Sinn des Textarea-Controls an dieser Stelle und wer tatsächlich einen filternden DNS-Server verwenden will, der darf dann natürlich keinen "zensurfreien" dort eintragen, solange man nicht selbst steuern kann, welchen die FRITZ!Box am Ende verwendet.
Schon etwas schräg, DNS-Server werden (normalerweise) immer nur mit ihrer IP benannt, denn wie soll das System den Namen des DNS-Servers auflösen, wenn es nur den Namen, nicht aber eine IP hat?
---------------
Hat man in einem System mehr als einem DNS-Server eingetragen, wird normalerweise immer nur der erste abgefragt. Der/die folgende(n) werden nur benutzt, wenn der vorherige DNS-Server nicht (schnell genug) antwortet.
Hat er angefangen, zu antworten, sind aber die Daten, die von dem DNS-Server, der befragt wurde unvollständig, so wird kein weiterer DNS-Server befragt.
Bei einer verschlüsselten DNS-Abfrage kann das anders sein, muss aber nicht ;-)
Bekommt man also bei einer Namensauflösung keine brauchbaren Antworten, kann es helfen, testweise den DNS-Server zu wechseln.
Bei Windows ist das KommandozeilenTool -Programm "nslookup" zwar nur IPv4-fägig (es muss also einen IPv4-Server abfragen), kann aber ersten auf einen anderen DNS-Server temporär umgestellt werden, und es kann auch, mit dem passenden Parameter IPv6-Daten ausgeben.
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
So ist es.
Die stehen alle in der Whitelist und von dort einfach rüberkopiert.
Benötigen tu ich nur den Ersten.
da ein Zertifikat nur auf einen Namen, nicht aber eine IP ausgestellt wird, macht das schon sinn. Die Fritzbox wird wohl die "normalen" mit IPs eingetragenen DNS Server regelmäßig nach den eingetragenen DOT-Servern fragen, das Zertifikat dieser dann prüfen und alle anderen Abfragen dann über DOT an den validierten DOT fähigen DNS Server schicken.
rollo
IPPF-Promi
- Mitglied seit
- 5 Jul 2004
- Beiträge
- 8,321
- Punkte für Reaktionen
- 5
- Punkte
- 38
Du solltest mal auf eine aktuelle Version updaten
Code:
PS C:\set q=ns> nslookup
Standardserver: fritz.box
Address: fd00:7:c001:0:464e:6dff:feb1:ead4
> server 2001:500:12::d0d
Standardserver: G.ROOT-SERVERS.NET
Address: 2001:500:12::d0d
tester25
Aktives Mitglied
- Mitglied seit
- 23 Feb 2010
- Beiträge
- 823
- Punkte für Reaktionen
- 26
- Punkte
- 28
Hallo zusammen, könnt ihr einem in diesem Bereich noch unerfahrenen User helfen, damit ihm ein Licht aufgeht?
Ich würde gerne auch verschlüsselt unterwegs sein. DNSv4-Server und DNSv6-Server können in dem Fall so stehen bleiben, wie die Telekom sie vorkonfiguriert? Oder macht es Sinn, diese dann auch auf die Serveradressen eines vertrauenswürdigen Anbieters zu ändern?
Und generell die Frage: Welche DNS-Server empfehlt ihr als Experten? Laut Wikipedia habe ich Digitalcourage ausfindig gemacht, wirkt im ersten Augenblick für den Neuling vertrauenswürdig. Habt ihr Empfehlungen und was habt ihr im Einsatz?
Wie verhält es sich im Fehlerfall, muss ich als Fallback wie oben im Screenshot mehrere Anbieter untereinander im Textfeld eintragen? Müsste ich dann auch einen alternativen Anbieter in den DNSv4- und v6-Adressen in der Box einstellen? Hier ist mir der Unterschied noch nicht ganz klar.
Danke euch,
tester25
Ich würde gerne auch verschlüsselt unterwegs sein. DNSv4-Server und DNSv6-Server können in dem Fall so stehen bleiben, wie die Telekom sie vorkonfiguriert? Oder macht es Sinn, diese dann auch auf die Serveradressen eines vertrauenswürdigen Anbieters zu ändern?
Und generell die Frage: Welche DNS-Server empfehlt ihr als Experten? Laut Wikipedia habe ich Digitalcourage ausfindig gemacht, wirkt im ersten Augenblick für den Neuling vertrauenswürdig. Habt ihr Empfehlungen und was habt ihr im Einsatz?
Wie verhält es sich im Fehlerfall, muss ich als Fallback wie oben im Screenshot mehrere Anbieter untereinander im Textfeld eintragen? Müsste ich dann auch einen alternativen Anbieter in den DNSv4- und v6-Adressen in der Box einstellen? Hier ist mir der Unterschied noch nicht ganz klar.
Danke euch,
tester25
Derzeit sollte die Funktion abgeschaltet werden!
Tauchen immer wieder Fälle auf wo mindestens einzelne Geräte keinen Internetzugriff mehr haben, bis FB neu gestartet wurde.
Die Serverauswahl von @koyaanisqatsi ist absoluter Blödsinn.
Wenn man CloudFlare oder Google einträgt, machen andere keinen Sinn oft, da andere oft langsamer sind, und die FB die schnellsten verwendet.
DoT wird eh nur zwischen FB und dem DNS Betreiber verschlüsselt, dann ist wieder unverschlüsselt. So sieht Netzbetreiber oder Netzknoten nicht was man anfragt, aber trotzdem wo.
Tauchen immer wieder Fälle auf wo mindestens einzelne Geräte keinen Internetzugriff mehr haben, bis FB neu gestartet wurde.
Die Serverauswahl von @koyaanisqatsi ist absoluter Blödsinn.
Wenn man CloudFlare oder Google einträgt, machen andere keinen Sinn oft, da andere oft langsamer sind, und die FB die schnellsten verwendet.
DoT wird eh nur zwischen FB und dem DNS Betreiber verschlüsselt, dann ist wieder unverschlüsselt. So sieht Netzbetreiber oder Netzknoten nicht was man anfragt, aber trotzdem wo.
Neueste Beiträge
-
[Frage] 5590 Fiber und 1200AX - Wlan Frage- Letzte: Jstessi
-
DIGITAL TECH GUARD RECOVERY YOUR RECOVERING LOST CRYPTO FUNDS
- Letzte: muhammadtanveer92
-
FritzBox 6660 Updates Freischallten- Letzte: NDiIPP
-
[Sammlung] AVM-Gateway-kompatible Zigbee-Geräte
- Letzte: pawbrok
-
1und1 online.de Emailadresse "befreien"- Letzte: Erforderlich
-
FRITZ!Repeater3000 AX INHAUS - 7.9x - Smart24P1FCS
- Letzte: Santa2021
-
[Sammlung] Fritz!Box 5690Pro - Fw 8.xx - Release - Zyklus 'Smart24P1FCS'
- Letzte: froeschi1962
-
[Sammlung] Fritz!Box 7690 - Release 8.xx - Zyklus 'Smart24P1FCS'
- Letzte: darki2017