knb:dohdot

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
knb:dohdot [2019/09/17 17:25] – [Firefox] Djangoknb:dohdot [2022/02/24 19:45] (aktuell) awickert
Zeile 1: Zeile 1:
-~~NOCACHE~~ +{{htmlmetatags>metatag-robots=(index,follow)}} 
-====== DNS-over-HTTPS und DNS-over-TLS Unterstützung ======+====== DNS-over-HTTPSund DNS-over-TLS-Unterstützung ======
 {{:ffmuc_logo.png?nolink&150|Bild: Freifunk München Logo}} \\ {{:ffmuc_logo.png?nolink&150|Bild: Freifunk München Logo}} \\
-\\ 
-Sep 16, 2019 
 ===== Hintergründe ===== ===== Hintergründe =====
-Sicher habt ihr schon von dem Thema gehört, welches zur Zeit groß durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]] geistert. Mozilla wird in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Server integrieren und standardmäßig aktivierenAn sich ist es keine schlechte Idee DNS Abfragen zu verschlüsseln, damit in offenen Netzen (wie Freifunk) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, per default einen Provider aus Amerika einzusetzen.+Im September 2019 ging ein Thema durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]], von dem ihr sicher auch schon gehört habt: Mozilla stellte damals in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Provider in den Voreinstellungen einDoH steht hier für DNS-over-HTTPS, DoT für DNS-over-TLS, also im Gegensatz zum herkömmlichen DNS über kryptographisch gesicherte Verbindungen. Aus unserer Sicht ist es keine schlechte IdeeDNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie z.B. Freifunk München) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, //per default// einen Provider aus den USA einzusetzen.
  
-Deswegen haben wir für euch einen DoH/DoT Server aufgesetzt, den ihr zum Beispiel direkt in Firefox eintragenper App nutzen oder mit einem sonstigen DNS Server vereinen könnt.+Deswegen haben wir für euch einen eigenen DoH-/DoT-Dienst aufgesetzt, der diese Problematik umgeht. Privacy-relevante Daten bleiben im Land und wir sorgen dafürdass eure DNS-Anfragen privat bleiben.
  
-Wir haben uns zudem auch auf der Seite des [[https://dnscrypt.info/public-servers/|DNSCrypt-Projektes]] eintragen lassenwodurch wir automatisch bei den Resolvern in der App [[https://apps.apple.com/de/app/dnscloak-secure-dns-client/id1452162351|DNSCloak]] (iOS) oder bei [[https://github.com/DNSCrypt/dnscrypt-proxy|dnscrypt-proxy]] zu finden sind.+Um den Dienst zu nutzenmüsst ihr, wenn ihr nicht über einen Freifunk München - Accesspoint geht und eure Applikation nicht den Standard-DNS benutzt, allerdings manuell auf euren Systemen konfigurieren, zum Beispiel im Browser, auf dem Smartphone oder eurem Tablet.
  
-Adressen: +Wir haben uns auch auf der Seite des [[https://dnscrypt.info/public-servers/|DNSCrypt-Projektes]] eintragen lassen, wodurch wir automatisch bei den Resolvern in der App [[https://apps.apple.com/de/app/dnscloak-secure-dns-client/id1452162351|DNSCloak]] (iOS) oder bei [[https://github.com/DNSCrypt/dnscrypt-proxy|dnscrypt-proxy]] zu finden sind. 
-  * ''doh.ffmuc.net - 195.30.94.28 / 2001:608:a01::3'' + 
-  * ''dot.ffmuc.net - 195.30.94.28 / 2001:608:a01::3''+===== Adressen ===== 
 +(auch als normale [[knb:dns|DNS Server]] nutzbar)
 +  * ''doh.ffmuc.net - IPv4: 5.1.66.255 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' 
 +  * ''dot.ffmuc.net - IPv4: 5.1.66.255 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' 
 +  * https://doh.ffmuc.net/dns-query
  
 ===== Firefox ===== ===== Firefox =====
-Die Einstellungen in Firefox können bequem per Oberfläche gemacht werden. Eine detaillierte Anleitung findet sich hierzu auch direkt bei **mozilla.org** unter: https://wiki.mozilla.org/Trusted_Recursive_Resolver+Die Einstellungen in Firefox können bequem per Oberfläche gemacht werden. Eine detaillierte Anleitung findet sich hierzu auch direkt bei **[[https://wiki.mozilla.org/Trusted_Recursive_Resolver|wiki.mozilla.org]]**. Für den deutschsprachigen User gibt es auch eine detaillierte Anleitung im **[[https://privacy-handbuch.de/handbuch_21w.htm|Privacy Handbuch]]**.
  
