DNS over TLS auf der Fritz!Box aktivieren

Autor : Gerd Raudenbusch
Stand : 12.09.2024

Warum brauche ich das ?

Internetfähige Geräte brauchen nunmal immer IP-Adressen und keine Domainnamen zur Kommunikation.

Am DNS-Verkehr, der für die Übersetzung von den menschenlesbaren Domainnamen (wie z. B. „www.metager.de“) in IP-Adressen notwendig ist, gibt es grundsätzlich zwei Dinge zu bemängeln :

• Die DNS-Anfragen gehen an den eigenen Internet-Provider, der womöglich auch zensiert; das ist eine vielleicht praktische, aber völlig unnötige Konzentration von Information und Macht
• Der reguläre DNS-Verkehr ist historisch bedingt unverschlüsselt, also nicht fälschungssicher, was ein großes Sicherheitsrisiko darstellt
• Denn : Wenn für „sparkasse.de“ statt der echten IP die IP eines Angreifers empfangen wird, wird HTTPS (Das „Schloss“ im Browser) leider weiterhin ohne Probleme funktionieren

Wer nichts macht, bei dem ist das in der Regel IMMER so !

Lösung :

• Um der Zeit standzuhalten, gibt es DNS natürlich inzwischen auch komplett verschlüsselt. Die verbreitetsten Protokolle sind DNS over TLS (DoT) und DNS over HTTPS (DoH)
• Es gibt viele, auch große Anbieter von völlig kostenlosen DNS-Servern, die neben mehr Privatsphäre durch Verzicht auf Logging auch noch schneller als der eigene Provider sein können. Dabei gibt es auch welche, die grundsätzlich nichts davon halten, Domains zu sperren oder auch welche, die genau dies als zusätzliches Sicherheitsmerkmal anbieten (muß man nach Bedarf auswählen)

Bereits seit FRITZ!OS 07.20 können Fritzbox Router mit DoT-fähigen DNS-Servern sprechen, aber erst seit FRITZ!OS 07.25 läuft das endlich stabil.

Kurzum: Es ist eine gute Angelegenheit, die nur wenige Handgriffe in den Router-Einstellungen benötigt!

Wie funktioniert es in der Praxis ?

Man kann der Fritzbox sagen, an welchen DNS-Server (an welche IP-Adresse) sie die ausgehenden DNS-Anfragen aus dem Heimnetz hinschicken soll.

• Grundsätzlich verwendet DNS immer ein IP-Pärchen; die zweite IP wird verwendet, wenn die erste nicht funktioniert. Da es im Privathaushalt aktuell praktisch keine Endgeräte gibt, die IPv6 zwingend benötigen, brauchen IPv6-Adressen erstmal keine Beachtung.
• Gesichertes DNS braucht darüberhinaus noch einen Domainnamen zur Validierung des empfangenen TLS-Zertifikats, mit welchem sich der DNS-Server beim Heimrouter ausweist

(Hinweis: In Ländern, die Zensur betreiben, kann der notwendige Port 853 gesperrt sein)

Was muss ich machen ?

Anmelden an der Fritzbox

Vorausgesetzt, man hat dies nicht explizit umgestellt, kann man die Fritzbox aus dem Browser eines beliebigen, mit ihr verbundenen Geräts folgendermaßen erreichen :

• Entweder über den Domainnamen http://fritz.box

• Oder über die Standard-IP http://192.168.178.1

• Oder über die Notfall-IP http://169.254.1.1

• Wer das Fritzbox-Passwort nicht kennt, kann es auf der Unterseite der Fritzbox finden (und sollte es auch bei nächster Gelegenheit umgehend ändern)

  

• Bei Problemen: AVM beschreibt den Anmeldevorgang auf seiner Seite Benutzeroberflache-der-FRITZ-Box-aufrufen

• Wenn man mehrere Fritzboxen im Haus betreibt, muss natürlich diejenige angesprochen werden, die als Ausgangsrouter zum Internet fungiert

Aktuelle Software-Version der Fritz!Box prüfen

Zunächst muß sichergestellt werden, daß mindestens FRITZ!OS 07.25 läuft. Die aktuelle Version wird direkt auf der ersten Übersichtsseite nach der Anmeldung an der Fritzbox angezeigt. Normalerweise aktualisiert sich die Fritzbox regelmäßig selbst, man kann dies aber auch über den Menüpunkt System -> Update -> Neues Fritz!OS suchen anstoßen.

