DNS Verwirrung

Snowknight

Lt. Junior Grade
Registriert
Dez. 2011
Beiträge
456
Hallo zusammen,

ich bin gerade etwas verwirrt rund um das Thema DNS.

Ich habe in der Fritzbox einen anderen DNS eingerichtet. Sowohl für IPv4 und IPv6. TLS für DNS ist ebenfalls eingetragen. Die entsprechende Testseite bestätigt mir die Funktion. Aber auf nahezu allen DNS Test-Seiten tauchen andere DNS Server auf. Mittels CMD und ipconfig/all wird mir jedoch alles korrekt angezeigt.

Aber ich werde das Gefühl nicht los, dass letztendlich nur DNS Server in Deutschland angesteuert werden und nicht die eigentlichen Server. Eigentlich habe ich alle Hacken bei der Fritzbox so gesetzt, dass nur verschlüsselte DNS Abfragen ohne öffentlichen Fallback möglich sein sollten.

Ich gehe mal davon aus, dass ich was falsch gemacht habe.

Wäre schön, wenn mich jemand aufklären könnte ob das Verhalten normal ist.

VG
 
Zuletzt bearbeitet:
Hast du im Webbrowser mit dem du testet DNS over HTTP deaktiviert?

Welche Browser zeigen bei dir dieses Verhalten?
 
Firefox ESR. Das ist da tatsächlich aus. Aber wieso...Sollte die Fritzbox nicht den Ton angeben? Dann ist das doch vollends inkonsequent.
 
Die Tests sind doch totaler Quark. Bei mir werden sogar DNS-Server mit IPv6-Adressen aufgelistet, obwohl ich IPv4 only unterwegs bin^^. Und vpntester.org meint sogar, ich verwende 107 DNS-Server - bietet wer mehr? :P
 
  • Gefällt mir
Reaktionen: Snowknight
Ich hätte im Studium vlt. im ersten Semester besser aufpassen sollen...
Also TLS over DNS funktioniert nun im Firefox. Windows schafft das aber irgendwie nicht. Habe eben mal die die Seiten durchforstet.
 
Zuletzt bearbeitet:
Snowknight schrieb:
Also TLS over DNS funktioniert nun im Firefox.
Du meinst DNS over TLS (DoT)? In FF kannst du nur DoH einstellen. DoH und DoT sind verschiedene Verfahren, um DNS-Abfragen zu verschlüsseln. Deine FB benutzt z.B. DoT und nicht DoH.

Und der in Windows eingebaute DNS-Client kann weder DoT noch DoH. Solange deine Anwendungen keine eigenen DNS-Abfragen (wie eben z.B. der Firefox, wenn DoH aktiviert ist) machen, benutzen die den DNS-Client von Windows. Und der widerum schickt seine DNS-Anfragen an die in den IP-Adresseinstellungen des gerade aktiven Netzwerkadapter manuell oder per DHCP hinterlegten DNS-Server.

Und wenn da jetzt z.B. deine Fritzbox als DNS-Resolver hinterlegt ist, schickt der Windows DNS-Client die Anfrage unverschlüsselt über UDP-Port 53 an die FB. Wenn du da DoT korrekt eingestellt hast, dann leitet die FB die Anfrage widerum per DoT (über TCP-Port 853) verschlüsselt an die DNS-Resolver von Quad9 (falls es keine zeitgültige Antwort im DNS-Cache der FB gibt) und diese geben der FB dann wieder DoT verschlüsselt die Antwort zurück. Und die Antwort geht dann wieder unverschlüsselt über UDP-Port 53 an den Windows DNS-Client.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: BFF
Sehr gut beschrieben. Hier nur eine kleine Korrektur:

qiller schrieb:
Und der in Windows eingebaute DNS-Client kann weder DoT noch DoH.

Siehe Windows 11, mindestens seit Version 23H2:

1727907565095.png
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: qiller
Quad9-Systeme sind weltweit an mehr als 200 Standorten in über 90 Nationen verteilt, und du bekommst irgend einen zugewiesen.
 
Zurück
Oben