Verschlüsseltes DNS (DoT) mit der FritzBox nutzen

Kategorien:

WLAN-Reichweite der Fritz!Box ohne Aufwand erhöhen. Der Mesh Repeater von AVM* sorgt für besten WLAN-Empfang und ist die perfekte Ergänzung für die Fritz!Box.

Unverschlüsselte DNS-Anfragen sind eine potentielle Gefahr für die Privatsphäre und bieten einen einfachen Angriffspunkt für Manipulation.

Derzeit kämpfen zwei konkurrierende Standards darum, diese Probleme zu beheben. DoT (DNS-over-TLS) und DoH (DNS-over-HTTPS). AVM hat sich entschieden mit den FritzBox-Routern DoT zu unterstützen. Seit Firmware 7.20 ist diese Option verfügbar.

So lässt sich mit einer aktuellen FritzBox DNS verschlüsseln.

Öffentlichen DNS-Server mit DoT Unterstützung aussuchen

Zuerst benötigt man einen oder mehrere DNS-Server die DoT unterstützen. Je nach Anforderung und persönlicher Einstellung kann man dabei auf die großen Dienste wie Google oder Cloudflare zurückgreifen. Oder man entscheidet sich für einen kleinen Anbieter, die z.B. versprechen besonders privatsphärefreundliche Server zu betreiben.

Für die Integration in die Fritzbox wird außerdem der Domainname der DNS-Server benötigt. Über die IP-Adresse lässt sich DoT in der Fritzbox nicht nutzen.

Folgende DNS-Server unterstützen verschlüsselte Namensauflösung über DoT. Natürlich gibt es noch viele weitere Anbieter. Eine Google-Suche hilft hier weiter.

  • Google-DNS: dns.google
  • Cloudflare: 1dot1dot1dot1.cloudflare-dns.com
  • Quad9: dns.quad9.net
  • Digitalcourage: dns2.digitalcourage.de
  • Digitale Gesellschaft Schweiz: dns.digitale-gesellschaft.ch

Verschlüsseltes DNS in der FritzBox aktivieren

Nun kannst du DNS over TLS in der Fritzbox einrichten. Dafür sind folgende Schritte nötig.

In der Benutzeroberfläche der FritzBox wechselst du zu Internet > Zugangsdaten. Dort klickst du auf den Reiter DNS-Server.

Unter der Überschrift „DNS over TLS (DoT)“ musst du den Haken bei „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“ setzen um die benötigten Einstellungen einzublenden.

Aus Sicherheitsgründen sollte der Haken bei „Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen“ ebenfalls aktiviert werden.

Ob man den Haken bei „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“ setzt ist eine persönliche Entscheidung.
Wenn der Haken gesetzt wird, dann wird das normale unverschlüsselte DNS verwendet, wenn eine verschlüsselte Namensauflösung nicht möglich ist.
Wenn der Haken nicht gesetzt wird, dann ist ausschließlich die verschlüsselte Namensauflösung erlaubt. Ist dies aus irgendeinem Grund nicht möglich, erfolgt keine Namensauflösung. Surfen wäre dann nicht möglich und es sieht so aus, als wäre der Internetzugang kaputt.

Für maximale Kompatibilität und Zuverlässigkeit sollte der Haken also gesetzt werden. Für maximale Sicherheit sollte der Haken entfernt werden.

In das Feld „Auflösungsnamen der DNS-Server“ werden eine oder mehrere Domainnamen von DNS-Servern eingetragen, die DoT unterstützen.

Mit einem Klick auf „Übernehmen“ wird die Einstellung aktiviert.

Auch nach dem Klick kann es mehrere Minuten dauern, bis die FritzBox die verschlüsselte Namensauflösung tatsächlich verwendet.

Verschlüsseltes DNS DNS-overTLS in der Fritzbox konfigurieren und nutzen

Verschlüsseltes DNS mit der FritzBox testen

Wenn du alle Einstellungen vorgenommen hast, klickst zu auf Internet > Onlinemonitor. Dort werden die genutzten DNS-Server angezeigt.

Der Hinweise „aktuell genutzt für Standardanfragen“ sollte nun bei einem Server mit DoT-Unterstützung zu sehen sein. Ist dies der Fall, dann verwendet die FritzBox DNS-Verschlüsselung.

