Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
knb:dohdot [2021/03/31 06:50] – awickert | knb:dohdot [2022/02/24 19:45] (aktuell) – awickert |
---|
{{htmlmetatags>metatag-robots=(index,follow)}} | {{htmlmetatags>metatag-robots=(index,follow)}} |
====== DNS-over-HTTPS und DNS-over-TLS Unterstützung ====== | ====== DNS-over-HTTPS- und DNS-over-TLS-Unterstützung ====== |
{{:ffmuc_logo.png?nolink&150|Bild: Freifunk München Logo}} \\ | {{:ffmuc_logo.png?nolink&150|Bild: Freifunk München Logo}} \\ |
\\ | |
Sep 16, 2019 | |
===== Hintergründe ===== | ===== Hintergründe ===== |
Sicher habt ihr schon von dem Thema gehört, welches zur Zeit groß durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]] geistert. Mozilla wird in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Server integrieren und standardmäßig aktivieren. An sich ist es keine schlechte Idee, DNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie Freifunk) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, //per default// einen Provider aus den USA einzusetzen. | Im September 2019 ging ein Thema durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]], von dem ihr sicher auch schon gehört habt: Mozilla stellte damals in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Provider in den Voreinstellungen ein. DoH steht hier für DNS-over-HTTPS, DoT für DNS-over-TLS, also im Gegensatz zum herkömmlichen DNS über kryptographisch gesicherte Verbindungen. Aus unserer Sicht ist es keine schlechte Idee, DNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie z.B. Freifunk München) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, //per default// einen Provider aus den USA einzusetzen. |
| |
| Deswegen haben wir für euch einen eigenen DoH-/DoT-Dienst aufgesetzt, der diese Problematik umgeht. Privacy-relevante Daten bleiben im Land und wir sorgen dafür, dass eure DNS-Anfragen privat bleiben. |
| |
Deswegen haben wir für euch einen DoH/DoT Server aufgesetzt, den ihr zum Beispiel direkt im Firefox eintragen, per App nutzen oder mit einem sonstigen DNS-Server vereinen könnt. | Um den Dienst zu nutzen, müsst ihr, wenn ihr nicht über einen Freifunk München - Accesspoint geht und eure Applikation nicht den Standard-DNS benutzt, allerdings manuell auf euren Systemen konfigurieren, zum Beispiel im Browser, auf dem Smartphone oder eurem Tablet. |
| |
Wir haben uns auch auf der Seite des [[https://dnscrypt.info/public-servers/|DNSCrypt-Projektes]] eintragen lassen, wodurch wir automatisch bei den Resolvern in der App [[https://apps.apple.com/de/app/dnscloak-secure-dns-client/id1452162351|DNSCloak]] (iOS) oder bei [[https://github.com/DNSCrypt/dnscrypt-proxy|dnscrypt-proxy]] zu finden sind. | Wir haben uns auch auf der Seite des [[https://dnscrypt.info/public-servers/|DNSCrypt-Projektes]] eintragen lassen, wodurch wir automatisch bei den Resolvern in der App [[https://apps.apple.com/de/app/dnscloak-secure-dns-client/id1452162351|DNSCloak]] (iOS) oder bei [[https://github.com/DNSCrypt/dnscrypt-proxy|dnscrypt-proxy]] zu finden sind. |
| |
Adressen: | ===== Adressen ===== |
| (auch als normale [[knb:dns|DNS Server]] nutzbar): |
