Dies ist eine alte Version des Dokuments!


DNS-over-HTTPS und DNS-over-TLS Unterstützung

Bild: Freifunk München Logo

Sep 16, 2019

Sicher habt ihr schon von dem Thema gehört, welches zur Zeit groß durch die IT-News geistert. Mozilla wird in Firefox Cloudflare als DoH-Server integrieren und standardmäßig aktivieren. An sich ist es keine schlechte Idee, DNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie Freifunk) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, per default einen Provider aus den USA einzusetzen.

Deswegen haben wir für euch einen DoH/DoT Server aufgesetzt, den ihr zum Beispiel direkt im Firefox eintragen, per App nutzen oder mit einem sonstigen DNS-Server vereinen könnt.

Wir haben uns auch auf der Seite des DNSCrypt-Projektes eintragen lassen, wodurch wir automatisch bei den Resolvern in der App DNSCloak (iOS) oder bei dnscrypt-proxy zu finden sind.

Adressen:

  • doh.ffmuc.net - 5.1.66.255 / 2001:678:e68:f000::
  • dot.ffmuc.net - 5.1.66.255 / 2001:678:e68:f000::

Die Einstellungen in Firefox können bequem per Oberfläche gemacht werden. Eine detaillierte Anleitung findet sich hierzu auch direkt bei wiki.mozilla.org. Für den deutschsprachigen User gibt es auch eine detaillierte Anleitung im Privacy Handbuch.

Dazu gebt ihr in der Adresszeile about:preferences#general ein und folgt dann den Screenshots. Für die Netzwerkeinstellungen müsst ihr ganz nach unten scrollen.

Bild: Firefox Menüpunkt Einstellungen

Hier wählen wir Benuzerdefiniert. Beim Dropdownfeld [ Anbieter verwenden ] tragen wir in das Feld [ Benutzerdefiniert ] den Wert
https://doh.ffmuc.net/dns-query ein.

Bild: Firefox Menüpunkt Einstellungen

Alternativ kann man die Konfiguration auch direkt nach Eingabe der „Adresse“ about:config vornehmen. Die entsprechenden Optionen finden sich nach Eingabe der Suchoption network.trr.

Bild: Firefox Menüpunkt Einstellungen

Auf Apple/iOS installiert ihr die App DNSCloak und wählt die FFMUC-Server per Suche aus:

Bild: Einstellungsoptionen bei DNSCloak

In Android geht ihr in die “Einstellungen” zu “Wi-Fi & Internet”. Unten ist ein Feld “Privates DNS”. Wenn ihr darauf tippt, taucht folgender Dialog auf:

Bild: “Einstellungen” zu “Wi-Fi & Internet” unter Android 9

Nachdem ihr auf “Speichern” getippt habt, taucht “dot.ffmuc.net” in der Übersicht auf:

Bild: “WiFI-Übersicht” zu “Wi-Fi & Internet” unter Android 9

Falls ihr ein Android-System habt, welches älter als Android 9 ist, müsst ihr auf andere Apps zurückgreifen. Unsere aktuelle Empfehlung ist “Intra” (PlayStore-Link).

In den Einstellungen kann man den “DNS-over-HTTPS-Server auswählen”.
Dort tragt ihr als “Benutzerdefinierte Server-URL” https://doh.ffmuc.net/dns-query ein:

Bild: Einstellungsoptionen bei der App “Infra” unter Android

Wenn ihr es dann aktiviert, kann es dann so aussehen:

Bild: Detailansicht bei aktivierter Verbindung in der App “Infra”

Falls ihr bei euch unbound als Resolver benutzt, ist das Hinzufügen eines DoT-Servers sehr einfach. Ihr fügt zu eurer “normalen” Konfiguration folgendes hinzu:

 forward-zone:
        name: "."
        forward-addr: 5.1.66.255@853#dot.ffmuc.net
        forward-addr: 2001:678:e68:f000::@853#dot.ffmuc.net

Seit Fritz!OS 7.20 ist es möglich, DOT-Server direkt in der Fritz!Box einzustellen. Geht dazu über Internet → Zugangsdaten → DNS-Server. Unten im Feld tragt ihr nun dot.ffmuc.net als DNS-Server ein:

DoT-Einstellungen in FritzBox

Im Online-Monitor könnt ihr nun sehen, dass unter „Genutzte DNS-Server“ auch folgende Einträge auftauchen:

2001:678:e68:f000:: (DoT verschlüsselt)
5.1.66.255 (DoT verschlüsselt)

Bei einem der beiden steht auch „aktuell genutzt für Standardanfragen“.

Wenn dem so ist, ist alles richtig.

Wenn alles geklappt hat, könnt ihr einen DNSLeak-Test machen. Das Ergebnis sollte wie folgt aussehen:

Bild: Ergebnis beim Testen via dns-leak.com

Natürlich gibt es auch eine ausführliche Statusseite, auf der ihr alle möglichen Statistiken zu dem Dienst ansehen könnt.

Nur, um es gesagt zu haben:

Bei uns gibt es keine Logs, die irgendwie Rückschlüsse auf die Nutzung ermöglichen! Es gibt nur ein paar allgemeine Statistiken, die auf der Statusseite einsehbar sind und wir haben Logs bzgl. Requests/IP für rate-limits.

Wir sehen also nur, dass etwas und nicht was gefragt wird.

  • knb/dohdot.1605888440.txt.gz
  • Zuletzt geändert: 2020/11/20 16:07
  • von chris_joki