Intussen zijn we drie jaar verder. Maar DoT wordt wel degelijk ondersteund door KPN.
In unbound op Linux gebruik ik:
# KPN
forward-addr: 195.121.1.34@853
forward-addr: 195.121.1.66@853
forward-addr: 2a02:a47f:e000::53@853
forward-addr: 2a02:a47f:e000::54@853
Vooralsnog is mijn niet bekend over er malware/adult filtering mogelijk is.
Beste antwoord door Ronaldo1965
oh iets te vroeg geroepen:
Met filter word het dan in unbound:
# KPN met filter
forward-addr: 2a02:a47f:ac::210@853
forward-addr: 2a02:a47f:ac::212@853
forward-addr: 195.121.97.202@853
forward-addr: 195.121.97.203@853
oh iets te vroeg geroepen:
Met filter word het dan in unbound:
# KPN met filter
forward-addr: 2a02:a47f:ac::210@853
forward-addr: 2a02:a47f:ac::212@853
forward-addr: 195.121.97.202@853
forward-addr: 195.121.97.203@853
+24Hi ​
Allereerst goed om te lezen dat dit werkt. Ik wil je ook graag bedanken voor de genomen moeite om dat op onze community te laten weten, hier kunnen andere users veel aan hebben. :)
Goed om dit te lezen helaas heb je voor TLS DOT in de Fritzbox de FQN nodig en heb ik niets aan de IP adressen…
FRITZBOX tekst:
Voer hier de resolutienaam (Resolve Name, Fully Qualified Domain Name) van uw gewenste DNS-server in.
ip adressen lukt niet uiteraard.
Heeft KPN die inmiddels uitgegeven voor die zonder filtering en eventueel met malware , adult maak ik graag zelf uit.
+9Wat is de toegevoegde waarde van DoT op de verbinding tussen mijn modem en KPN?
Geen..
Geen is niet waar. Al is het tussen KPN en Thuis beperkt. Het beschermt je tegen DNS manupulatie door hackers. Op deze manier kunnen ze je laten denken dat je bv met een bank inlog maar op de simuleerde website van de hacker terecht te komen. Vooral bij free hotspots is dit een probleem. ook een vpn alleen gaat je daar niet tegen beschermen. Plus levert het je meer dns privacy op.
Geen is niet waar. Al is het tussen KPN en Thuis beperkt. Het beschermt je tegen DNS manupulatie door hackers.
En hoe kunnen hackers zich tussen jouw router en de DNS server van KPN nestelen wetende dat de communicatie het "besloten" gedeelte van KPN niet verlaat?
Mijns inziens zou dat onmogelijk moeten zijn tenzij
1) Jouw eigen router gehacked is.
2) Een node van KPN gehacked is.
Beide moeten natuurlijk sowieso voorkomen worden en hebben ook vrij weinig met DNS verzoeken ansich te maken.
Vooral bij free hotspots is dit een probleem.
Maar bij het gebruik van een free hotspot gebruik je de DNS servers die jou door die hotspot aangeboden worden en niet de DNS servers van KPN. De DNS servers van KPN zijn ook helemaal niet te bereiken buiten het netwerk van KPN.
Plus levert het je meer dns privacy op.
Waar levert het je meer privacy op?
KPN kan nog steeds precies zien welke DNS verzoeken je doet, dus daar verandert niets.
+10KPN kan nog steeds precies zien welke DNS verzoeken je doet, dus daar verandert niets.
Bij gebruik van encrypted DNS (DoT en DoH) verlaten de aanvragen al versleuteld klanten thuisadres, KPN weet welke DNS server je gebruik, maar niet welke DNS requests je doet. Als je b.v. in Fritzbox DoT activeer, weet geen provider wat voor websites je bezoek. Als alle apparaten de Fritzbox als DNS server gebruik, worden alle DNS aanvragen versleuteld.
How to keep your ISP’s nose out of your browser history with encrypted DNS
KPN kan nog steeds precies zien welke DNS verzoeken je doet, dus daar verandert niets.
Bij gebruik van encrypted DNS (DoT en DoH) verlaat de aanvragen al versleuteld klanten thuisadres, KPN weet welke DNS server je gebruik, maar niet welke DNS requests je doet. Als je b.v. in Fritzbox DoT activeer, weet geen provider wat voor websites je bezoek.
How to keep your ISP’s nose out of your browser history with encrypted DNS
Natuurlijk weet KPN dat wel immers het DNS verzoek komt op hun eigen DNS servers aan en wordt daar decrypted. Als je bijvoorbeeld de DNS servers van Cloudflare zou gebruiken dan zou je verhaal opgaan maar het gaat er in dit topic juist om dat de DNS servers van KPN zelf DoT ondersteunen.
KPN kan nog steeds precies zien welke DNS verzoeken je doet, dus daar verandert niets.
Bij gebruik van encrypted DNS (DoT en DoH) verlaten de aanvragen al versleuteld klanten thuisadres, KPN weet welke DNS server je gebruik, maar niet welke DNS requests je doet.