-Dazu gebt ihr in die Adresszeile **''about:preferences#general''** ein und folgt dann den Screenshots. Für die Netzwerkeinstellungen müsst ihr ganz nach unten scrollen.+Dazu gebt ihr in der Adresszeile **''about:preferences#general''** ein und folgt dann den Screenshots. Für die Netzwerkeinstellungen müsst ihr ganz nach unten scrollen.
  
 {{ :knb:2019-09-16-doh-firefox-network.png?direct&800 |Bild: Firefox Menüpunkt Einstellungen}} {{ :knb:2019-09-16-doh-firefox-network.png?direct&800 |Bild: Firefox Menüpunkt Einstellungen}}
 +
 +Hier wählen wir ''**Benuzerdefiniert**''. Beim Dropdownfeld **[ Anbieter __v__erwenden ]** tragen wir in das Feld **[ Benutzerdefiniert ]** den Wert \\ ''**https://doh.ffmuc.net/dns-query**'' ein. 
  
 {{ :knb:2019-09-16-doh-firefox-settings.png?direct&801 |Bild: Firefox Menüpunkt Einstellungen}} {{ :knb:2019-09-16-doh-firefox-settings.png?direct&801 |Bild: Firefox Menüpunkt Einstellungen}}
  
-Alternativ kann man die Konfiguration auch direkt nach Eingabe der "Adresse" **''about:config''** vornehmen. die entsprechenden Optionen finden sich nach Eingabe der Suchoption **network.trr**.+Alternativ kann man die Konfiguration auch direkt nach Eingabe der "Adresse" **''about:config''** vornehmen. Die entsprechenden Optionen finden sich nach Eingabe der Suchoption **network.trr**.
  
 {{ :knb:2019-09-16-doh-firefox-aboutconfig.png?direct&800 |Bild: Firefox Menüpunkt Einstellungen}} {{ :knb:2019-09-16-doh-firefox-aboutconfig.png?direct&800 |Bild: Firefox Menüpunkt Einstellungen}}
 +
 ===== DNSCloak (iOS) ===== ===== DNSCloak (iOS) =====
-Unter iOS installiert ihr die App DNSCloak und wählt die FFMUC-Server per Suche aus: +Auf Apple/iOS installiert ihr die App DNSCloak und wählt die FFMUC-Server per Suche aus: 
  
 {{ :knb:2019-09-16-doh-dnscloak.jpeg?direct&350 |Bild: Einstellungsoptionen bei DNSCloak}} {{ :knb:2019-09-16-doh-dnscloak.jpeg?direct&350 |Bild: Einstellungsoptionen bei DNSCloak}}
Zeile 34: Zeile 39:
 ===== Android ===== ===== Android =====
 ==== Android 9 ==== ==== Android 9 ====
-In Android (ab Android 9) geht ihr in eure “Einstellungen” zu “Wi-Fi & Internet”. Unten ist ein Feld “Privates DNS”. Wenn ihr darauf klickt taucht folgender Dialog auf: +In Android geht ihr in die “Einstellungen” zu “Wi-Fi & Internet”. Unten ist ein Feld “Privates DNS”. Wenn ihr darauf tippt, taucht folgender Dialog auf: 
  
 {{ :knb:2019-09-16-dot-android-details.jpeg?direct&350 |Bild: “Einstellungen” zu “Wi-Fi & Internet” unter Android 9}} {{ :knb:2019-09-16-dot-android-details.jpeg?direct&350 |Bild: “Einstellungen” zu “Wi-Fi & Internet” unter Android 9}}
  
-Nachdem ihr auf “Speichern” geklickt habt, taucht “dot.ffmuc.net” in der Übersicht auf: +Nachdem ihr auf “Speichern” getippt habt, taucht “dot.ffmuc.net” in der Übersicht auf: 
  
-{{ :knb:2019-09-16-dot-android-overview.jpeg?direct&350 |Bild: “WiFI-Übersicht” zu “Wi-Fi & Internet” unter Android 9}}+{{ :knb:2019-09-16-dot-android-overview.jpeg?direct&350 |Bild: “WiFi-Übersicht” zu “Wi-Fi & Internet” unter Android 9}}
  
