DNS over TLS (DoT) wordt inmiddels ondersteund door KPN

Hi ​@Ronaldo1965, 

Allereerst goed om te lezen dat dit werkt. Ik wil je ook graag bedanken voor de genomen moeite om dat op onze community te laten weten, hier kunnen andere users veel aan hebben. :) 

Goed om dit te lezen helaas heb je voor TLS DOT in de Fritzbox de FQN nodig en heb ik niets aan de IP adressen…

FRITZBOX tekst:

Voer hier de resolutienaam (Resolve Name, Fully Qualified Domain Name) van uw gewenste DNS-server in.

ip adressen lukt niet uiteraard.

Heeft KPN die inmiddels uitgegeven voor die zonder filtering en eventueel met malware , adult maak ik graag zelf uit.

Wat is de toegevoegde waarde van DoT op de verbinding tussen mijn modem en KPN? 

Geen..

Geen is niet waar. Al is het tussen KPN en Thuis beperkt. Het beschermt je tegen DNS manupulatie door hackers. Op deze manier kunnen ze je laten denken dat je bv met een bank inlog maar op de simuleerde website van de  hacker terecht te komen. Vooral bij free hotspots is dit een probleem.  ook een vpn alleen gaat je daar niet tegen beschermen. Plus levert het je meer dns privacy op.

En hoe kunnen hackers zich tussen jouw router en de DNS server van KPN nestelen wetende dat de communicatie het "besloten" gedeelte van KPN niet verlaat?

Mijns inziens zou dat onmogelijk moeten zijn tenzij

1) Jouw eigen router gehacked is.

2) Een node van KPN gehacked is.

Beide moeten natuurlijk sowieso voorkomen worden en hebben ook vrij weinig met DNS verzoeken ansich te maken.

Maar bij het gebruik van een free hotspot gebruik je de DNS servers die jou door die hotspot aangeboden worden en niet de DNS servers van KPN. De DNS servers van KPN zijn ook helemaal niet te bereiken buiten het netwerk van KPN.

Waar levert het je meer privacy op?

KPN kan nog steeds precies zien welke DNS verzoeken je doet, dus daar verandert niets.

Bij gebruik van encrypted DNS (DoT en DoH) verlaten de aanvragen al versleuteld klanten thuisadres, KPN weet welke DNS server je gebruik, maar niet welke DNS requests je doet. Als je b.v. in Fritzbox DoT activeer, weet geen provider wat voor websites je bezoek. Als alle apparaten de Fritzbox als DNS server gebruik, worden alle DNS aanvragen versleuteld.

How to keep your ISP’s nose out of your browser history with encrypted DNS

Natuurlijk weet KPN dat wel immers het DNS verzoek komt op hun eigen DNS servers aan en wordt daar decrypted. Als je bijvoorbeeld de DNS servers van Cloudflare zou gebruiken dan zou je verhaal opgaan maar het gaat er in dit topic juist om dat de DNS servers van KPN zelf DoT ondersteunen.

Als je een andere DNS server gebruikt, dan klopt dat ja. Dan kan KPN niets zien. Maar als je de DNS server van KPN zelf gebruikt, dat kan KPN natuurlijk wel alles zien.

Weet iemand de resolutienamen voor de DoT servers van KPN?

Die heb ik nodig om in de Fritz!Box te zetten.

Voor de gewone DNS servers van KPN kan je het domein dot.kpn.com gebruiken.

Voor de anti-malware DNS servers van KPN kan je het domein veilig.dot.kpn.com gebruiken.

Ook dit was weer zo'n geheimpje van KPN. Deze domeinen lijken nergens op het Internet te vinden te zijn.

Ik ben erachter gekomen door in de app Ping & Net reverse DNS verzoeken te sturen voor het IPv4 adres van één van de DNS servers van KPN. Bij de gewone DNS servers kwam zo dot.kpn.com naar boven en een DNS verzoek naar dat domein gaf direct zowel de IPv4 als IPv6 adressen van beide DNS server. Bij de anti-malware DNS servers lag dat anders, daar vond ik veilig.dot.kpn.com pas na een reverse DNS verzoek naar één van de IPv6 adressen.

De volgende openbare informatie heb ik opgehaald via

https://www.sidn.nl/whois?q=Kpn.com

KPN Fully Qualified Domain Name

https://ns11.kpn.net
https://ns1.kpn.net

waarbij 

 https://ns11.kpn.net

nog steeds lijkt te werken...

​@wjb  klopt hett dat dit een werkende FQDN is van KPN?

Dat lijkt een DNS server van KPN maar ik weet niet of deze DoT ondersteunt en of dit al dan niet een anti-malware DNS server is.

Persoonlijk zou ik me echt richten op die (veilig.)dot.kpn.com FQDN's.

Het is me niet helder welke FQDN ik nu het beste zou kunnen gebruiken...

@wjb zijn dit de twee  'beste' FQDN 's om te gebruiken?

AAAA 2a02:a47f:ac::210

AAAA 2a02:a47f:ac::212

=============================

DNS records for veilig.dot.kpn.com

DNS server: 192.168.2.254, port 53, UDP

veilig.dot.kpn.com

TTL=2513

A 195.121.97.203

(not authoritative)

veilig.dot.kpn.com.

TTL=2513

A 195.121.97.202

(not authoritative)

veilig.dot.kpn.com.

TTL=749

AAAA 2a02:a47f:ac::210

(not authoritative)

veilig.dot.kpn.com.

