Anzeige:

Verschlüsseltes DNS (DoT) mit der FritzBox nutzen

Unverschlüsselte DNS-Anfragen sind eine potentielle Gefahr für die Privatsphäre und bieten einen einfachen Angriffspunkt für Manipulation.

Derzeit kämpfen zwei konkurrierende Standards darum, diese Probleme zu beheben. DoT (DNS-over-TLS) und DoH (DNS-over-HTTPS). AVM hat sich entschieden mit den FritzBox-Routern DoT zu unterstützen. Seit Firmware 7.20 ist diese Option verfügbar.

Anzeige
TV auf all deinen Geräten - 193 Sender - Live & oder Aufnahme
Fernsehen unabhängig von deinem Provider, auf 4 Geräten gleichzeitig
1 Monat gratis testen
Tech-News, eBooks, Reports
Tipps & Tricks, News & Hintergründe aus der digitalen Welt direkt zu dir.
Informieren & bestellen

So lässt sich mit einer aktuellen FritzBox DNS verschlüsseln.

Öffentlichen DNS-Server mit DoT Unterstützung aussuchen

Zuerst benötigt man einen oder mehrere DNS-Server die DoT unterstützen. Je nach Anforderung und persönlicher Einstellung kann man dabei auf die großen Dienste wie Google oder Cloudflare zurückgreifen. Oder man entscheidet sich für einen kleinen Anbieter, die z.B. versprechen besonders privatsphärefreundliche Server zu betreiben.

Für die Integration in die Fritzbox wird außerdem der Domainname der DNS-Server benötigt. Über die IP-Adresse lässt sich DoT in der Fritzbox nicht nutzen.

Folgende DNS-Server unterstützen verschlüsselte Namensauflösung über DoT. Natürlich gibt es noch viele weitere Anbieter. Eine Google-Suche hilft hier weiter.

  • Google-DNS: dns.google
  • Cloudflare: 1dot1dot1dot1.cloudflare-dns.com
  • Quad9: dns.quad9.net
  • Digitalcourage: dns2.digitalcourage.de
  • Digitale Gesellschaft Schweiz: dns.digitale-gesellschaft.ch

Verschlüsseltes DNS in der FritzBox aktivieren

Nun kannst du DNS over TLS in der Fritzbox einrichten. Dafür sind folgende Schritte nötig.

Anzeige

In der Benutzeroberfläche der FritzBox wechselst du zu Internet > Zugangsdaten. Dort klickst du auf den Reiter DNS-Server.

Unter der Überschrift „DNS over TLS (DoT)“ musst du den Haken bei „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“ setzen um die benötigten Einstellungen einzublenden.

Aus Sicherheitsgründen sollte der Haken bei „Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen“ ebenfalls aktiviert werden.

Ob man den Haken bei „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“ setzt ist eine persönliche Entscheidung.
Wenn der Haken gesetzt wird, dann wird das normale unverschlüsselte DNS verwendet, wenn eine verschlüsselte Namensauflösung nicht möglich ist.
Wenn der Haken nicht gesetzt wird, dann ist ausschließlich die verschlüsselte Namensauflösung erlaubt. Ist dies aus irgendeinem Grund nicht möglich, erfolgt keine Namensauflösung. Surfen wäre dann nicht möglich und es sieht so aus, als wäre der Internetzugang kaputt.

Für maximale Kompatibilität und Zuverlässigkeit sollte der Haken also gesetzt werden. Für maximale Sicherheit sollte der Haken entfernt werden.

Anzeige

In das Feld „Auflösungsnamen der DNS-Server“ werden eine oder mehrere Domainnamen von DNS-Servern eingetragen, die DoT unterstützen.

Mit einem Klick auf „Übernehmen“ wird die Einstellung aktiviert.

Auch nach dem Klick kann es mehrere Minuten dauern, bis die FritzBox die verschlüsselte Namensauflösung tatsächlich verwendet.

Verschlüsseltes DNS DNS-overTLS in der Fritzbox konfigurieren und nutzen

Verschlüsseltes DNS mit der FritzBox testen

Wenn du alle Einstellungen vorgenommen hast, klickst zu auf Internet > Onlinemonitor. Dort werden die genutzten DNS-Server angezeigt.

Der Hinweise „aktuell genutzt für Standardanfragen“ sollte nun bei einem Server mit DoT-Unterstützung zu sehen sein. Ist dies der Fall, dann verwendet die FritzBox DNS-Verschlüsselung.

DoT DNS-over-TLS in der Fritzbox aktiv und für Standardanfragen genutzt

Wenn du der Angabe nicht traust, kannst du auch auf einen externen Dienst zum Testen zurückgreifen. Cloudflare bietet eine Testseite an, die anzeigt, ob verschlüsseltes DNS verwendet wird.

Achtung: Diese Testseite funktioniert nur korrekt, wenn auch der Cloudflare DNS-Server 1dot1dot1dot1.cloudflare-dns.com verwendet wird.