* ''doh.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' | * ''doh.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' |
* ''dot.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' | * ''dot.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' |
| * https://doh.ffmuc.net/dns-query |
| |
===== Firefox ===== | ===== Firefox ===== |
Nachdem ihr auf “Speichern” getippt habt, taucht “dot.ffmuc.net” in der Übersicht auf: | Nachdem ihr auf “Speichern” getippt habt, taucht “dot.ffmuc.net” in der Übersicht auf: |
| |
{{ :knb:2019-09-16-dot-android-overview.jpeg?direct&350 |Bild: “WiFI-Übersicht” zu “Wi-Fi & Internet” unter Android 9}} | {{ :knb:2019-09-16-dot-android-overview.jpeg?direct&350 |Bild: “WiFi-Übersicht” zu “Wi-Fi & Internet” unter Android 9}} |
| |
==== Android < 9 ==== | ==== Android < 9 ==== |
Falls ihr ein Android-System habt, welches älter als Android 9 ist, müsst ihr auf andere Apps zurückgreifen. | Falls ihr ein Android-System habt, welches älter als Android 9 ist, müsst ihr auf andere Apps zurückgreifen. |
Unsere aktuelle Empfehlung ist “Intra” ([[https://play.google.com/store/apps/details?id=app.intra|PlayStore-Link]]). | Unsere aktuelle Empfehlung ist ([[https://play.google.com/store/apps/details?id=app.intra|Intra]]). |
\\ | \\ |
\\ | \\ |
| |
===== Unbound ===== | ===== Unbound ===== |
Falls ihr bei euch [[https://nlnetlabs.nl/projects/unbound/about/|unbound]] als Resolver benutzt, ist das Hinzufügen eines DoT-Servers sehr einfach. Ihr fügt zu eurer “normalen” Konfiguration folgendes hinzu: | Falls ihr bei euch [[https://nlnetlabs.nl/projects/unbound/about/|Unbound]] als Resolver benutzt, ist das Hinzufügen eines DoT-Servers sehr einfach. Ihr fügt zu eurer “normalen” Konfiguration folgendes hinzu: |
| |
<code> forward-zone: | <code> forward-zone: |
name: "." | name: "." |
forward-addr: 5.1.66.255@853#dot.ffmuc.net | forward-addr: 5.1.66.255@853#dot.ffmuc.net |
| forward-addr: 185.150.99.255@853#dot.ffmuc.net |
forward-addr: 2001:678:e68:f000::@853#dot.ffmuc.net | forward-addr: 2001:678:e68:f000::@853#dot.ffmuc.net |
| forward-addr: 2001:678:ed0:f000::@853#dot.ffmuc.net |
</code> | </code> |
| |
===== AVM Fritz!Box ===== | ===== AVM Fritz!Box ===== |
Seit Fritz!OS 7.20 ist es möglich, DOT-Server direkt in der Fritz!Box einzustellen. | Seit Fritz!OS 7.20 ist es möglich, DoT-Server direkt in der Fritz!Box einzustellen. |
Geht dazu über Internet -> Zugangsdaten -> DNS-Server. Unten im Feld tragt ihr nun dot.ffmuc.net als DNS-Server ein: | Geht dazu über Internet -> Zugangsdaten -> DNS-Server. Unten im Feld tragt ihr nun dot.ffmuc.net als Hostnamen ein: |
| |
| |
| |
{{ :knb:fritzbox_dot_settings.png?direct&800|DoT-Einstellungen in FritzBox }} | {{ :knb:fritzbox_dot_settings.png?direct&800 |DoT-Einstellungen in FritzBox }} |
| |
| |
Im Online-Monitor könnt ihr nun sehen, dass unter "Genutzte DNS-Server" auch folgende Einträge auftauchen: | Im Online-Monitor könnt ihr nun sehen, dass unter "Genutzte DNS-Server" auch folgende Einträge auftauchen: |
| |
2001:678:e68:f000:: (DoT verschlüsselt) | 2001:678:e68:f000:: (DoT verschlüsselt) |
| 2001:678:ed0:f000:: (DoT verschlüsselt) |