DoT DNS-over-TLS in der Fritzbox aktiv und für Standardanfragen genutzt

Wenn du der Angabe nicht traust, kannst du auch auf einen externen Dienst zum Testen zurückgreifen. Cloudflare bietet eine Testseite an, die anzeigt, ob verschlüsseltes DNS verwendet wird.

Achtung: Diese Testseite funktioniert nur korrekt, wenn auch der Cloudflare DNS-Server 1dot1dot1dot1.cloudflare-dns.com verwendet wird.

Cloudflare DNS-Testseite: https://1.1.1.1/help

Im Kasten „Debug Information“ sollte neben „Using DNS over TLS (DoT)“ ein Yes stehen.

DoT DNS-over-TLS testen

Probleme mit DoT und der FritzBox

Update: Mittlerweile nutze ich FRITZ!OS 7.25 und die Probleme scheinen behoben zu sein. Ich habe seither keine Aussetzer bei der Namensauflösung mit DoT mehr beobachten können.

Leider hatte ich immer wieder Probleme mit der Namensauflösung, wenn DoT in der Fritzbox aktiv war.

Nach einiger Zeit funktionierte die Namensauflösung nicht mehr und es waren keine Webseiten mehr erreichbar. Nach einiger Zeit funktionierte es wieder, dann wieder nicht.

Mir ist bisher noch nicht klar, ob es an der Fritzbox oder an etwas anderem liegt.

Wenn du DoT in der Fritzbox getestet hast, dann lass mich doch in einem Kommentar wissen, wie es bei dir funktioniert hat. Dankeschön.

Unterwegs immer mit Strom versorgt
Anzeige
Powerbank 60W Ladeleistung für Laptop & Handy
20.000 mAh, USB-C und USB-A, Hohe Ladeleistung ermöglicht Laden von Notebooks
Perfekte Reiseladegerät - Hohe Ladeleistung, 3 Ausgänge
USB-C & USB-A, 65W Ladeleistung lädt Laptops & Handys, Power Delivery & Quick Charge
Niko
Niko
Ich bin Niko, betreibe BitReporter und interessiere mich für jede Form von Technologie, die in unseren Alltag Einzug hält. Ich schreibe hier über Software und Hardware die ich verwende, sowie Probleme mit meiner Technik und Lösungen. Schließlich soll Technik nützlich sein und Spaß machen und nicht zusätzliche Arbeit verursachen.

18 Kommentare

  1. Ich habe heute auf meiner FB (V. 7.21) DNS over TLS aktiviert und bekomme auf dem Monitor angezeigt, dass DoT genutzt wird.
    Alles läuft bisher flüssig, doch die Testseite von Cloudflare zeigt mir unter „Using DNS over TLS (DoT)“ ein „No“ an. ?
    Nun vervollständige ich DoT mit DoH unter Windowos (https://www.zdnet.de/88379811/windows-10-so-aktiviert-man-dns-over-https/) und schaue mal, ob sich das beißt oder ob die Einstellungen miteinander harmonieren…

    • Die Testseite kann nur dann „Yes“ sagen, wenn Du den DoT Server von Cloudflare 1dot1dot1dot1.cloudflare-dns.com verwendest, denn ansonsten kann die das nicht merken.

  2. Ich hatte schon länger auf cloudflare umgestellt und sporadisch Probleme mit VPN Nutzung die plötzlich aussetzte, nach Eintrag 1dot1dot1dot1.cloudflare-dns.com scheint es nun besser zu laufen

  3. Dot und Quad9 funktionieren bei mir schon länger ohne jegliche Probleme, hoffe bei dir hat sich das mittlerweile auch geklärt? Vielleicht solltest du noch erwähnen, dass die Auflösungsnamen nicht aus einer „Google“ Suche kommen sollten sondern direkt vom Anbieter einzuholen sind, um auf Nummer sicher zu gehen.
    Ansonsten Top Artikel

  4. Kann das Verhalten der FritzBox bei aktiviertem DoT bestätigen. Nach einer gewissen Zeit geht die Namensauflösung nur noch EXTREM Zäh bzw. gar nicht mehr. Nach einem Neustart der FB geht wieder alles flüssig.
    Derzeitige Lösung: Lasse über einen Raspberry ein Script laufen, welches die FB alle 2-3 Tage neu starten lässt. Somit ist alles wieder gut, wenn auch das eher die Holzhammermethode ist.

