knb:dohdot

DNS-over-HTTPS und DNS-over-TLS Unterstützung

Bild: Freifunk München Logo

Sep 16, 2019

Sicher habt ihr schon von dem Thema gehört, welches zur Zeit groß durch die IT-News geistert. Mozilla wird in Firefox Cloudflare als DoH-Server integrieren und standardmäßig aktivieren. An sich ist es keine schlechte Idee DNS Abfragen zu verschlüsseln, damit in offenen Netzen (wie Freifunk) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, per default einen Provider aus Amerika einzusetzen.

Deswegen haben wir für euch einen DoH/DoT Server aufgesetzt, den ihr zum Beispiel direkt in Firefox eintragen, per App nutzen oder mit einem sonstigen DNS Server vereinen könnt.

Wir haben uns zudem auch auf der Seite des DNSCrypt-Projektes eintragen lassen, wodurch wir automatisch bei den Resolvern in der App DNSCloak (iOS) oder bei dnscrypt-proxy zu finden sind.

Adressen:

  • doh.ffmuc.net - 195.30.94.28 / 2001:608:a01::3
  • dot.ffmuc.net - 195.30.94.28 / 2001:608:a01::3

Die Einstellungen in Firefox können bequem per Oberfläche gemacht werden. Eine detaillierte Anleitung findet sich hierzu auch direkt bei mozilla.org unter: https://wiki.mozilla.org/Trusted_Recursive_Resolver Für den deutschsprachigen User gibt es auch eine detaillierte Erklärung/Anleitung im Privacy Handbuch!

Dazu gebt ihr in die Adresszeile about:preferences#general ein und folgt dann den Screenshots. Für die Netzwerkeinstellungen müsst ihr ganz nach unten scrollen.

Bild: Firefox Menüpunkt Einstellungen

Hier wählen wir Benzerdefiniert beim Dropdownfeld [ Anbieter verwenden ] tragen wir in das Feld [ Benutzerdefiniert ] den Wert
https://doh.ffmuc.net/dns-query ein.

Bild: Firefox Menüpunkt Einstellungen

Alternativ kann man die Konfiguration auch direkt nach Eingabe der „Adresse“ about:config vornehmen. die entsprechenden Optionen finden sich nach Eingabe der Suchoption network.trr.

Bild: Firefox Menüpunkt Einstellungen

Unter iOS installiert ihr die App DNSCloak und wählt die FFMUC-Server per Suche aus:

Bild: Einstellungsoptionen bei DNSCloak

In Android (ab Android 9) geht ihr in eure “Einstellungen” zu “Wi-Fi & Internet”. Unten ist ein Feld “Privates DNS”. Wenn ihr darauf klickt taucht folgender Dialog auf:

Bild: “Einstellungen” zu “Wi-Fi & Internet” unter Android 9

Nachdem ihr auf “Speichern” geklickt habt, taucht “dot.ffmuc.net” in der Übersicht auf:

Bild: “WiFI-Übersicht” zu “Wi-Fi & Internet” unter Android 9

Falls ihr ein Android-System habt, welches älter als Android 9 ist, müsst ihr auf andere Apps zurückgreifen. Unsere aktuelle Empfehlung ist “Infra” (PlayStore-Link).

Ihr richtet den Einstellungen kann man den “DNS-over-HTTPS-Server auswählen”.
Dort tragt ihr als “Benutzerdefinierte Server-URL” https://doh.ffmuc.net/dns-query ein:

Bild: Einstellungsoptionen bei der App “Infra” unter Android

Wenn ihr es dann aktiviert, kann es dann so aussehen:

Bild: Detailansicht bei aktivierter Verbindung in der App “Infra”

Falls ihr bei euch unbound als Resolver benutzt, ist das Hinzufügen eines DoT-Servers sehr einfach. Ihr fügt zu eurer “normalen” Konfiguration folgendes hinzu:

 forward-zone:
        name: "."
        forward-addr: 195.30.94.28@853#dot.ffmuc.net
        forward-addr: 2001:608:a01::3@853#dot.ffmuc.net

Wenn alles geklappt hat, könnt ihr einen DNSLeak-Test machen und das Ergebnis sollte wie folgt aussehen:

Bild: Ergebnis beim Testen via dns-leak.com

Natürlich gibt es auch eine ausführliche Statusseite auf der ihr alle möglichen Statistiken zu dem Dienst ansehen könnt.

Nur um es gesagt zu haben:

Bei uns gibt es keine Logs, die irgendwie Rückschlüsse auf die Nutzung ermöglichen! Es gibt ein paar allgemeine Counter die auf der Statusseite einsehbar sind und wir haben Logs bzgl. Requests/IP für rate-limits.

Wir sehen also nur Das und nicht Was gefragt wird.

Wer noch mehr zu dem Thema wissen möchte, dem seien folgende Talks (englisch) empfohlen:

  • knb/dohdot.txt
  • Zuletzt geändert: 2019/10/21 15:20
  • von krombel