FRITZ!Box modem en de domeinnaam fritz.box

FREEDOM NIEUWS
,
1

De domeinnaam fritz.box is in gebruik genomen maar is op dit moment niet in eigendom van AVM (fabrikant van het FRITZ!Box modem).
Dit heeft als gevolg dat wanneer je naar een hostnaam gaat die eindigt op fritz.box, je mogelijk wordt verwezen naar een derde partij. AVM heeft al jaren fritz.box voor intern gebruik ingesteld voor het benaderen van de FRITZ!Box en andere apparaten binnen het thuisnetwerk, maar dit geeft nu problemen in een aantal gevallen.
AVM heeft ons wel laten weten dat ze druk bezig zijn om bezit te krijgen van de domeinnaam.

Moet ik iets doen?
Als je een FRITZ!Box uit de doos haalt en de standaard instellingen gebruikt loop je geen risico en hoef je niets te doen. Dit komt omdat de FRITZ!Box dan als jouw DNS server werkt. De FRITZ!Box zelf laat de verzoeken niet door naar buiten toe, maar dat is anders als je een eigen DNS server kiest.

Heb je tijdens het installeren specifieke DNS servers ingesteld. Bijvoorbeeld die van Google of CloudFlare? Of heb je op apparaten zelf de DNS servers van Freedom Internet of andere DNS aanbieders ingesteld? Dan raden we aan om hiervoor toch de FRITZ!Box als DNS server in te stellen. Want dan gaan ook in dit geval de verzoeken langs de FRITZ!Box.

Wanneer je gebruik maakt van DoH (https://freedom.nl/nieuwsartikel/freedom-lanceert-doh-en-dot) dan wordt het domein opgevraagd buiten de FRITZ!Box om. Dit is ook het geval wanneer je eigen DNS instellingen hebt voor bijvoorbeeld filtering. Denk hierbij aan een Pi-Hole of AdGuard Home.

Adviezen bij gebruik van FRITZ!Box
De adviezen gaan ervan uit dat je de standaard netwerk adresreeks gebruikt van de FRITZ!Box (192.168.178.0/24). Pas deze aan indien je het anders hebt ingesteld.

  • Schakel tijdelijk de DoH uit. Kijk voor de stappen bij de instructies van jouw browser of applicatie.
  • Gebruik de DNS van de FRITZ!Box zelf. Op deze pagina vind je waar je dit kan wijzigen in de FRITZ!Box (https://nl.avm.de/service/knowledge-base/dok/FRITZ-Box-7590/165_Andere-DNS-servers-in-FRITZ-Box-configureren/)
  • Maak tijdelijk geen gebruik van hostnaam die eindigt op fritz.box. Gebruik in plaats daarvan het lokale IP-adres.
     
  • Voor AdGuard Home heb je 3 keuzes:
    • Voeg het domein fritz.box in bij het volgende veld:
      Settings > DNS Settings > Disallowed domains
      Domein komt niet in de logs voor.
    • Voeg het volgende in `192.168.178.1 fritz.box^`bij het volgende veld:
      Filters > Custom filtering rules.
      Voeg het onder de bestaande regels toe. Denk eraan om op ‘Apply’ te drukken.
      Dit wordt getoond in de log en onderaan de pagina kan je het testen.
    • Pas een DNS rewrite toe:
      Filters > DNS rewrite > Add DNS rewrite > veld 1: fritz.box | veld 2: 192.168.178.1
      Zo wordt een fritz.box verzoek omgezet naar een lokaal IP-adres.
  • Voor Pi-Hole kan je het volgende instellen:
    Settings > DNS > vink ‘Use Conditional forwarding’  > veld 1: 192.168.178.0/24 | veld 2: 192.168.178.1 | veld 3: fritz.box

Op het moment dat dit probleem verholpen is zullen we een update plaatsen op de Community post van dit artikel. (https://community.freedom.nl/t/fritz-box-modem-en-de-domeinnaam-fritz-box/)

Update 13.52: DoT eruit gehaald omdat wanneer deze op de FRITZ!Box is ingesteld, alsof de FRITZ!Box het domeinnaam niet buiten opvraagt.

