Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- knb:dohdot [2020/11/20 16:07] – chris_joki
+++ knb:dohdot [2022/02/24 19:45] (aktuell) – awickert
@@ Zeile 1: / Zeile 1: @@
 {{htmlmetatags>metatag-robots=(index,follow)}}
-====== DNS-over-HTTPS und DNS-over-TLS Unterstützung ======
+====== DNS-over-HTTPS- und DNS-over-TLS-Unterstützung ======
 {{:ffmuc_logo.png?nolink&150|Bild: Freifunk München Logo}} \\
-\\
-Sep 16, 2019
 ===== Hintergründe =====
-Sicher habt ihr schon von dem Thema gehört, welches zur Zeit groß durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]] geistert. Mozilla wird in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Server integrieren und standardmäßig aktivieren. An sich ist es keine schlechte Idee, DNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie Freifunk) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, //per default// einen Provider aus den USA einzusetzen.
+Im September 2019 ging ein Thema durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]], von dem ihr sicher auch schon gehört habt: Mozilla stellte damals in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Provider in den Voreinstellungen ein. DoH steht hier für DNS-over-HTTPS, DoT für DNS-over-TLS, also im Gegensatz zum herkömmlichen DNS über kryptographisch gesicherte Verbindungen. Aus unserer Sicht ist es keine schlechte Idee, DNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie z.B. Freifunk München) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, //per default// einen Provider aus den USA einzusetzen.
+Deswegen haben wir für euch einen eigenen DoH-/DoT-Dienst aufgesetzt, der diese Problematik umgeht. Privacy-relevante Daten bleiben im Land und wir sorgen dafür, dass eure DNS-Anfragen privat bleiben.
-Deswegen haben wir für euch einen DoH/DoT Server aufgesetzt, den ihr zum Beispiel direkt im Firefox eintragen, per App nutzen oder mit einem sonstigen DNS-Server vereinen könnt.
+Um den Dienst zu nutzen, müsst ihr, wenn ihr nicht über einen Freifunk München - Accesspoint geht und eure Applikation nicht den Standard-DNS benutzt, allerdings manuell auf euren Systemen konfigurieren, zum Beispiel im Browser, auf dem Smartphone oder eurem Tablet.
 Wir haben uns auch auf der Seite des [[https://dnscrypt.info/public-servers/|DNSCrypt-Projektes]] eintragen lassen, wodurch wir automatisch bei den Resolvern in der App [[https://apps.apple.com/de/app/dnscloak-secure-dns-client/id1452162351|DNSCloak]] (iOS) oder bei [[https://github.com/DNSCrypt/dnscrypt-proxy|dnscrypt-proxy]] zu finden sind.
-Adressen:
+===== Adressen =====
-  * ''doh.ffmuc.net - 5.1.66.255 / 2001:678:e68:f000::''
+(auch als normale [[knb:dns|DNS Server]] nutzbar):
-  * ''dot.ffmuc.net - 5.1.66.255 / 2001:678:e68:f000::''
+  * ''doh.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::''
+  * ''dot.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::''
+  * https://doh.ffmuc.net/dns-query
 ===== Firefox =====
@@ Zeile 43: / Zeile 45: @@
 Nachdem ihr auf “Speichern” getippt habt, taucht “dot.ffmuc.net” in der Übersicht auf:
-{{ :knb:2019-09-16-dot-android-overview.jpeg?direct&350 |Bild: “WiFI-Übersicht” zu “Wi-Fi & Internet” unter Android 9}}
+{{ :knb:2019-09-16-dot-android-overview.jpeg?direct&350 |Bild: “WiFi-Übersicht” zu “Wi-Fi & Internet” unter Android 9}}
 ==== Android < 9 ====
 Falls ihr ein Android-System habt, welches älter als Android 9 ist, müsst ihr auf andere Apps zurückgreifen.
-Unsere aktuelle Empfehlung ist “Intra” ([[https://play.google.com/store/apps/details?id=app.intra|PlayStore-Link]]).
+Unsere aktuelle Empfehlung ist ([[https://play.google.com/store/apps/details?id=app.intra|Intra]]).
 \\
 \\
@@ Zeile 61: / Zeile 63: @@
 ===== Unbound =====
-Falls ihr bei euch [[https://nlnetlabs.nl/projects/unbound/about/|unbound]] als Resolver benutzt, ist das Hinzufügen eines DoT-Servers sehr einfach. Ihr fügt zu eurer “normalen” Konfiguration folgendes hinzu:
+Falls ihr bei euch [[https://nlnetlabs.nl/projects/unbound/about/|Unbound]] als Resolver benutzt, ist das Hinzufügen eines DoT-Servers sehr einfach. Ihr fügt zu eurer “normalen” Konfiguration folgendes hinzu:
 <code> forward-zone:
         name: "."
         forward-addr: 5.1.66.255@853#dot.ffmuc.net
+        forward-addr: 185.150.99.255@853#dot.ffmuc.net
         forward-addr: 2001:678:e68:f000::@853#dot.ffmuc.net
+        forward-addr: 2001:678:ed0:f000::@853#dot.ffmuc.net
 </code>
 ===== AVM Fritz!Box =====
-Seit Fritz!OS 7.20 ist es möglich, DOT-Server direkt in der Fritz!Box einzustellen.
