Anzeige:

Verschlüsseltes DNS (DoT) mit der FritzBox nutzen

-

Unverschlüsselte DNS-Anfragen sind eine potentielle Gefahr für die Privatsphäre und bieten einen einfachen Angriffspunkt für Manipulation.

Derzeit kämpfen zwei konkurrierende Standards darum, diese Probleme zu beheben. DoT (DNS-over-TLS) und DoH (DNS-over-HTTPS). AVM hat sich entschieden mit den FritzBox-Routern DoT zu unterstützen. Seit Firmware 7.20 ist diese Option verfügbar.

Das könnte dich auch interessieren Anzeige
Werbeanrufe mit der Fritz!Box automatisch blockieren Mit Tellows Sperrlisten unerwünschte Werbeanrufe automatisch erkennen und blockieren
Die ultimative FRITZ!Box Bibel Das umfangreiche Praxishandbuch zur Fritz!Box
FRITZ!Fon Komforttelefon für Fritz!Box Farbdisplay, HD-Telefonie, Internet-/Komfortdienste, Steuerung FRITZ!Box-Funktionen

So lässt sich mit einer aktuellen FritzBox DNS verschlüsseln.

Öffentlichen DNS-Server mit DoT Unterstützung aussuchen

Zuerst benötigt man einen oder mehrere DNS-Server die DoT unterstützen. Je nach Anforderung und persönlicher Einstellung kann man dabei auf die großen Dienste wie Google oder Cloudflare zurückgreifen. Oder man entscheidet sich für einen kleinen Anbieter, die z.B. versprechen besonders privatsphärefreundliche Server zu betreiben.

Für die Integration in die Fritzbox wird außerdem der Domainname der DNS-Server benötigt. Über die IP-Adresse lässt sich DoT in der Fritzbox nicht nutzen.

Folgende DNS-Server unterstützen verschlüsselte Namensauflösung über DoT. Natürlich gibt es noch viele weitere Anbieter. Eine Google-Suche hilft hier weiter.

Anzeige:
  • Google-DNS: dns.google
  • Cloudflare: 1dot1dot1dot1.cloudflare-dns.com
  • Quad9: dns.quad9.net
  • Digitalcourage: dns2.digitalcourage.de
  • Digitale Gesellschaft Schweiz: dns.digitale-gesellschaft.ch

Verschlüsseltes DNS in der FritzBox aktivieren

Nun kannst du DNS over TLS in der Fritzbox einrichten. Dafür sind folgende Schritte nötig.

In der Benutzeroberfläche der FritzBox wechselst du zu Internet > Zugangsdaten. Dort klickst du auf den Reiter DNS-Server.

Unter der Überschrift “DNS over TLS (DoT)” musst du den Haken bei “Verschlüsselte Namensauflösung im Internet (DNS over TLS)” setzen um die benötigten Einstellungen einzublenden.

Aus Sicherheitsgründen sollte der Haken bei “Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen” ebenfalls aktiviert werden.

Ob man den Haken bei “Fallback auf unverschlüsselte Namensauflösung im Internet zulassen” setzt ist eine persönliche Entscheidung.
Wenn der Haken gesetzt wird, dann wird das normale unverschlüsselte DNS verwendet, wenn eine verschlüsselte Namensauflösung nicht möglich ist.
Wenn der Haken nicht gesetzt wird, dann ist ausschließlich die verschlüsselte Namensauflösung erlaubt. Ist dies aus irgendeinem Grund nicht möglich, erfolgt keine Namensauflösung. Surfen wäre dann nicht möglich und es sieht so aus, als wäre der Internetzugang kaputt.

Anzeige:

Für maximale Kompatibilität und Zuverlässigkeit sollte der Haken also gesetzt werden. Für maximale Sicherheit sollte der Haken entfernt werden.

In das Feld “Auflösungsnamen der DNS-Server” werden eine oder mehrere Domainnamen von DNS-Servern eingetragen, die DoT unterstützen.

Mit einem Klick auf “Übernehmen” wird die Einstellung aktiviert.

Auch nach dem Klick kann es mehrere Minuten dauern, bis die FritzBox die verschlüsselte Namensauflösung tatsächlich verwendet.

Verschlüsseltes DNS DNS-overTLS in der Fritzbox konfigurieren und nutzen

Verschlüsseltes DNS mit der FritzBox testen

Wenn du alle Einstellungen vorgenommen hast, klickst zu auf Internet > Onlinemonitor. Dort werden die genutzten DNS-Server angezeigt.

Der Hinweise “aktuell genutzt für Standardanfragen” sollte nun bei einem Server mit DoT-Unterstützung zu sehen sein. Ist dies der Fall, dann verwendet die FritzBox DNS-Verschlüsselung.

DoT DNS-over-TLS in der Fritzbox aktiv und für Standardanfragen genutzt

Wenn du der Angabe nicht traust, kannst du auch auf einen externen Dienst zum Testen zurückgreifen. Cloudflare bietet eine Testseite an, die anzeigt, ob verschlüsseltes DNS verwendet wird.

