Ich schreibe das mal hier und hoffe, das passt.
Falls wichtig, ich nutze Linux (Artix)
Noch etwas vorweg. Viele der empfohlenen DNS-Server kommen für mich nicht in Frage. Die nutzen als Provider z.B. Cloudflare, google und amazon. Geht für mich gar nicht.
Trotzdem Verständnisfragen.
Man kann DNS-Server in der resolv.conf eintragen, in der Fritzbox und zusätzlich auch in Firefox unter Einstellungen > Datenschutz & Sicherheit > DNS über HTTPS.
Z. B. https://dnsforge.de/dns-query
Was ich nicht verstehe.
DoH geht nur über den Browser?
Priorität hat anscheinend der Eintrag in der resolv.conf?
Ändere ich die IP von bevorzugte und alternative in der resolv.conf, hat das keinen Einfluss auf die Fritzbox. Da bleiben die alten Einträge stehen.
Sollten beide Server ausfallen, wird als Fallback die des Providers über das Gateway (Router IP) genommen?
In der Fritzbox habe ich angekreuzt:
Bei DNS-Störungen auf öffentliche DNS-Server zurückgreifen
Bei Störungen der DNS-Server zieht die FRITZ!Box öffentlich verfügbare DNS-Server zur Namensauflösung heran.
Welche sind das? Der meines Providers?
Ist in der Fritzbox "Aktivieren Sie die Option „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“. sinnvoll?
Trage ich dort dann z. B. das https://dnsforge.de/dns-query ein?
Sind das dann diese DoH?
Aber TLS ist ja auch eine Tranportverschlüsselung.
Ach ist das alles kompliziert
Nein, du kannst DoH auch systemweit nutzen. Dafür musst du aber höchstwahrscheinlich einen anderen DNS-Resolver (Stub-Resolver) installieren, z. B. DNS-over-HTTPS.
Die resolv.conf legt den zu verwendenden Nameserver nur auf deinem Rechner fest. Die Fritzbox bleibt davon unberührt. Je nachdem ob du Dienste wie den NetworkManager am Laufen hast, solltest du die resolv.conf nicht direkt bearbeiten.
Nein, sofern dein Programm die Systemroutinen zur DNS-Auflösung nutzt.
Wird jedoch deine resolv.conf von einem Dienst wie dem NetworkManager verwaltet, kann in die resolv.conf der per DHCP mitgeteilte DNS-Server eingetragen werden (die von dir verlinkte Fritzbox-Seite nennt es „lokaler DNS-Server“; standardmäßig ist es die Fritzbox selbst).
DNS over TLS (kurz DoT) ist ein weiteres Protokoll für verschlüsselte DNS-Abfragen, das auf Port 853 läuft. Wenn du eine verschlüsselte Namensauflösung für alle Geräte in deinem Heimnetz, die die Fritzbox als DNS-Server nutzen, haben möchtest, dann ist das schon sinnvoll. Du musst es dann nicht für jedes Gerät einzeln einrichten.
Nein, die Fritzbox kann kein DNS over HTTPS. In der Empfehlungsecke gibt es einige Vorschläge für DoT-Server.
Richtig, HTTPS nutzt zur Verschlüsselung des HTTP-Protokolls auch das TLS-Protokoll. Jedoch läuft DoH (wie HTTPS) auf Port 443 und ist damit nicht ohne Weiteres vom Aufruf eine HTTPS-Seite zu unterscheiden. Im Gegensatz dazu nutzt DoT das TLS-Protokoll direkt und läuft auf Port 853.
Es gibt hier im Forum auch ein Tutorial zur Fritzbox-Konfiguration.