+Seit Fritz!OS 7.20 ist es möglich, DoT-Server direkt in der Fritz!Box einzustellen.
-Geht dazu über Internet -> Zugangsdaten -> DNS-Server. Unten im Feld tragt ihr nun dot.ffmuc.net als DNS-Server ein:
+Geht dazu über Internet -> Zugangsdaten -> DNS-Server. Unten im Feld tragt ihr nun dot.ffmuc.net als Hostnamen ein:
-{{ :knb:fritzbox_dot_settings.png?direct&800|DoT-Einstellungen in FritzBox }}
+{{ :knb:fritzbox_dot_settings.png?direct&800 |DoT-Einstellungen in FritzBox }}
 Im Online-Monitor könnt ihr nun sehen, dass unter "Genutzte DNS-Server" auch folgende Einträge auftauchen:
 :678:e68:f000:: (DoT verschlüsselt)
+:678:ed0:f000:: (DoT verschlüsselt)
 .1.66.255 (DoT verschlüsselt)
+.150.99.255 (DoT verschlüsselt)
 Bei einem der beiden steht auch "aktuell genutzt für Standardanfragen".
 Wenn dem so ist, ist alles richtig.
+===== Mikrotik / RouterOS =====
+Das Hauptproblem hier ist, dass die Geräte von Haus aus dem FFMuc LetsEncrypt-Zertifikat nicht vertrauen.
+Wir müssen deshalb erst das normale DNS konfigurieren, das Zertifikat herunterladen und installieren und können erst dann DoH konfigurieren:
+<code>
+/ip dns set servers=5.1.66.255,185.150.99.255
+/tool fetch url=https://letsencrypt.org/certs/isrgrootx1.pem
+/certificate import file-name=isrgrootx1.pem passphrase=""
+/ip dns set servers=5.1.66.255,185.150.99.255 use-doh-server=https://doh.ffmuc.net/dns-query verify-doh-cert=yes
+</code>
+(Hier sind die Kommandozeilenbefehle angegeben.  In der GUI sind ist die Hierarchie identisch, d.h. statt "/ip dns set" wählt man den Menüpunkt "ip" und dann Unterpunkt "dns" und setzt da die entsprechenden Werte.)
 ===== DNSleak-Test =====
@@ Zeile 94: / Zeile 115: @@
 ===== Statistiken =====
-Natürlich gibt es auch eine ausführliche **[[https://stats.ffmuc.net/d/tlvoghcZk/doh-dot?orgId=1&refresh=1m|Statusseite]]**, auf der ihr alle möglichen Statistiken zu dem Dienst ansehen könnt.
+Natürlich gibt es auch eine ausführliche **[[https://stats.ffmuc.net/d/tlvoghcZk/doh-dot?orgId=1&refresh=1m|Statusseite]]**, auf der ihr alle allgemeine Statistiken zu dem Dienst ansehen könnt.
 <WRAP center round alert 80%>
 **Nur, um es gesagt zu haben**: \\
 \\
-Bei uns gibt es keine Logs, die irgendwie Rückschlüsse auf die Nutzung ermöglichen!
+Bei uns gibt es keine Logs, die Rückschlüsse auf die inhaltliche Nutzung des Dienstes durch einzelne Benutzer ermöglichen.
-Es gibt nur ein paar allgemeine Statistiken, die auf der Statusseite einsehbar sind und wir haben Logs bzgl. Requests/IP für rate-limits. \\
+Es gibt lediglich zusammenfassende Statistiken, die auf obiger Statusseite öffentlich einsehbar sind. Um rate-limits durchzusetzen, führen wir darüber hinaus Logs bzgl. der Anzahl von Requests pro IP-Adresse.\\
-Wir sehen also nur, **//dass//** etwas und nicht **//was//** gefragt wird.
+Wir sehen also nur, **//dass//** eine DNS-Auflösung angefragt wurde und nicht **//was//** gefragt wurde.
 </WRAP>
@@ Zeile 114: / Zeile 135: @@
   * **[[https://media.ccc.de/v/36c3-128-encrypted-dns-d-oh-the-good-bad-and-ugly-of-dns-over-https-doh-|36C3 - Encrypted DNS? D'oh! - The Good, Bad and Ugly of DNS-over-HTTPS (DoH)]]**
-===== links =====
+===== Links =====
 //**[[:start|zurück zur WIKI-Startseite]]**//