in der FritzBox kann ja DoT aktivert werden um das Internet abzuschirmen um es mal sehr salopp zu formulieren.
Ist dieser Schritt zwingend notwendig?
In Win 11 kann die Internetverbindung auch DNS-Server (z.b. Adguard) mit DoH eingerichtet werden. Klar das ist dann eine lokale Einrichtung und nicht wie bei der DoT auf der Fritbox global für alle Geräte.
Nur frage ich mich, was vom Sicherheitskonzept sinnvoller ist. Win 11 mit DoH oder FritzBox mit DoT.
Denn nach meinen begrenzten Verständnis ist ja DoH sinnvoller bzgl. Datenschutz und Sicherheit da die Verbindungen verborgen werden und dadurch vor Man in the Middle Angriffen geschützt werden.
Man kann es auf beiden gleichzeitig aktivieren.
Ich glaube da hast du etwas falsch verstanden. DoT schützt vor Manipulation und Ausspähen der DNS-Anfragen auf dem Weg zum DNS-Server. Wobei letzteres nur begrenzt funktioniert, da immer noch über das Client Hello die Domainnamen auf dem Weg ausspioniert werden können, zudem die IP-Adressen. Es macht Sinn es zu aktivieren, wenn man kein VPN verwendet. Aber der deutlich bessere Weg wäre direkt ein VPN zu verwenden und einfach deren DNS zu verwenden, damit auch das IP- und Client Hello-Problem gelöst ist.
Danke für deine Antwort.
Ich habe es richtig verstanden?
Es ist sinnvoll auf der Fritzbox das DoT zu aktivieren und bei Win 11 das DoH?
Arbeiten diese beiden DNS-Arten nicht gegeneinander?
Interessantes Thema hier … danke allen 
Da ich seid „gefühlten“ 20+ Jahren Fritten verwende und mindestens 5-x mal ne Fritte erneuert habe, gehe ich da etwas anders vor 
neuerdings auch bez. DOT/DOH:
-
Ich bin 1&1-Kunde, aber egal, bei Telekom läuft das wohl ähnlich, ne neue Fritte richte ich immer per Start-Code des Providers ein. Da hab ich zumindest den Internetzugang + ALLE Telefonnummern drin, die ich sonst manuell einhacken müßte … geht eben für mich schneller.
-
Dann erst klaue ich dem Provider als Erstes in den Einstellungen das Setup.
Automatische Einrichtung durch den Internetanbieter zulassen → deaktivieren -
so und nun zu den Anpassungen … ich habe IPv6 eben aktiv, DNS per dnsforge mit AD-Blocker, damit auch IOT-Geräte wie Kameras nicht ungehindert im Internet „pömpeln“ können
-
Dann noch ein paar Filter in der Fritte, damit TV, Kameras überhaupt NICHT ins Internet gehen … ok, is halt schwierig mit Updates, muß man eben selber machen per USB oder wie auch immer.
-
und noch auf meiner (noch)aktuellen Fritte 7590 Wireguard-VPN+ Tailscale (Raspberrymatic) eingerichtet + mobile Geräte angeschlossen. Die surfen jetz im Mobilnetz über meine Fritte.
@mpt : wenn Du bei Win11 das DOH aktivierst in den Netzwerkeinstellungen, dann nutzt das Win11 auch, egal was du in der Fritte eingestellt hast. Geräteeinstellungen gehen VOR. Du kannst auch im Browser (Chrome, Firefox, Brave u.a.) ggf. DNS-Einstellungen vornehmen. Die werden dann genutzt, egal, was du in Win11/Fritte eingestellt hast.
@Chief : ja, ich stimme Dir (bedingt) zu. es is halt IMHO eine Frage, was man persönlich braucht/will:
- DOH/DOT is EIN Baustein, um DNS-Abfragen sicherer zu gestalten, zumal Anbieter wie z.B. dnsforge oder adguard auch noch Werbung / Tracker filtern
- VPN is mMn. dann die Kür. Ja, da kann mann die IP-Adresse verschleiern, schützt jedoch nicht z.B. vor „Fingerprinting“ … die finden Dich trotzdem …
- und noch der Tor-Browser … wer will das von uns „Normalos“?
