DNS-Leak vorbeugen - FritzBox, Windows, VPN, Firefox

clooney · 06.01.2023, 18:48

Hallo Gemeinde,

Ich habe in meiner FritzBox 7530 AX einen eigenen DNS-Server benannt (Digitale Gesellschaft). Diesen hatte ich vorher über Windows-Netzwerk zugewiesen, dort nun aber herausgenommen, weil ich von der Flaschenhalstheorie ausgehe, dass also die Fritzbox für meinen gesamten Online-Zugang als Gatekeeper fungiert.

1. Ist meine Theorie richtig?

2. Ich habe mit gefährlichem Halbwissen irgendetwas zu DNS-Fallback im Hinterkopf. Wenn ich also zusätzlich eine unabhängige DNS-Alternative einpflegen möchte, wo mache ich das? Mein VPN (Cyberghost - bitte keine VPN-Diskussionen!) bietet eigene DNS-Server um Sperren zu umgehen. Das wäre die technisch einfachste Absicherung, aber a) wäre mir ein unabhängiger Anbieter lieber und b) würde dieser Fallback ja nur bei aktiviertem VPN greifen.

3. Ebenfalls in die Rubrik "Irgendwo gelesen" fällt die Aussage, dass die Telekom (mein ISP) den Port 53 blockiert. Ist das so und wenn ja, wie kann ich das kontrollieren (Wireshark o. ä. Tools)?

Grüße vom Clooney

duda · 06.01.2023, 19:50

Zitat von: clooney am 06.01.2023, 18:48Ich habe in meiner FritzBox 7530 AX einen eigenen DNS-Server benannt (Digitale Gesellschaft).

Wo genau hast du das wie definiert (DoT - DNS over TLS - Port 853)?

Die Standard-Einstellung der FRITZ!Box aktiviert dort automatisch besagte Fallback-Funktion, welche man (per Erweiterte Einstellungen) manuell deaktivieren muss, wenn diese Funktion nicht erwünscht ist. Was deine VPN-Tunnelung wie macht oder auch nicht macht, kann ich dir leider nicht sagen. Dass die DT den Port 53 blockieren soll, wäre mir jetzt neu. Die DNS-Server der DT müssen doch selber mit dem Port 53 ihrer anfragenden Clients kommunizieren, weil die DT weder Willens noch in der Lage ist, eine sichere DNS-Infrastruktur per DoT über Port 853 zu etablieren. (Port 53 ist "der unsichere Port", wo die DNS-Anfragen/-Antworten unverschlüsselt übertragen werden und sozusagen als "Postkarte" durchs Netz schwirren.)

Aber wie auch immer - DoT mit Port 853 nutzen (FB-7530 AX unterstützt DoT).

cane · 06.01.2023, 21:03

clooney: wenn du ein VPN verwendest, sind alle DNS Einstellungen irgendwo anders belanglos, dann wird der DNS Server des VPN Provider verwendet. Alles andere wäre ein DNS Leak - will man nicht haben.

Bei Browserleaks IP gibt es einen kleinen Button "Run DNS Leak Test", der dir zeigt, welche DNS Server aktuell verwendet werden.

Zur Rubrik "irgendwo gehört" das die DT den Port 53 blockiert: das stammt wahrscheinlich aus der Zeit, als das ZugErschwG von Ursula v.d.L. in Deutschland diskutiert wurde. Damals sollte eine Zensurinfrastruktur aufgebaut werden, die den Zugriff auf unerwünschte Seiten via DNS verhindern sollte. Die DT sollte Traffic auf Port 53 zu den eigenen, zensierten DNS Servern umleiten und die Nutzung alternativer Server unmöglich machen. Das ZugErschwG wurde aber nie umgesetzt und nach einem Jahr auf Druck der Zivilgesellschaft wieder kassiert.

clooney · 07.01.2023, 01:33

Zitat von: duda am 06.01.2023, 19:50Wo genau hast du das wie definiert

In der FritzBox-UI ->Internet->Zugangsdaten->DNS-Server
Von DoT war nicht die Rede, sprich: ist aktiviert.

Zitat von: cane am 06.01.2023, 21:03Button "Run DNS Leak Test"

Genau dieser zeigt mir - nach meinem schlichten Verständnis: richtigerweise - den von mir in der FritzBox definierten DNS-Server an, obwohl ich über Cyberghost im Netz bin.
Kann es sein, dass Cyberghost da eine eigene "Architektur" hat? Sie bieten mir im Dashboard eine Option "Eigenen DNS-Server nutzen" an, die ich aber nicht aktiviert habe. Wenn dem so wäre, ist meine Frage, ob ich diesen aktivieren sollte (für VPN-Betrieb) und außerhalb und als Fallback mein definierter FritzBox-DNS-Server anspringt?

Zitat von: cane am 06.01.2023, 21:03DT den Port 53 blockiert

Ok, danke! Man kommt ja bei dem politischen Hühnerhaufen insbesondere in Sachen CYBER!!1!! gar nicht mehr hinterher.

duda · 07.01.2023, 10:46

Zitat von: clooney am 07.01.2023, 01:33Sie bieten mir im Dashboard eine Option "Eigenen DNS-Server nutzen" an, ... Wenn dem so wäre, ist meine Frage, ob ich diesen aktivieren sollte (für VPN-Betrieb) und außerhalb und als Fallback mein definierter FritzBox-DNS-Server anspringt?

Das müsstest du direkt beim Anbieter erfragen.

Zitat von: clooney am 07.01.2023, 01:33Man kommt ja bei dem politischen Hühnerhaufen insbesondere in Sachen CYBER!!1!! gar nicht mehr hinterher.

Das stimmt.

cane · 07.01.2023, 12:30

Wenn du ein VPN nutzt, dann sieht die Fritzbox nur verschlüsselten VPN Datenverkehr (sollte zumindest so sein). Somit sind alle Einstellungen zum DNS in der Fritzbox belanglos.

Hast Du vielleicht einen DNS-over-HTTPS Server in Firefox konfiguriert? Der wird dann auch bei Nutzung eines VPN verwendet.

Die Option "eigenen DNS Server benutzen" im Dashbord von Cyberghost würde ich nicht nutzen. Entweder man hält den VPN Provider für seiös und kompetent (dann sollte man die DNS Server des VPN Providers nutzen) oder man sucht sich einen anderen VPN Provider.

clooney · 08.01.2023, 01:21

Zitat von: cane am 07.01.2023, 12:30Die Option "eigenen DNS Server benutzen" im Dashbord von Cyberghost würde ich nicht nutzen

Ich glaube, hier liegt ein Missverständnis vor. Mit "eigen" meinen die nicht einen individuell ausgesuchten, sondern "eigen" im Sinne von Cyberghost zugehörig. In diesem Zusammenhang hilft mir aber deine Aussage

Zitat von: cane am 07.01.2023, 12:30Entweder man hält den VPN Provider für seiös und kompetent (dann sollte man die DNS Server des VPN Providers nutzen)

Das Ursprungsproblem hat sich nach meinem Verständnis damit

Zitat von: cane am 07.01.2023, 12:30DNS-over-HTTPS Server in Firefox konfiguriert

erledigt. Genau das war der Fall und wurde jetzt deaktiviert.

Nun handhabe ich das so: Mit VPN nutze ich deren DNS-Server. Sollte VPN per Killswitch oder Nichtnutzung deaktiviert sein, greift der von mir definierte DNS in der Fritzbox.

Sollte dagegen was zu sagen sein, bitte ich um Aufklärung. Sonst vielen Dank allen Beteiligten - und latürnich dir, @cane.