AVM Fritz!Box

Fritz!Boxen haben eine Option Firmware ohne Anmeldung am Router zu aktualisieren. Standardmäßig aktiviert. Das sehe ich als größeres Problem an.

DoT Priorisierung ist 1. Valid cert chain (volle Kette) und danach 2. Fastest reply wins.

In der Regel gibts dann dns.google im Wechsel mit quad1 (also Cloudflare). Beides übertrumpft Quad9. Freifunk und co. hat gegen Google keine Chance.

DoT ohne Fallback bricht Sophos SSLVPN (DNS) Verantwortung dafür nicht bei AVM sondern beim SSLVPN Endpunkt. (Idee: Zielserver nicht als Domainname)

Ausstehend für Anfrage an AVM:

Wie erkennt die Fritz!Box DNS Pakete? Werden Pakete per Firewall / deep packet inspection auf udp 53 abgegriffen? (so wie es auch auf jeder stateful firewall gemacht werden müsste) ich habe mit Fritz!Box weniger Probleme als mit packet hijacking auf udp 53 (Beispiel Wireguard auf gleichem Port)