  5. > Fallback auf unverschlüsselte Namensauflösung im Internet zulassen:
    >Für maximale Kompatibilität und Zuverlässigkeit sollte der Haken also entfernt werden. Für maximale Sicherheit sollte der Haken gesetzt werden.
    Ist es nicht genau andersrum?

    > Probleme mit DoT und der FritzBox
    Kann ich bestätigen. (FB 6660 Cable immer mit aktuelle Labor-Firmware getestet)

  6. Hi Niko,
    Egal was ich tue habe beim Test Ergebnis immer DoH Yes DoT No?
    Benutze Fritz Cabel Box 6951, 7.29 software
    FB Online Monitor sagt:
    1.1.1.1 (DoT verschlüsselt)
    1.0.0.1 (aktuell genutzt für Standardanfragen – DoT verschlüsselt)
    Cloudflare Test sagt: DoT No? Benutze aber auch ihre server?
    Irgendwelche Idee? Danke voraus!

  7. Hallo Niko , Danke für diese Wichtigen! Infos 🙂

    eine Frage zum Verständnis PC allgemein :

    – Muss man dieselben Einstellungen nicht auch im verwendeten Browser eintragen ? DNS over TLS zb ?

    Beispiel :

    in einem Haus gibts eine Fritz Box Cable Gigabit, in der Fritte sind die DNS over TLS aktiviert und Einsatzbereit ipv4 und ipv6 , jetzt hängen da aber im ganzen haus 3 handys , 2 laptops, 2 pcs, 1 tablet , 4 steckdosen, 1 Geschirrspüler etc dran -> verwenden dann automatisch alle Geräte hinter Fritz diese DNS Technik oder kann der Benutzer am PC 1 zb etwas anderes im Browser lokal eintragen : welches Gerät hat hier vorrang bei DNS Eingaben ? ….

    Danke!

    • Hallo Flouw,
      die Geräte im Netzwerk verwenden die FritzBox als DNS-Server, DNS-Anfragen gehen also zuerst unverschlüsselt im Heimnetz vom Handy etc. zur FritzBox. Von dort verschlüsselt zum DNS-Server der in der Fritzbox konfiguriert ist. Es gibt also nur im Heimnetz unverschlüsselten DNS-Verkehr, was ja unproblematisch sein sollte.
      Wenn du im Webbrowser DNS over TLS aktivierst, fragt der Browser direkt den dort angegebenen DNS-Server an. Die Einstellung in der FritBox haben dann keine Auswirkung.

  8. kann die Angaben von Anonymous bestätigen. Wann AVM das geändert hat ist unbekannt. Inzwischen ist 7.50 aktuell bei mir in Betrieb. Die Ports die der Router für diese Aufgabe bedient sind die: 443 für eine VPN und 445 für den Edge Browser wobei für 445 HTTPS (DoH) steht.

  9. Korrektur zu den Ports
    DNS über HTTPS (DoH)
    Bei DNS over HTTPS (DoH) werden DNS-Abfragen und -Antworten verschlüsselt und über das HTTP-, HTTPS- oder HTTP/2- Protokoll gesendet. DoH stellt sicher, dass Angreifer den DNS-Datenverkehr nicht fälschen oder verändern können. DoH verwendet Port 443, den Standardport für HTTPS-Datenverkehr, um die DNS-Abfrage in eine HTTPS-Anforderung einzuschließen. DNS-Abfragen und -Antworten werden in anderen HTTPS-Datenverkehr getarnt, da alles vom selben Port kommt und geht.

    Am PC hier aber über Port 445, wird das SMB Protokoll genutzt, welches aktiviert werden musste, da der Router dieses für die interne Netzwerkkommunikation nutzt. Über diesen Port läuft der gesamte Netzwerkverkehr intern und extern! Die genaue Beschreibung ist nachzulesen in dem Document „Port 445 – Dazu dient dieser TCP-Port“.

Hinterlasse einen Kommentar

Bitte geben Sie Ihren Kommentar ein!
Die Angabe von Name oder Webseite ist optional. Weitere Informationen: siehe Datenschutzerklärung

Bitte geben Sie hier Ihren Namen ein