Fritzbox DNS TLS (DoT) Konfiguration inkl. Datenschutz

Bitte unbedingt darauf achten, dass die Fritzbox mit mindestens Version 7.26 betrieben wird. Alles darunter hat leider eine ziemlich verkorkste DoT Implementierung an Bord, siehe.

Es ist seit einiger Zeit möglich, auf der Fritzbox verschlüsseltes DNS (DoT) zu aktivieren. Jeder der auf seine Privatsphäre wert legt und nebenbei auch die Sicherheit des heimischen Netzwerks erhöhen möchte sollte dies tun.

Die Auswahl der DNS Server spielt hierbei eine entscheidende Rolle, denn DNS ist nicht Ende zu Ende verschlüsselt sondern nur bis zum Resolver. Das heißt dass die Kommunikation des Resolvers mit den autoritativen DNS Servern weiterhin unverschlüsselt erfolgt. Daher habe ich mich bewusst gegen den Betrieb eines eigenen DNS Resolvers für den Traffic zuhause entschieden, denn der nachgelagerte autoritative DNS Traffic wäre wiederum 1zu1 zuordenbar (Mein Server = Ich) und nicht verschlüsselt.

Glücklicherweise gibt es einige öffentliche DNS Server die meine persönlichen Kriterien erfüllen:

  • Sitz und Server in Europa
  • Große Anzahl an Benutzern (Verwässerung)
  • Kein benutzerbezogenes Logging (z.B. IPs)
  • Kein Erstellen von Profilen oder Verkauf von Daten
  • Schnell
  • DNSSEC

Der Google DNS Service (der Daten speichert und auswertet) und viele andere scheiden somit aus.

Die folgenden Server sind empfehlenswert und entsprechen all diesen Kriterien. Quad9 ist hier eine Besonderheit, da es zum einen ein sehr großer DNS Provider ist und zum anderen Filterlisten zum Einsatz kommen (Anti- Malware und Pishing). Für mich persönlich ist beides allerdings eher ein Vorteil. Das global skalierte Netzwerk von Quad9 sorgt außerdem zum einen für hohe Ausfallsicherheit aber auch Performance. Wer keine Filterlisten möchte, der lässt diesen Server einfach weg.

AdresseAnbieterIPv6
dns.quad9.netQuad9 ZürichJa
dns3.digitalcourage.deVerein Digitalcourage BielefeldNein
dns.digitale-gesellschaft.chVerein Digitale Gesellschaft ZürichJa
dot.ffmuc.netFreifunk MünchenJa

Die Konfiguration ist sehr einfach vorzunehmen und sieht dann z.B. wie folgt aus. Da die DNS Server ohne Transportverschlüsselung nur während des Starts (z.B. um die IPs der DoT Server zu ermitteln) oder falls alle anderen Server ausfallen verwendet werden, können hierfür die Server des Internetanbieters verwendet werden.

Anschließend speichern und damit ist der Job auch schon erledigt. Man beachte dass hinter einer DoT Adresse mehr als nur eine einzelne IP Adresse stecken kann. Den aktuell verwendeten DNS Server zeigt die Fritzbox unter "Internet => Online-Monitor" an.

Da die Fritzbox bei jedem Neustart des DNS Services und nach jeder Performance-Messung auswürfelt welcher DoT Server verwendet wird, sollten nur Adressen hinterlegt werden die man auch dauerhaft verwenden möchte. Quad9 z.B. ist so hinreichend redundant, dass es ausreicht nur diesen Service einzutragen falls man auf das Sperrlisten-Feature nicht verzichten möchte. Falls es zum (unwahrscheinlichen) Ausfall beider Quad9 Anycast Adressen kommt, findet ein Fallback auf herkömmliches DNS ohne Verschlüsselung statt.

Falls es ab und an zu DNS Problemen kommt, kann man versuchen ob sich die Situation durch Deaktivieren der Zertifikatsprüfung verbessern lässt. Das ist zwar nicht sonderlich toll, aber ein Tipp des AVM Supports. Die DoT Implementierung der Fritzbox ist verglichen mit unbound nach wie vor nicht die beste.

Noch ein Hinweis an alle Firefox Benutzer. Damit das neue DNS Setup im Browser überhaupt zum Einsatz kommt muss sichergestellt sein dass DoH (DNS over HTTPS) deaktiviert ist. Falls es sich um einen Laptop handelt und man auch unterwegs verschlüsseltes DNS für den Browser verwenden möchte, kann man alternativ auch Quad9 im Firefox für DoH hinterlegen. Der Browser kümmert sich anschließend selbst um die Namensauflösung.

Schreibe einen Kommentar