TTL=749

AAAA 2a02:a47f:ac::212

(not authoritative)

Mijns inziens kan je het beste de anti-malware DNS servers gebruiken en als je de DoT DNS servers van KPN wilt gebruiken dan is dat dus de veilig.dot.kpn.com.

Ok, dank voor je antwoord.

Heeft iemand DoT al succesvol getest bij KPN?

xxx@blabla:~$ dnslookup nu.nl tls://dot.kpn.com
dnslookup 1.11.1-11969
2025/03/18 10:11:59 [fatal] Cannot make the DNS request: getting conn to tls://dot.kpn.com:853: connecting to dot.kpn.com: dial tcp 195.121.1.34:853: i/o timeout
dial tcp 195.121.1.66:853: i/o timeout
dial tcp [2a02:a47f:e000::53]:853: connect: network is unreachable
dial tcp [2a02:a47f:e000::54]:853: connect: network is unreachable
xxx@blabla:~$ dnslookup nu.nl tls://veilig.dot.kpn.com
dnslookup 1.11.1-11969
2025/03/18 10:13:16 [fatal] Cannot make the DNS request: getting conn to tls://veilig.dot.kpn.com:853: connecting to veilig.dot.kpn.com: dial tcp 195.121.97.202:853: i/o timeout
dial tcp 195.121.97.203:853: i/o timeout
dial tcp [2a02:a47f:ac::210]:853: connect: network is unreachable
dial tcp [2a02:a47f:ac::212]:853: connect: network is unreachable

Reageert wel op poort 53 (DNS)

xxx@blabla:~$ dnslookup nu.nl dot.kpn.com
dnslookup 1.11.1-11969
Server: dot.kpn.com

dnslookup result (elapsed 79.755539ms):
;; opcode: QUERY, status: NOERROR, id: 14577
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;nu.nl. IN       A

;; ANSWER SECTION:
nu.nl.  12      IN      A       2.16.6.16
nu.nl.  12      IN      A       2.16.6.10

xxx@blabla:~$ dnslookup nu.nl veilig.dot.kpn.com
dnslookup 1.11.1-11969
Server: veilig.dot.kpn.com

dnslookup result (elapsed 65.039154ms):
;; opcode: QUERY, status: NOERROR, id: 13005
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;nu.nl. IN       A

;; ANSWER SECTION:
nu.nl.  20      IN      A       2.16.6.10
nu.nl.  20      IN      A       2.16.6.16

​@Aarnoud, kun jij de port (853 voor DoT normaliter) instellen in jouw FritzBox?

Ik zie geen optie om naast het ip-adres (v4 en v6) ook de port te specificeren.

Dat is niet mogelijk.

Als je dat probeert komt er een foutmelding:

De instructies van de FritzBox geven dat ook aan. 

Hierdoor weet ik niet zeker of het werkt en heb ik de fallback-optie aan staan.

Dank je wel.

Ik had KPN aan de lijn afgelopen week omdat ik niet in mijn router (KPN Box 10) kon aangeven dat DoT gebruikt moet worden. Aldus KPN bieden zij deze service in geen enkele router. Uit jij screenshots begrijp ik dat ze dit wel doen. Vreemd.

Kun je niet met `dig +tls [op_te_zoeken_FQDN]` testen of je modem DoT gebruikt? 

Het klopt dat KPN DoT-instellingen op hun eigen routers niet aanbiedt. De Fritz.Box is niet van hen.

In een Fritz!Box geeft de Online Monitor aan welke DNS-servers gebruikt worden.

Als test een lijstje ingevuld voor de DoT-servers: de bovenste 2 van kpn en de rest is openbaar.

Daar komt het volgende resultaat uit:

De DoT-servers worden in volgorde afgewerkt en de kpn-servers (de bovenste 4) blijken niet te werken. Dit komt dus door de afwijkende poort 53 i.p.v. de standaardpoort 853. Die kun je niet instellen in routers van kpn, maar ook niet in de Fritz!Box.

De afwijkende poort die kpn gebruikt is niet conform de officiële DoT-standaard (RFC 7858). Daarom kunnen we m.i. dus zeggen dat kpn DoT niet (goed) ondersteunt. Niet met hun eigen routers, maar ook niet met de Fritz!Box die ook door hen wordt ondersteund. 

AI vertelt me dat er wel alternatieven zijn waar de poort wel kan worden aangepast. Dat zijn o.a. OpenWRT gebruiken, pfSense / OPNsense, Ubiquiti EdgeRouter / UniFi Dream Machine (met tweaks) en sommige TP-Link routers (AX-serie met recente firmware waarop je uit een lijst met servers met aangepaste poorten kunt kiezen). Dit zijn geen goede/handige alternatieven voor consumentengebruik.

Mijn vraag is nu:

Zijn de kpn DNS servers zonder DoT veiliger om te gebruiken dan de openbare DoT-servers?

Ja. Als je DNS servers van KPN gebruikt loopt de verbinding niet over heel internet. Jouw Fritzbox heeft namelijk een rechtstreekse verbinding met KPN. Daar zit niets en niemand tussen. 

Ah, dank. ​@Aarnoud. Omdat KPN hier wel de FritzBox noemt en daar staat 'alle handleidingen van KPN apparatuur’, ging ik er vanuit dat KPN deze ook leverden.

​@Marlon92, m.i. kun je niet beweren dat er 'niets en niemand tussen’ zit. Man-in-the-middle attacks zijn ook hier mogelijk.

Welke man zit in het midden tussen jouw IP adres en KPN DNS server? De mannen in wijkstation, POP en regionale uplinks zijn allemaal van KPN en weten sowieso welke adressen je wil bezoeken, je gebruikt immers de KPN DNS servers.