Hallo,
ich bin neu hier und sicherlich kein Experte, also bitte ich um etwas Rücksicht, wenn ich nicht so beschreibe, wie nötig.
Es geht mir um den Versuch, zuhause zum Thema DNS-Anfragen mehr Sicherheit herzustellen.
Dazu habe ich folgende Ziele (diese bitte nicht diskutieren):
a) ich möchte DNS-Resolver bewusst wählen, die ich gut finde
b) ich möchte eine Verschlüsselung der Daten haben (hier bevorzuge ich DoH, DoT geht auch)
Folgendes Szenario:
Router ist eine Fritzbox. PC mit Windows 10. Ein iPad am Start. Am PC Firefox.
Ursprünglicher irriger Glaube:
Ich mache eine Eintragung in der Fritzbox dazu und alles wird gut, denn aller Datenverkehr geht ja über die Box.
Tja. Ein kleiner DNS-Leaktest ezigt mir munter allerlei andere angesprochene DNS-Server.
Mittlerweile sehe ich folgende Stellräder:
In der Fritzbox habe ich unter Internet/Zugangsdaten/DNS-Server sowohl bei den DNSv4 als auch bei den DNSv6 Servern die Server meiner Wahl eingetragen.
Weiterhin habe ich dort DoT aktiviert mit dem Server meiner Wahl. Sogar ohne Fallback.
In den Windows-Netzwerkadaptereinstellungen habe ich die DNS-Server meiner Wahl eingetragen
In Firefox unter Einstellungen/Verbindungs-Einstellungen habe ich DNS über HTTPS akiviert und wieder den Server meines Vertrauens eingetragen.
So. Das ärgerliche ist nun, dass ich trotz all der vielen obigen Einstellungen einen Sack voller Cloudflare DNS Server mitanspreche (die ich gar nicht will), wenn ich unter https://www.grc.com/dns/dns.htm einen DNS-Spoofing Test mache. Die Masse der Anfragen geht zwar zu dem von mir gewünschten DNS, aber viele eben auch an andere.
Zwei Fragen:
F1) Wie bitteschön stehen eigentlich die Einstellungen in Firefox versus Windows versus Router in Beziehung? Warum reicht nicht die Einstellung im Router? Was sticht da wen?
F2) Hat jemand eine Idee, warum ich trotz aller drei Einstellungsebenen immer noch unerwünschte DNS-Server sehe?
zu 1. Wenn Du in FF DNS über HTTPS wählst, ist die Anfrage verschlüsselt - die Fritzbox kann da also gar nix mehr machen.
zu 2. kann ich nichts sagen, weil ich nicht weiß, was https://www.grc.com/dns/dns.htm eigentlich genau testet und wie. Auf den ersten Blick scheint sich die Seite mit einem ganz spezifischen anderen Problem zu befassen …
Was sagt denn z.B. https://www.dnsleaktest.com ?
Einige Denkansätze:
Möglicherweise gibt es auch andere Anwendungen, die ihr eigenes DNS festlegen und durchsetzen? Hast Du im Testzeitraum nur ein Gerät und nur Firefox benutzt?
Und keine Ahnung, was Windows jenseits der eigenen Einstellungen sonst noch so macht … Ich würde schritt für Schritt erstmal nur das Fritzbox-Setup unter Linux testen, aber ich hab ja auch kein Windows
Du stellst an drei Stationen in Reihe direkte Ziele ein.
Das heißt, in einer perfekten Welt sollten jeweils die Daten dieser Station und die nicht dieser Konfiguration gefolgten (vorbeigeleiteten) Adressdaten der vorigen Station dort angefragt werden.
Das Konzept von DNS ist eigentlich: jeder fragt den nächsten. Also:
Firefox fragt Windows, die fragt Fritzi, die fragt den eingestellten DNS.
Muss aber nicht so sein. Du hast es eben (warum auch immer) anders geregelt.
Sinnvoll finde ich immer, etwas dort zu regeln, wo es untergeordnet viele Konfigurationen erübrigt. Also:
Alle fragen die Fritzi als Gateway und nur dort ist der externe DNS konfiguriert.
Verstehst Du? Mit Deiner Einstellung überspringst Du quasi die Einstellung der Station davor, in der Reihe. Kann man machen, ist nur mehr Aufwand.
Wenn die getroffene DNS-Auswahl mal nicht funktioniert oder Du mit ihr unzufrieden bist, musst Du alle Stationen neu konfigurieren.
Ich konfiguriere nur die Fritzi.
Dein LAN ist ein abgegrenztes Netz und braucht eine Verwaltung. Das reicht eigentlich.
Aber Deine Lösung zeigt, was wo an der DNS-Konfiguration vorbeigeht und das scheint Dich ja zu interessieren. Je nachdem, wo Du mitschneidest, kriegst Du die „Fehlleitungen“ des Firefox, des Firefox und Windows oder die von Firefox, Windows und dem ganzen Rest des LANs.
Das ist dann die spannende Frage, wenn Du diese Daten sortiert und identifiziert hast.
Erst dann, kann man das weiter aufklären.
Sinnvoll wäre dafür aber, das LAN ohne dieses Windows und das Windows ohne den Firefox zu untersuchen.
Werden DNS Anfragen nicht ausschließlich über Port 53 geschickt? Ich habe in meiner Fritzbox eine neue Regel hinzugefügt wo alle Anfragen über den Port 53 zu meinem PiHole mit Unbound gehen. So kann sich nichts dran vorbei mogeln und alles wird wie gewollt gefiltert und blockiert.
Die Idee bzw. Anleitung habe ich aus dem PiHole Forum von einem User.
