@gur_helios
Die DNS-Abfragen in der Verbindung zwischen Internetbox und den Swisscom-DNS-Servern zu verschlüsseln scheint mir von zweifelhaftem Nutzen, denn die von Dir genannte "dritte Person" welche am besten positioniert für eine allfällige "Lauschaktion" ist, ist die Swisscom selbst.
Falls Du also bei den DNS-Abfragen mehr Privacy reinbringen willst, musst Du Dich vor allem vor dem eigenen Provider schützen - soweit dies überhaupt möglich ist…
Ein mögliches Konzept dazu ist "DNS over TLS" auf dedizierte DNS-Server im Internet, welche DoT-fähig sind und damit auch verschlüsselt über TCP-Port 853 angesprochen werden können.
Weder von der Internetbox selbst noch von den Swisscom-DNS-Servern wird DoT aber aktuell unterstützt.
Falls man die verschlüsselte DNS-Abfragetechnik DoT einsetzen will, braucht man also eine eigene zusätzliche Netzwerkappliance im eigenen Netz (Router, Firewall, etc.), welche als lokaler Resolver mit zusätzlichen verschlüsselten DNS-Abfragen auf DoT-fähige "Nicht-Swisscom-DNS-Server" agiert.
Selbst betreibe ich "DoT" mittels eines zur Internetbox kaskadierten Asus Merlin Routers mit TLS-verschlüsselten DNS-Abfragen auf bis zu 8 randomisiert verwendeten DoT-fähigen DNS- Servern (u.a. Quad9, Cloudflare, etc.).
Einmal eingerichtet funktioniert das problemlos.