5.1.66.255 (DoT verschlüsselt) | 5.1.66.255 (DoT verschlüsselt) |
| 185.150.99.255 (DoT verschlüsselt) |
| |
Bei einem der beiden steht auch "aktuell genutzt für Standardanfragen". | Bei einem der beiden steht auch "aktuell genutzt für Standardanfragen". |
| |
Wenn dem so ist, ist alles richtig. | Wenn dem so ist, ist alles richtig. |
| |
| |
| |
| ===== Mikrotik / RouterOS ===== |
| |
| Das Hauptproblem hier ist, dass die Geräte von Haus aus dem FFMuc LetsEncrypt-Zertifikat nicht vertrauen. |
| Wir müssen deshalb erst das normale DNS konfigurieren, das Zertifikat herunterladen und installieren und können erst dann DoH konfigurieren: |
| |
| <code> |
| /ip dns set servers=5.1.66.255,185.150.99.255 |
| /tool fetch url=https://letsencrypt.org/certs/isrgrootx1.pem |
| /certificate import file-name=isrgrootx1.pem passphrase="" |
| /ip dns set servers=5.1.66.255,185.150.99.255 use-doh-server=https://doh.ffmuc.net/dns-query verify-doh-cert=yes |
| </code> |
| |
| (Hier sind die Kommandozeilenbefehle angegeben. In der GUI sind ist die Hierarchie identisch, d.h. statt "/ip dns set" wählt man den Menüpunkt "ip" und dann Unterpunkt "dns" und setzt da die entsprechenden Werte.) |
| |
| |
===== DNSleak-Test ===== | ===== DNSleak-Test ===== |
| |
===== Statistiken ===== | ===== Statistiken ===== |
Natürlich gibt es auch eine ausführliche **[[https://stats.ffmuc.net/d/tlvoghcZk/doh-dot?orgId=1&refresh=1m|Statusseite]]**, auf der ihr alle möglichen Statistiken zu dem Dienst ansehen könnt. | Natürlich gibt es auch eine ausführliche **[[https://stats.ffmuc.net/d/tlvoghcZk/doh-dot?orgId=1&refresh=1m|Statusseite]]**, auf der ihr alle allgemeine Statistiken zu dem Dienst ansehen könnt. |
| |
<WRAP center round alert 80%> | <WRAP center round alert 80%> |
**Nur, um es gesagt zu haben**: \\ | **Nur, um es gesagt zu haben**: \\ |
\\ | \\ |
Bei uns gibt es keine Logs, die irgendwie Rückschlüsse auf die Nutzung ermöglichen! | Bei uns gibt es keine Logs, die Rückschlüsse auf die inhaltliche Nutzung des Dienstes durch einzelne Benutzer ermöglichen. |
Es gibt nur ein paar allgemeine Statistiken, die auf der Statusseite einsehbar sind und wir haben Logs bzgl. Requests/IP für rate-limits. \\ | Es gibt lediglich zusammenfassende Statistiken, die auf obiger Statusseite öffentlich einsehbar sind. Um rate-limits durchzusetzen, führen wir darüber hinaus Logs bzgl. der Anzahl von Requests pro IP-Adresse.\\ |
| |
Wir sehen also nur, **//dass//** etwas und nicht **//was//** gefragt wird. | Wir sehen also nur, **//dass//** eine DNS-Auflösung angefragt wurde und nicht **//was//** gefragt wurde. |
</WRAP> | </WRAP> |
| |
* **[[https://media.ccc.de/v/36c3-128-encrypted-dns-d-oh-the-good-bad-and-ugly-of-dns-over-https-doh-|36C3 - Encrypted DNS? D'oh! - The Good, Bad and Ugly of DNS-over-HTTPS (DoH)]]** | * **[[https://media.ccc.de/v/36c3-128-encrypted-dns-d-oh-the-good-bad-and-ugly-of-dns-over-https-doh-|36C3 - Encrypted DNS? D'oh! - The Good, Bad and Ugly of DNS-over-HTTPS (DoH)]]** |
| |
===== links ===== | ===== Links ===== |
//**[[:start|zurück zur WIKI-Startseite]]**// | //**[[:start|zurück zur WIKI-Startseite]]**// |
| |
| |