 ==== Android < 9 ==== ==== Android < 9 ====
 Falls ihr ein Android-System habt, welches älter als Android 9 ist, müsst ihr auf andere Apps zurückgreifen. Falls ihr ein Android-System habt, welches älter als Android 9 ist, müsst ihr auf andere Apps zurückgreifen.
-Unsere aktuelle Empfehlung ist “Infra” ([[https://play.google.com/store/apps/details?id=app.intra|PlayStore-Link]]).+Unsere aktuelle Empfehlung ist ([[https://play.google.com/store/apps/details?id=app.intra|Intra]]).
 \\ \\
 \\ \\
-Ihr richtet den Einstellungen kann man den “DNS-over-HTTPS-Server auswählen”.+In den Einstellungen kann man den “DNS-over-HTTPS-Server auswählen”.
 \\ \\
 Dort tragt ihr als “Benutzerdefinierte Server-URL” **''https://doh.ffmuc.net/dns-query''** ein:  Dort tragt ihr als “Benutzerdefinierte Server-URL” **''https://doh.ffmuc.net/dns-query''** ein: 
  
-{{ :knb:2019-09-16-doh-infra-settings.jpeg?direct&350 |Bild: Einstellungsoptionen bei der App “Infra” unter Android}}+{{ :knb:2019-09-16-doh-infra-settings.jpeg?direct&350 |Bild: Einstellungsoptionen bei der App “Infra” unter Android }}
  
 Wenn ihr es dann aktiviert, kann es dann so aussehen:  Wenn ihr es dann aktiviert, kann es dann so aussehen: 
Zeile 58: Zeile 63:
  
 ===== Unbound ===== ===== Unbound =====
-Falls ihr bei euch [[https://nlnetlabs.nl/projects/unbound/about/|unbound]] als Resolver benutzt, ist das Hinzufügen eines DoT-Servers sehr einfach. Ihr fügt zu eurer “normalen” Konfiguration folgendes hinzu:+Falls ihr bei euch [[https://nlnetlabs.nl/projects/unbound/about/|Unbound]] als Resolver benutzt, ist das Hinzufügen eines DoT-Servers sehr einfach. Ihr fügt zu eurer “normalen” Konfiguration folgendes hinzu:
  
 <code> forward-zone: <code> forward-zone:
         name: "."         name: "."
-        forward-addr: 195.30.94.28@853#dot.ffmuc.net +        forward-addr: 5.1.66.255@853#dot.ffmuc.net 
-        forward-addr: 2001:608:a01::3@853#dot.ffmuc.net+        forward-addr: 185.150.99.255@853#dot.ffmuc.net 
 +        forward-addr: 2001:678:e68:f000::@853#dot.ffmuc.net 
 +        forward-addr: 2001:678:ed0:f000::@853#dot.ffmuc.net
 </code> </code>
  
-===== DNS leak-Test ===== +===== AVM Fritz!Box ===== 
-Wenn alles geklappt hatkönnt ihr einen [[http://dns-leak.com/|DNSLeak-Test]] machen und das Ergebnis sollte wie folgt aussehen:+Seit Fritz!OS 7.20 ist es möglichDoT-Server direkt in der Fritz!Box einzustellen 
 +Geht dazu über Internet -> Zugangsdaten -> DNS-Server. Unten im Feld tragt ihr nun dot.ffmuc.net als Hostnamen ein:
  