Achtung: Diese Testseite funktioniert nur korrekt, wenn auch der Cloudflare DNS-Server 1dot1dot1dot1.cloudflare-dns.com verwendet wird.

Anzeige:

Cloudflare DNS-Testseite: https://1.1.1.1/help

Im Kasten “Debug Information” sollte neben “Using DNS over TLS (DoT)” ein Yes stehen.

DoT DNS-over-TLS testen

Probleme mit DoT und der FritzBox

Update: Mittlerweile nutze ich FRITZ!OS 7.25 und die Probleme scheinen behoben zu sein. Ich habe seither keine Aussetzer bei der Namensauflösung mit DoT mehr beobachten können.

Leider hatte ich immer wieder Probleme mit der Namensauflösung, wenn DoT in der Fritzbox aktiv war.

Nach einiger Zeit funktionierte die Namensauflösung nicht mehr und es waren keine Webseiten mehr erreichbar. Nach einiger Zeit funktionierte es wieder, dann wieder nicht.

Mir ist bisher noch nicht klar, ob es an der Fritzbox oder an etwas anderem liegt.

Wenn du DoT in der Fritzbox getestet hast, dann lass mich doch in einem Kommentar wissen, wie es bei dir funktioniert hat. Dankeschön.

Jetzt kostenlos anmelden & nichts mehr verpassen

Ca. 2x im Monat wirst du über neue Artikel per Mail informiert und erhältst weitere spannende Infos.
Abmeldung jederzeit möglich. E-Mail-Adresse wird ausschließlich zum Versand des Newsletters genutzt, den du etwa 2 Mal pro Monat von BitReporter erhältst. Weitere Infos: Datenschutzerklärung

Niko
Niko
Ich bin Niko, betreibe BitReporter und interessiere mich für jede Form von Technologie, die in unseren Alltag Einzug hält. Ich schreibe hier über Software und Hardware die ich verwende, sowie Probleme mit meiner Technik und Lösungen. Schließlich soll Technik nützlich sein und Spaß machen und nicht zusätzliche Arbeit verursachen.

10 Kommentare

  1. Ich habe heute auf meiner FB (V. 7.21) DNS over TLS aktiviert und bekomme auf dem Monitor angezeigt, dass DoT genutzt wird.
    Alles läuft bisher flüssig, doch die Testseite von Cloudflare zeigt mir unter “Using DNS over TLS (DoT)” ein “No” an. 😤
    Nun vervollständige ich DoT mit DoH unter Windowos (https://www.zdnet.de/88379811/windows-10-so-aktiviert-man-dns-over-https/) und schaue mal, ob sich das beißt oder ob die Einstellungen miteinander harmonieren…

    • Die Testseite kann nur dann “Yes” sagen, wenn Du den DoT Server von Cloudflare 1dot1dot1dot1.cloudflare-dns.com verwendest, denn ansonsten kann die das nicht merken.

    • Ja, das ist ein wichtiger Hinweis. Ich habe den Artikel entsprechend ergänzt.

      Anzeige:
  2. Ich hatte schon länger auf cloudflare umgestellt und sporadisch Probleme mit VPN Nutzung die plötzlich aussetzte, nach Eintrag 1dot1dot1dot1.cloudflare-dns.com scheint es nun besser zu laufen

  3. Dot und Quad9 funktionieren bei mir schon länger ohne jegliche Probleme, hoffe bei dir hat sich das mittlerweile auch geklärt? Vielleicht solltest du noch erwähnen, dass die Auflösungsnamen nicht aus einer “Google” Suche kommen sollten sondern direkt vom Anbieter einzuholen sind, um auf Nummer sicher zu gehen.
    Ansonsten Top Artikel

  4. Kann das Verhalten der FritzBox bei aktiviertem DoT bestätigen. Nach einer gewissen Zeit geht die Namensauflösung nur noch EXTREM Zäh bzw. gar nicht mehr. Nach einem Neustart der FB geht wieder alles flüssig.
    Derzeitige Lösung: Lasse über einen Raspberry ein Script laufen, welches die FB alle 2-3 Tage neu starten lässt. Somit ist alles wieder gut, wenn auch das eher die Holzhammermethode ist.

  5. > Fallback auf unverschlüsselte Namensauflösung im Internet zulassen:
    >Für maximale Kompatibilität und Zuverlässigkeit sollte der Haken also entfernt werden. Für maximale Sicherheit sollte der Haken gesetzt werden.
    Ist es nicht genau andersrum?

    > Probleme mit DoT und der FritzBox
    Kann ich bestätigen. (FB 6660 Cable immer mit aktuelle Labor-Firmware getestet)

Hinterlasse einen Kommentar

Please enter your comment!
Die Angabe von Name oder Webseite ist optional. Weitere Informationen: siehe Datenschutzerklärung

Please enter your name here

Shopping