having control over WHAT dns server a internet-device is using is important to user’s privacy

because the dns server is basically the “phonebook-look-up-phone-number-of-domain.com” and KNOWS all domains.com the user is connecting to (the meta data).

BIND and DNS – the Phonebook of the internet – Berkeley Internet Name Domain – how to benchmark dns servers (find fastest) – LibreDNS

so:

  1. NAT is important, because it will multiply the available IPv4 addresses while firewall-protecting the devices behind the NAT able router
  2. vendors should be obliged by LAW to allow users and admins to CHANGE the DNS servers the router is using (in TP-Link routers this is often not even possible and as can be seen in the AVM FritzBoxes it is SOMETIMES possible but only with majohttps://dwaves.de/2017/05/09/bind-and-dns-the-phonebook-of-the-internet-berkeley-internet-name-domain-how-to-benchmark-dns-servers-find-fastest-libredns/r technological hurdles, like telnetting into the box manually changing config files or flashing OpenWRT 🙂 (yes there is actually OpenWRT support for some FritzBoxes )

Wie kann ich einen eigenen/anderen DNS-Server für alle angeschlossenen PCs und Fritzbox verwenden ?

AVM lässt die Änderung des default DNS-Servers, den die Box nutzt, im Gegensatz zu anderen Routern über die Benutzeroberfläche derzeit(Ende 2009) nicht zu. Mögliche Lösungswege:

  • dnsmasq: Installation eines eigenen DNS-Servers auf der Fritzbox mittels dem Packet dnsmasq. Dies ist ein allgemeiner Weg der auf jeder Box funktioniert, jedoch einen Neubau des Images (freetzen) erfordert. Zusammen mit einer geänderten Datei /etc/resolv.conf (im Trunk möglich über die GUI mit “Einstellungen”→”Freetz: resolv.conf”) kann ein DNS-Server so eingetragen werden: “nameserver 208.67.220.220” (hier der von OpenDNS)
  • ohne dnsmasq: Bei einigen Boxen, z.B. 7170(Firmware 29.04.76) ist es möglich die zentrale Konfigurationsdatei von AVM zu bearbeiten. Mit “nvi /var/flash/ar7.cfg” müssen alle Vorkommen von “overwrite_dns1 = xxx.xxx.xxx.xxx” und “overwrite_dns2 = xxx.xxx.xxx.xxx” bearbeitet werden. Dieser Weg ist nur Personen empfohlen die Grundkenntnisse mit nvi und telnet bzw. ssh/telnet haben! Hier läuft der multid von AVM als DNS-Server. in der resolv.conf steht ein loopback “nameserver 127.0.0.1”. Dies ermöglicht auch Linux standard Anwendungen auf der fritzbox die Auflösung über den multid.

1. Telnet aktivieren via Web Gui (Fritzbox 7170)

fritzbox 7170 waehlhilfe telnet activate aktivieren fritzbox 7170 waehlhilfe telnet activate aktivieren2

 

2. Befehlszeile öffnen oder mit putty arbeiten:

# try to telnet into the fritz box
telnet 192.168.XXX.1
# per default it is
telnet 192.168.178.1

this is pretty pretty cool actually 🙂

PS: in newer fritzboxes this feature was disabled and can not be re-enabled which is a shame… FritzBoxes should AT LEAST allow users to use ssh.

… jetzt sollte eine Passwort abfrage kommen, hier das Web-Gui admin passwort eingeben.

 

3. AVM config editieren

nvi /var/flash/ar7.cfg

https://www.opendns.com/home-internet-security/opendns-ip-addresses/

OpenDNS Server IP1: 208.67.222.222
OpenDNS Server IP2: 208.67.220.220

4. nach Einträgen overwrite_dns1 und overwrite_dns2 suchen (geht mit ESC, /SUCHBEGRIFF, ENTER, “n” findet den nächsten Eintrag) und die 0.0.0.0 ersetzten.

overwrite_dns1 = 208.67.222.222;
overwrite_dns2 = 208.67.220.220;

5. test

# ping domain.com
PING domain.com (31.192.116.123): 56 data bytes

WÖRX! 🙂

ACHTUNG DIE FRITZBOX IST (GOTT SEI DANK) NICHT VON AUSSERHALB PER TELNET ERREICHBAR! NUR VON EINEM INTERNEN LAN-ANSCHLUSS AUS!

TELNET ANSCHLIESSEND WIEDER AUSSCHALTEN, SICHER IST SICHER.

DIESE EINSTELLUNGEN ÜBERLEBEN EINEN REBOOT! (tested)

  • Ändern von /etc/resolv.conf: Wenn es nur darum geht, dass die Box selbst einen anderen DNS-Server benutzt, reicht eine Änderung in der Datei /etc/resolv.conf wie oben beim dnsmasq beschrieben. Dies ändert allein jedoch nur die Namensauflösung der Box, angeschlossene Clients nutzen dann weiter den Standard-DNS

creditz: http://freetz.org/wiki/help/fritz_faq#WiekannicheineneigenenanderenDNS-ServerfüralleangeschlossenenPCsundFritzboxverwenden

admin