Meine Strategie is aktuell : weniger is mehr … ich nutze auf der Fritte eben DOT für Geräte, die ich nicht kontrollieren kann, auf mobilen Geräten WireGuard/Tailscale, auf meinen Laptops (MacBookAir) das gleiche eingerichtet, aber inaktiv = optional
„hope it helps“ 
DoT/DoH hat nur wenig positive Effekte. Dadurch, dass sich Encrypted Client Hello bisher nicht durchgesetzt, ist der Datenschutz nicht wirklich besser als unverschlüsselt.
Und der Schutz gegen Manipulation der Domainanfragen auf dem Transportweg ist normalerweise auch unnötig, da die Client-Apps sowieso TLS separat checken müssen (z.B. https im Browser). Wenn der Client es checkt, führt eine Manipulation der DNS-Antwort nur zu einem DOS, mehr nicht.
Tracker/Werbung-Filterung ist wesentlich effektiver und flexibler, wenn es lokal stattfindet, statt generische laxe Listen auf einem DNS-Server die nicht zu viel blocken dürfen. Lokal kann man striktere Blocklisten verwenden und schnell korrigieren, wenn zu viel geblockt wird.
Von daher sehe ich DoT und DoH als optional an, aber ein VPN bringt echte Datenschutzvorteile.
das möchte ich so pauschal nicht stehen lassen. Was Tracking durch den ISP angeht - ja, der kann auch anders. Aber DNS via DoT oder DoH ist gegen Manipulationen durch den ISP definitiv besser geschützt als unverschlüsseltes DNS.
Bis auf „denial of service“ als Folge kaum noch relevant, da heutzutage (nahezu) alle Apps über TLS abgesichert kommunizieren und somit bösartige Manipulation scheitern würde. Vereinzelt gibt es noch Anwendungen wo es wichtig ist, aber das ist inzwischen selten.
Dafür dass Deine Mailkommunikation nicht mitgelesen wird reicht es.
Wenn Du DNS filtern (keine oder weniger Tracker etc.) oder das Gegenteil unzensiert willst, dann willst Du sicher gehen, dass der richtige DNS-Server verwendet wird, und das geht nur mit DoX.
1 „Gefällt mir“
oh + Danke für den Hinweis 
Das wusste ich noch gar nicht, dass anscheinend bei DOH/DOT noch ein unverschlüsseltes “Hello” stattfindet. Ich lerne ja auch gerne von Euch grad dazu 
. Wenn dem so sein sollte, stimme ich definitiv zu, dass ein VPN “mehr positive Effekte” hat. Aber mit VPN geht DNS dann meist über den VPN provider ? VPN auf der Fritte für ALLE Heimnetz-Geräte … geht das ?
Muss ich mir wohl noch genauer ansehen …
jep, ich möchte DNS filtern deswegen, daher nutze ich dnsforge u.a. eben wegen Werbung, Tracker, unzensiert etc.
Für mich zählt primär Aufwand vs Nutzen. und ich muss es auch meiner IT-unbedarften Frau vermitteln können = WAF
Insofern ist DOH/DOT MIT entsprechenden Filtern für uns grad wichtig und simple zu aktivieren. Über externes VPN (Proton, Surfshark, Mullvad u.a) denken wir noch nach, ja hat was, jedoch nutzen wir wie gesagt bereits Tailscale/Wireguard VPNs für unser Heimnetz und auf mobilen Geräten gilt mWn. das “Highländer-Prinzip” : es kann nur EIN VPN geben 
… 2Bchecked …
ich werf hier noch ein paar aktuelle Erkenntnisse ein: Browser verwenden gerne ihre eigenen Einstellungen oder Interpretationen. Ich hab inzwischen teilweise die Windows-Firewall darauf getrimmt, dass Port 53 und 853 generell und 443 für Adressen wie 1.1.1.1 oder 8.8.8.8 blockiert, so dass wirklich mein interner DoH-Server verwendet werden muss. Nur einen DoH-Server eintragen reicht leider nicht aus.