Als je een andere DNS server gebruikt, dan klopt dat ja. Dan kan KPN niets zien. Maar als je de DNS server van KPN zelf gebruikt, dat kan KPN natuurlijk wel alles zien.
Weet iemand de resolutienamen voor de DoT servers van KPN?
Die heb ik nodig om in de Fritz!Box te zetten.
Weet iemand de resolutienamen voor de DoT servers van KPN?
Voor de gewone DNS servers van KPN kan je het domein dot.kpn.com gebruiken.
Voor de anti-malware DNS servers van KPN kan je het domein veilig.dot.kpn.com gebruiken.
Ook dit was weer zo'n geheimpje van KPN. Deze domeinen lijken nergens op het Internet te vinden te zijn.
Ik ben erachter gekomen door in de app Ping & Net reverse DNS verzoeken te sturen voor het IPv4 adres van één van de DNS servers van KPN. Bij de gewone DNS servers kwam zo dot.kpn.com naar boven en een DNS verzoek naar dat domein gaf direct zowel de IPv4 als IPv6 adressen van beide DNS server. Bij de anti-malware DNS servers lag dat anders, daar vond ik veilig.dot.kpn.com pas na een reverse DNS verzoek naar één van de IPv6 adressen.
De volgende openbare informatie heb ik opgehaald via
https://www.sidn.nl/whois?q=Kpn.com
KPN Fully Qualified Domain Name
https://ns11.kpn.net
https://ns1.kpn.net
waarbij
nog steeds lijkt te werken...
​
Dat lijkt een DNS server van KPN maar ik weet niet of deze DoT ondersteunt en of dit al dan niet een anti-malware DNS server is.
Persoonlijk zou ik me echt richten op die (veilig.)dot.kpn.com FQDN's.
Het is me niet helder welke FQDN ik nu het beste zou kunnen gebruiken...
@wjb zijn dit de twee 'beste' FQDN 's om te gebruiken?
AAAA 2a02:a47f:ac::210
AAAA 2a02:a47f:ac::212
=============================
DNS records for veilig.dot.kpn.com
DNS server: 192.168.2.254, port 53, UDP
veilig.dot.kpn.com
TTL=2513
A 195.121.97.203
(not authoritative)
veilig.dot.kpn.com.
TTL=2513
A 195.121.97.202
(not authoritative)
veilig.dot.kpn.com.
TTL=749
AAAA 2a02:a47f:ac::210
(not authoritative)
veilig.dot.kpn.com.
TTL=749
AAAA 2a02:a47f:ac::212
(not authoritative)
Mijns inziens kan je het beste de anti-malware DNS servers gebruiken en als je de DoT DNS servers van KPN wilt gebruiken dan is dat dus de veilig.dot.kpn.com.
Ok, dank voor je antwoord.
+4Heeft iemand DoT al succesvol getest bij KPN?
xxx@blabla:~$ dnslookup nu.nl tls://dot.kpn.com
dnslookup 1.11.1-11969
2025/03/18 10:11:59 [fatal] Cannot make the DNS request: getting conn to tls://dot.kpn.com:853: connecting to dot.kpn.com: dial tcp 195.121.1.34:853: i/o timeout
dial tcp 195.121.1.66:853: i/o timeout
dial tcp [2a02:a47f:e000::53]:853: connect: network is unreachable
dial tcp [2a02:a47f:e000::54]:853: connect: network is unreachable
xxx@blabla:~$ dnslookup nu.nl tls://veilig.dot.kpn.com
dnslookup 1.11.1-11969
2025/03/18 10:13:16 [fatal] Cannot make the DNS request: getting conn to tls://veilig.dot.kpn.com:853: connecting to veilig.dot.kpn.com: dial tcp 195.121.97.202:853: i/o timeout
dial tcp 195.121.97.203:853: i/o timeout
dial tcp [2a02:a47f:ac::210]:853: connect: network is unreachable
dial tcp [2a02:a47f:ac::212]:853: connect: network is unreachable
Reageert wel op poort 53 (DNS)
xxx@blabla:~$ dnslookup nu.nl dot.kpn.com
dnslookup 1.11.1-11969
Server: dot.kpn.com
dnslookup result (elapsed 79.755539ms):
;; opcode: QUERY, status: NOERROR, id: 14577
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;nu.nl. IN A
;; ANSWER SECTION:
nu.nl. 12 IN A 2.16.6.16
nu.nl. 12 IN A 2.16.6.10
xxx@blabla:~$ dnslookup nu.nl veilig.dot.kpn.com
dnslookup 1.11.1-11969
Server: veilig.dot.kpn.com
dnslookup result (elapsed 65.039154ms):
;; opcode: QUERY, status: NOERROR, id: 13005
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;nu.nl. IN A
;; ANSWER SECTION:
nu.nl. 20 IN A 2.16.6.10
nu.nl. 20 IN A 2.16.6.16
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