Auf seiner Webseite im Netz stellt AVM eine Einsicht in die Versionshistorie von Fritz!OS zur Verfügung (Dort einfach Fritzbox + Modell wählen und dann auf den Link „Weitere Informationen zu diesem Update“ klicken, um nachzuvollziehen, wann welche Funktionen zugefügt oder verbessert wurden)

Vornehmen der Einstellungen (Beispiel für Cloudflare)

Die DNS-Einstellungen macht man dann auf der Fritz!Box unter dem Menüpunkt :

Internet -> Zugangsart -> DNS

---

[x] Andere DNSv4-Server verwenden

• Bevorzugter DNSv4-Server : 1.1.1.1
• Alternativer DNSv4-Server : 1.0.0.1
• Bevorzugter DNSv6-Server : 2606:4700:4700:1111
• Alternativer DNSv6-Server : 2606:4700:4700:1001

[x] Verschlüsselte Namensauflösung im Internet (DNS over TLS)
[x] Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen
[ ] Fallback auf unverschlüsselte Namensauflösung im Internet zulassen

Auflösungsnamen der DNS-Server : 1dot1dot1dot1.cloudflare-dns.com

---

Wenn man das letzte Häkchen (bezüglich Fallback) setzt, würde bei Verbindungsproblemen automatisch auf eine unverschlüsselte Verbindung zurückgewechselt werden. Das mag Sinn machen, wenn ein unterbrechungsfreier Betrieb des Internets von hoher Bedeutung ist (in einem Unternehmen). Für den Privatgebrauch würde es aber bedeuten, dass man nie sicher sein kann, ob die DNS-Verbindung gerade geschützt ist oder nicht. Daher sollte man den Haken nicht setzen.

Verschiedene DoT Server

Ad-Blocker

Mullvad
IPv4: 194.242.2.2
IPv6: 2a07:e340::2
Hostname: doh.mullvad.net

oder

IPv4: 194.242.2.3
IPv6: 2a07:e340::3
Hostname: adblock.doh.mullvad.net
Test : https://mullvad.net/check

nextdns.io (mit anonymer Registrierung) 45.90.28.114 / 45.90.30.114
2a07:a8c0::29:1c58 / 2a07:a8c1::29:1c58
[gerätename.]<userid>.dns.nextdns.io

Das Privacy-Handbuch hat viele Vorschläge für DNS-Server zu bieten. Wer lieber einen der großen Anbieter wählen möchte, diese sind :

Freifunk München
IPv4: 5.1.66.255 / 185.150.99.255
IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::
Hostname: dot.ffmuc.net

Digitale Gesellschaft
IPv4: 185.95.218.42 / 185.95.218.43
IPv6: 2a05:fc84::42 : 2a05:fc84::43
Hostname : dns.digitale-gesellschaft.ch

Nicht so toll, aber besser als nix :

Cloudflare
IPv4: 1.1.1.1 und 1.0.0.1
IPv6: 2606:4700:4700::1111 und 2606:4700:4700::1001
Hostname: 1dot1dot1dot1.cloudflare-dns.com

Ob es wirklich funktioniert, zeigt ein Besuch dieser Cloudflare-Seite nach der Einrichtung : https://1.1.1.1/help

Google
IPv4: 8.8.8.8 und 8.8.4.4
IPv6: 2001:4860:4860::8888 und 2001:4860:4860::8844
Hostname: dns.google

Quad9
IPv4: 9.9.9.9 und 149.112.112.112
IPv6: 2620:fe::fe und 2620:fe::9
Hostname: dns.quad9.net

Adblock IPv4: 9.9.9.11 / 149.112.112.11
IPv6: 2620:fe::11 / 2620:fe::fe:11
dns11.quad9.net

---

Quellen und weiterführende Links

• Beschreibung von tutonaut mit Bildern
• DNS-Konfigurationen für iOS

---

Zurück zur Hauptseite