Gelöst Unsicherheiten bei der DNS verschlüsselung (DoT) auf den Fritzbox 7490

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von ta-cos, 23. August 2021.

  1. ta-cos

    ta-cos Starter

    Registriert seit:
    23. August 2021
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Hallo, ich begrüße euch Alle, ich bin Neu.

    Weil Windows 10 noch keine DoH oder DoT bietet habe ich um die unverschlüsselte DNS Sicherheitslücke zu umgehen an meinem Rooter zwei alternative DNS Server eingetragen. Die Namen werden korrekt aufgelöst, die Verbindung bleibt stabil und beim DNS Leak Test wird die Einstellung bestätigt.

    Das Problem:

    Wenn ich im eigenen Netz mein Trafic per Wireshark mitschneide und die DNS Protokolle filtriere sehe ich nur Remote Verbindungen die über die unverschlüsselte Port 53 laufen. Es werden überhaupt keine Abfragen über Port 853 abgeschickt so wie es bei DoT sein sollte. Selbst wenn ich Firefox eigene DoH (nextDNS) Protokoll aktiviere wird die Abfrage erst über Port 53 abgeschickt um dann letztendlich die https übliche Verbindung über Port 443 herzustellen.

    Fehlersuche:

    Die Fallback auf unverschlüsselte Seiten zulassen deaktiviert und trotzdem kann ein DNS Server das ausschließlich DoT Verschlüsselung anbietet über den Port 53 scheinbar erreicht werden (?).

    Den Router auf die Werkseinstellungen zurück gesetzt. Läuft weiterhin auf der Version 7.28

    Das Problem an einem zweiten PC rekonstruiert, an einem dritten System virtualisiert, wo das Windows 10 Pro ganz clean mit updates ohne Antivirus und Firewall mit dem gleichen Ergebnis beobachtet. Die Systeme sind jeweils direkt mit dem Router verbunden.

    Meinem Provider diesbezüglich angerufen, die meinten dass Fritzbox 7490 dieses Problem schon länger hätte und das Fritzboxen ab 750 stabiler seien. Jedoch findet man kaum Einträge im Netz falls das ein weit verbreitetes Problem sein soll. Ein Anruf bei AVM ergab das denen solch ein Problem nicht bekannt sei.

    Meine Frage:
    Habt ihr schon mal das Problem bei der Analyse mit eurem FritzBox der ausgehenden Ports genauso beobachtet?
    Seid ihr sicher das eure Verbindung zum DNS Server mit einem Fritzbox (7490) gesichert wird?
    Oder hat der Provider Mitarbeiter recht und die FritzBox 7490 Nutzer müssen mit der DNS Lücke weiter leben obwohl man sinnlose Marketing-Aktualisierung mit Funktionen die das alte 7490 gar nicht unterstützt eingespielt bekommt?
     
  2. miwie

    miwie Stammgast

    Registriert seit:
    20. April 2019
    Beiträge:
    73
    Punkte für Erfolge:
    8
    Falls ich das problem richtig verstanden habe:
    Die Geräte im lokalen Netz erhalten von der FB per DHCP die FB-IP als DNS. Und die ist weiterhin unverschlüsselt. DoT funktioniert von der FB raus zum entfernten DNS.
     
    ta-cos hat sich bedankt.
  3. ta-cos

    ta-cos Starter

    Registriert seit:
    23. August 2021
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Ja, so würde ich das auch sehen. Source ist mein Rechner , Destination mein FB.
     
  4. ta-cos

    ta-cos Starter

    Registriert seit:
    23. August 2021
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Wars das schon?

    Ist denn hier sonnst niemand Betroffen? Oder kann jemand das Problem genauso rekonstruieren? Irgendwelche Tipps?
     
  5. scolopender

    scolopender Fachmann

    Registriert seit:
    30. Juni 2008
    Beiträge:
    230
    Punkte für Erfolge:
    18
    ... siehst Du die DNS-Daten in Deinem LAN, nicht die DNS-Daten, die die F!B im WAN austauscht - ggf. eben mit DoT.

    G., -#####o:
     
    ta-cos hat sich bedankt.
  6. JackTequila

    JackTequila Gelegenheits-User

    Registriert seit:
    16. März 2020
    Beiträge:
    17
    Punkte für Erfolge:
    3
    Bei mir läuft es einwandfrei über die Fritzbox. Nur das bei mir noch ein interner DNS-Server läuft, der bei externen Anfragen diese zur Fritzbox weiterleitet. Diverse Testseiten zeigen den von mir gewählten DoT verschlüsselten DNS-Server auf allen Geräten an.

    Kontrolliere doch mal den WAN-Datenverkehr mit der Fritzbox unter "FRITZ!Box Support" => "Paketmitschnitt". Der Zugang ist leider ein wenig versteckt: ÜBERSICHT => unten links auf INHALT klicken => unten links auf FRITZ!Box Support.

    Gruß Jack