-{{ :knb:2019-09-16-doh-success.png?direct&800 |Bild: Ergebnis beim Testen via dns-leak.com}}+ 
 + 
 +{{ :knb:fritzbox_dot_settings.png?direct&800 |DoT-Einstellungen in FritzBox }} 
 + 
 +Im Online-Monitor könnt ihr nun sehen, dass unter "Genutzte DNS-Server" auch folgende Einträge auftauchen: 
 + 
 +  2001:678:e68:f000:: (DoT verschlüsselt) 
 +  2001:678:ed0:f000:: (DoT verschlüsselt) 
 +  5.1.66.255 (DoT verschlüsselt) 
 +  185.150.99.255 (DoT verschlüsselt) 
 +   
 +Bei einem der beiden steht auch "aktuell genutzt für Standardanfragen"
 + 
 +Wenn dem so ist, ist alles richtig. 
 + 
 + 
 + 
 +===== Mikrotik / RouterOS ===== 
 + 
 +Das Hauptproblem hier ist, dass die Geräte von Haus aus dem FFMuc LetsEncrypt-Zertifikat nicht vertrauen. 
 +Wir müssen deshalb erst das normale DNS konfigurieren, das Zertifikat herunterladen und installieren und können erst dann DoH konfigurieren: 
 + 
 +<code> 
 +/ip dns set servers=5.1.66.255,185.150.99.255 
 +/tool fetch url=https://letsencrypt.org/certs/isrgrootx1.pem 
 +/certificate import file-name=isrgrootx1.pem passphrase="" 
 +/ip dns set servers=5.1.66.255,185.150.99.255 use-doh-server=https://doh.ffmuc.net/dns-query verify-doh-cert=yes 
 +</code> 
 + 
 +(Hier sind die Kommandozeilenbefehle angegeben.  In der GUI sind ist die Hierarchie identisch, d.h. statt "/ip dns set" wählt man den Menüpunkt "ip" und dann Unterpunkt "dns" und setzt da die entsprechenden Werte.) 
 + 
 + 
 +===== DNSleak-Test ===== 
 +Wenn alles geklappt hat, könnt ihr einen [[http://dns-leak.com/|DNSLeak-Test]] machen. Das Ergebnis sollte wie folgt aussehen: 
 + 
 +{{ :knb:2019-09-16-doh-success.png?direct&800 |Bild: Ergebnis beim Testen via dns-leak.com }}
  
 ===== Statistiken ===== ===== Statistiken =====
-Natürlich gibt es auch eine ausführliche **[[https://stats.ffmuc.net/d/tlvoghcZk/doh-dot?orgId=1&refresh=1m|Statusseite]]** auf der ihr alle möglichen Statistiken zu dem Dienst ansehen könnt.+Natürlich gibt es auch eine ausführliche **[[https://stats.ffmuc.net/d/tlvoghcZk/doh-dot?orgId=1&refresh=1m|Statusseite]]**auf der ihr alle allgemeine Statistiken zu dem Dienst ansehen könnt. 
 + 
 +<WRAP center round alert 80%> 
 +**Nur, um es gesagt zu haben**: \\ 
 +\\ 
 +Bei uns gibt es keine Logs, die Rückschlüsse auf die inhaltliche Nutzung des Dienstes durch einzelne Benutzer ermöglichen. 
 +Es gibt lediglich zusammenfassende Statistiken, die auf obiger Statusseite öffentlich einsehbar sind. Um rate-limits durchzusetzen, führen wir darüber hinaus Logs bzgl. der Anzahl von Requests pro IP-Adresse.\\ 
 + 
 +Wir sehen also nur, **//dass//** eine DNS-Auflösung angefragt wurde und nicht **//was//** gefragt wurde. 
 +</WRAP> 
 + 
  
 ===== Mehr zum Thema ===== ===== Mehr zum Thema =====
Zeile 79: Zeile 133:
   * **[[https://www.youtube.com/watch?v=pjin3nv8jAo|NLNOG 2019 - DNS over HTTPS considerations - Bert Hubert]]**   * **[[https://www.youtube.com/watch?v=pjin3nv8jAo|NLNOG 2019 - DNS over HTTPS considerations - Bert Hubert]]**
   * **[[https://media.ccc.de/v/Camp2019-10213-doh_or_don_t|CCCamp 2019 - DoH or Don’t]]**   * **[[https://media.ccc.de/v/Camp2019-10213-doh_or_don_t|CCCamp 2019 - DoH or Don’t]]**
 +  * **[[https://media.ccc.de/v/36c3-128-encrypted-dns-d-oh-the-good-bad-and-ugly-of-dns-over-https-doh-|36C3 - Encrypted DNS? D'oh! - The Good, Bad and Ugly of DNS-over-HTTPS (DoH)]]**
  
-===== links =====+===== Links =====
 //**[[:start|zurück zur WIKI-Startseite]]**// //**[[:start|zurück zur WIKI-Startseite]]**//
  
----- 
  
-Aufrufe dieser Seite: heute **{{counter|today}}** - gestern **{{counter|yesterday}}** - gesamt **{{counter|total}}** 
  • knb/dohdot.1568741124.txt.gz
  • Zuletzt geändert: 2020/06/09 17:00
  • (Externe Bearbeitung)