Zie het oorspronkelijke bericht op https://freedom.nl/nieuwsartikel/fritz-box-modem-en-de-domeinnaam-fritz-box
2

Wel erg knullig van AVM, maar misschien kan Freedom dan ook zorgen dat (al dan niet tijdelijk) de domeinnaam fritz.box niet resolvt (of eventueel naar 192.168.178.1) via haar nameservers? Op die manier bescherm je direct klanten die jullie nameservers ingesteld hebben op eigen apparatuur. Nu resolvt deze domeinnaam gewoon:

$ host -t a fritz.box dns1.freedom.nl
Using domain server:
Name: dns1.freedom.nl
Address: 2a10:3780:2:52:185:93:175:43#53
Aliases:

fritz.box has address 45.76.93.104

Ook potentieel riskant voor gebruikers van WireGuard VPN op FRITZ!Box, want in de standaard config wordt “fritz.box” meegegeven als nameserver. Beter dus even handmatig de settings file aanpassen.

Edit:
Voor mensen die willen voorkomen dat clients in het netwerk externe DNS servers kunnen gebruiken (anders dan in de LAN):

Ga in de FRITZ!Box naar Internet → Filters → Lijsten, vouw “Netwerktoepassingen” uit. Klik op “Netwerktoepassing toevoegen”:

Netwerktoepassing: DNS

Klik op “Nieuw protocol”:

Protocol: UDP
Bronpoort: willekeurig
Bestemmingspoort: poort 53

Klik op “Toepassen”.

Klik opnieuw op “Nieuw protocol”:

Protocol: TCP
Bronpoort: willekeurig
Bestemmingspoort: poort 53

Klik op “Toepassen”.

Ga naar Internet → Filters → Toegangsprofielen.

Klik achter het profiel “Standaard” op het potloodje, vouw “Geavanceerde instellingen” uit en voeg “DNS” toe onder “Netwerktoepassingen blokkeren”. Klik op “Toepassen”.

Klik achter het profiel “Gast” op het potloodje, vouw “Geavanceerde instellingen” uit en voeg “DNS” toe onder “Netwerktoepassingen blokkeren”. Klik op “Toepassen”.

Let op: bij profiel “Onbeperkt” de DNS toepassing niet toevoegen!

Nu kunnen alle clients achter de FRITZ!Box alleen nog maar lokale DNS servers (zoals de FRITZ!Box) gebruiken. Al het andere wordt geblokkeerd. Wil je toch voor een enkele client een uitzondering toevoegen:

Ga naar Internet → Filters → Ouderlijk toezicht, klik onderaan de pagina op “Toegangsprofielen wijzigen”, wijzig het profiel voor die client in “Onbeperkt” in klik op “Toepassen”.

3

Ik had bij AVM het al in de ideeënbus gedaan om een knopje te maken die .box in .internal veranderd.

4

Is dit een of-of advies of een en-en advies?

Wat zijn precies de stappen als je nu de DoH en DoT hebt ingesteld?
Kan je daarna wel fritz.box blijven gebruiken?

5

En wat gebeurt er dan als een client dat toch probeert? Krijgt hij dan geen verbinding of probeert hij het dan toch maar via de lokale DNS als backup?

6

Nee, uitgaand wordt hierdoor poort 53 (UDP+TCP) verkeer geblokkeerd door de FRITZ!Box voor de clients. Als een client dan bijv. de Google DNS 8.8.8.8 gebruikt, krijgt de client gewoon geen verbinding. Er wordt dan geen backup gebruikt. De client moet dan dus verplicht een DNS in het lokale LAN gebruiken (zoals bijv. de FRITZ!Box), of hij heeft geen werkende DNS. Ik zou zelf liever hebben dat alle uitgaande verzoeken naar UDP+TCP poort 53 zouden worden omgeleid naar mijn lokale DNS, maar dat is niet mogelijk in de FB, dus dan maar dit als second best. Gebruik dit al een tijdje. De FB adverteert de Pi-hole naar de clients en de Pi-hole gebruikt de FB als upstream, al het andere wordt geblokkeerd. “Slimme” apparatuur kan op deze manier dus geen eigen DNS meer gebruiken (en buiten de Pi-hole omgaan met alle mogelijk nare gevolgen van dien).

7

In Firefox kun je DoH gebruiken.
Bij de uitzondering hierop staat preventief hier fritz.box ingesteld.

Mijn fritzbox heeft nu ook een naam.
Als je hem bijvoorbeeld tarzan noemt, kun je hem aanspreken als tarzan.fritz.box
Weer een kans minder op een match.

8

IANA heeft twee TLDs voor lokaal/huiselijk gebruik gereserveerd, namelijk: .local en .home.arpa [1]

Een van die had AVM dan ook moeten nemen. Maar ze lijken nogal koppig op dit vlak.

[1] Special-use domain name - Wikipedia

2 likes
9

Dit is altijd een en-en advies. Mits je een onderdeel hebt gewijzigd en dus afwijkend is van de standaard instelling.