Cloudflare DNS-Testseite: https://1.1.1.1/help

Anzeige

Im Kasten „Debug Information“ sollte neben „Using DNS over TLS (DoT)“ ein Yes stehen.

DoT DNS-over-TLS testen

Probleme mit DoT und der FritzBox

Update: Mittlerweile nutze ich FRITZ!OS 7.25 und die Probleme scheinen behoben zu sein. Ich habe seither keine Aussetzer bei der Namensauflösung mit DoT mehr beobachten können.

Leider hatte ich immer wieder Probleme mit der Namensauflösung, wenn DoT in der Fritzbox aktiv war.

Nach einiger Zeit funktionierte die Namensauflösung nicht mehr und es waren keine Webseiten mehr erreichbar. Nach einiger Zeit funktionierte es wieder, dann wieder nicht.

Mir ist bisher noch nicht klar, ob es an der Fritzbox oder an etwas anderem liegt.

Wenn du DoT in der Fritzbox getestet hast, dann lass mich doch in einem Kommentar wissen, wie es bei dir funktioniert hat. Dankeschön.

Unterwegs immer mit Strom versorgt
Anzeige
Powerbank 60W Ladeleistung für Laptop & Handy
20.000 mAh, USB-C und USB-A, Hohe Ladeleistung ermöglicht Laden von Notebooks
Perfekte Reiseladegerät - Hohe Ladeleistung, 3 Ausgänge
USB-C & USB-A, 65W Ladeleistung lädt Laptops & Handys, Power Delivery & Quick Charge

Beitrag Teilen:

Niko
Niko
Ich bin Niko, betreibe BitReporter und interessiere mich für jede Form von Technologie, die in unseren Alltag Einzug hält. Ich schreibe hier über Software und Hardware die ich verwende, sowie Probleme mit meiner Technik und Lösungen. Schließlich soll Technik nützlich sein und Spaß machen und nicht zusätzliche Arbeit verursachen.

12 Kommentare

  1. Ich habe heute auf meiner FB (V. 7.21) DNS over TLS aktiviert und bekomme auf dem Monitor angezeigt, dass DoT genutzt wird.
    Alles läuft bisher flüssig, doch die Testseite von Cloudflare zeigt mir unter „Using DNS over TLS (DoT)“ ein „No“ an. ?
    Nun vervollständige ich DoT mit DoH unter Windowos (https://www.zdnet.de/88379811/windows-10-so-aktiviert-man-dns-over-https/) und schaue mal, ob sich das beißt oder ob die Einstellungen miteinander harmonieren…

    • Die Testseite kann nur dann „Yes“ sagen, wenn Du den DoT Server von Cloudflare 1dot1dot1dot1.cloudflare-dns.com verwendest, denn ansonsten kann die das nicht merken.

  2. Ich hatte schon länger auf cloudflare umgestellt und sporadisch Probleme mit VPN Nutzung die plötzlich aussetzte, nach Eintrag 1dot1dot1dot1.cloudflare-dns.com scheint es nun besser zu laufen

  3. Dot und Quad9 funktionieren bei mir schon länger ohne jegliche Probleme, hoffe bei dir hat sich das mittlerweile auch geklärt? Vielleicht solltest du noch erwähnen, dass die Auflösungsnamen nicht aus einer „Google“ Suche kommen sollten sondern direkt vom Anbieter einzuholen sind, um auf Nummer sicher zu gehen.
    Ansonsten Top Artikel

  4. Kann das Verhalten der FritzBox bei aktiviertem DoT bestätigen. Nach einer gewissen Zeit geht die Namensauflösung nur noch EXTREM Zäh bzw. gar nicht mehr. Nach einem Neustart der FB geht wieder alles flüssig.
    Derzeitige Lösung: Lasse über einen Raspberry ein Script laufen, welches die FB alle 2-3 Tage neu starten lässt. Somit ist alles wieder gut, wenn auch das eher die Holzhammermethode ist.

  5. > Fallback auf unverschlüsselte Namensauflösung im Internet zulassen:
    >Für maximale Kompatibilität und Zuverlässigkeit sollte der Haken also entfernt werden. Für maximale Sicherheit sollte der Haken gesetzt werden.
    Ist es nicht genau andersrum?

    > Probleme mit DoT und der FritzBox
    Kann ich bestätigen. (FB 6660 Cable immer mit aktuelle Labor-Firmware getestet)

  6. Hi Niko,
    Egal was ich tue habe beim Test Ergebnis immer DoH Yes DoT No?
    Benutze Fritz Cabel Box 6951, 7.29 software
    FB Online Monitor sagt:
    1.1.1.1 (DoT verschlüsselt)
    1.0.0.1 (aktuell genutzt für Standardanfragen – DoT verschlüsselt)
    Cloudflare Test sagt: DoT No? Benutze aber auch ihre server?
    Irgendwelche Idee? Danke voraus!

Hinterlasse einen Kommentar

Bitte geben Sie Ihren Kommentar ein!
Die Angabe von Name oder Webseite ist optional. Weitere Informationen: siehe Datenschutzerklärung

Bitte geben Sie hier Ihren Namen ein