Voor DoT dien je deze stappen te volgende: Hoe stel ik versleuteld surfen/DNS over TLS (DoT) in? | Freedom Helpdesk maar dan omgekeerd.
Voor DoH heb ik niet een stappen plan. Dat is afhankelijk van waar je het hebt ingesteld.

Als de FRITZ!Box weer volledig de DNS doet. Dan kan het wel. Maar als je 100% zeker wil zijn is het interne IP-adres altijd goed!

Jammer genoeg resolved tarzan.fritz.box ook. Dat komt door een *.fritz.box record.

10

Het betreft een en-en advies.

Je kunt DoT op de FB gewoon blijven gebruiken. Ik denk dat we dit punt anders hadden moeten verwoorden.

Het advies is om DoT/DoH uit te zetten in applicaties zoals bijvoorbeeld Firefox. DAN ga je door de Fritzbox heen en wordt de gewraakte domeinnaam niet meer afgevangen. Als je dan https://fritz.box, of https://tarzan.fritz.box opvraagt gaat dat naar cloudflare die het weer proberen af te leveren bij de lui de fritz.box hebben geclaimd. Je kunt dan (op dit moment) niets maar informatie is weg gelekt naar die partij.

11

We zitten net in een overgangsfase naar .internal
De kogel is door de kerk. De officiële documenten moeten nog komen.

12

Al verwacht ik niet dat .internal gebruikt zal gaan worden als publieke TLD. Is dit misschien niet een probleem wat later weer voor kan komen? .internal is niet een reserved TLD.

13

Heb ook geprobeerd het te volgen.
Ze zijn er al vanaf 2017 al mee bezig.
Eind april, zou het definitief moeten zijn.
Het zou een reserved TLD moeten worden.
Gezien de traagheid, zal dat wel een tijdje duren.
@sebas of verwacht je, dat het helemaal niet gebeurd?

14

Ik verwacht voornamelijk dat er iets moet gaan gebeuren. De wens vanuit de gebruikers is er al een langere tijd.
Het is natuurlijk wel een power feature wat een gewone huis- tuin- en keuken aansluiting niet persé nodig heeft. Wat voornamelijk wel hun doelgroep is.

15

Om het probleem te omzijlen gaf jij me eerder 2 oplossingen:

.1. IPv6 adres gebruiken:
Kijk in de FritzBox bij
→ ThuisNet → Netw-inst → Meer-instell → knop IPv6-instell

Fritz-Thuisnet-instell-Meer-IPv6_20240502_PNG
Fritz-Thuisnet-instell-Meer-IPv6_20240502_PNG1180×590 69.4 KB

Als daar bijvoorbeeld staat fd00:abcd:xxff:fabc:maca / 64 , dan is jouw FritzBox te benaderen met
https://[fd00:abcd:xxff:fabc:maca]/#overview
( n.b. let op de vierkante-haken om het IPv6-adres)

.2. FritzBox-Unieke-Naam gebruiken:
Kijk in de FritzBox bij
→ ThuisNet → FritzBox-Naam (en zet daar Ă©Ă©nmalig een eigen unieke naam neer),

Fritz-Thuisnet-FritzNaam_20240502_PNG
Fritz-Thuisnet-FritzNaam_20240502_PNG1174×574 56.7 KB

bijvoorbeeld MyFreed0mFritzy2024 , dan is jouw FritzBox te benaderen met
https://MyFreed0mFritzy2024/#overview

Dan hoef je niet te rommelen met DoH en DoT, toch ?

Daarnaast weet je zéker op wÚlke FritzBox je inlogt, mocht je er meerdere in huis hebben 
 


( Blijft zo, dat avm hun ‘extensie’ wel zouden moeten registreren,
dan weten ze zéker dat een ander er niet mee vandoor gaat. )

1 like
16

@WoSp
Je zegt dat de instellingen van Wireguard aangepast moeten worden.
Daar staat nu: DNS= 192.167.178.1 en DNS=fritz.box
Mijn vraag: wat moet ik dan aanpassen ? Ik heb mijn FB530 een unieke naam gegeven.

17

Heeft dit alles ook consequenties voor de DNS testers ?

18

Voor alle zekerheid zou ik die DNS=fritz.box regel verwijderen en vervolgens bestand opslaan en opnieuw in de cliënt importeren.

19

Precies dezelfde gevolgen als voor gebruikers die de productie DNS gebruiken, dat maakt geen verschil.

20

Ik begrijp nu dat dat niet op de friitzbox moet maar in Firefox e.d., hoewel de gegeven link over de fritzbox gaat.

Ik snap er helemaal niets meer van.