| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| knb:dohdot [2022/01/13 13:10] – [links] chris_joki | knb:dohdot [2025/09/08 01:19] (aktuell) – t0biii |
|---|
| {{htmlmetatags>metatag-robots=(index,follow)}} | {{htmlmetatags>metatag-robots=(index,follow)}} |
| ====== DNS-over-HTTPS- und DNS-over-TLS-Unterstützung ====== | ====== DNS-over-HTTPS/-TLS/-QUIC-Unterstützung ====== |
| {{:ffmuc_logo.png?nolink&150|Bild: Freifunk München Logo}} \\ | {{:ffmuc_logo.png?nolink&150|Bild: Freifunk München Logo}} \\ |
| ===== Hintergründe ===== | ===== Hintergründe ===== |
| Im September 2019 ging ein Thema durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]], von dem ihr sicher auch schon gehört habt: Mozilla stellte damals in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Provider in den Voreinstellungen ein. DoH steht hier für DNS-over-HTTPS, DoT für DNS-over-TLS, also im Gegensatz zum herkömmlichen DNS über kryptographisch gesicherte Verbindungen. Aus unserer Sicht ist es keine schlechte Idee, DNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie z.B. Freifunk München) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, //per default// einen Provider aus den USA einzusetzen. | Im September 2019 ging ein Thema durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]], von dem ihr sicher auch schon gehört habt: Mozilla stellte damals in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Provider in den Voreinstellungen ein. DoH steht hier für DNS-over-HTTPS, DoT für DNS-over-TLS, also im Gegensatz zum herkömmlichen DNS über kryptographisch gesicherte Verbindungen. Aus unserer Sicht ist es keine schlechte Idee, DNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie z.B. Freifunk München) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, //per default// einen Provider aus den USA einzusetzen. |
| |
| Deswegen haben wir für euch einen eigenen DoH-/DoT-Dienst aufgesetzt, der diese Problematik umgeht. Privacy-relevante Daten bleiben im Land und wir sorgen dafür, dass eure DNS-Anfragen privat bleiben. | Deswegen haben wir für euch einen eigenen DoH-/DoT-/DoQ-Dienst aufgesetzt, der diese Problematik umgeht. Privacy-relevante Daten bleiben im Land und wir sorgen dafür, dass eure DNS-Anfragen privat bleiben. |
| | |
| Um den Dienst zu nutzen, müsst ihr, wenn ihr nicht über einen Freifunk München - Accesspoint geht und eure Applikation nicht den Standard-DNS benutzt, allerdings manuell auf euren Systemen konfigurieren, zum Beispiel im Browser, auf dem Smartphone oder eurem Tablet. | |
| |
| Wir haben uns auch auf der Seite des [[https://dnscrypt.info/public-servers/|DNSCrypt-Projektes]] eintragen lassen, wodurch wir automatisch bei den Resolvern in der App [[https://apps.apple.com/de/app/dnscloak-secure-dns-client/id1452162351|DNSCloak]] (iOS) oder bei [[https://github.com/DNSCrypt/dnscrypt-proxy|dnscrypt-proxy]] zu finden sind. | Wir haben uns auch auf der Seite des [[https://dnscrypt.info/public-servers/|DNSCrypt-Projektes]] eintragen lassen, wodurch wir automatisch bei den Resolvern in der App [[https://apps.apple.com/de/app/dnscloak-secure-dns-client/id1452162351|DNSCloak]] (iOS) oder bei [[https://github.com/DNSCrypt/dnscrypt-proxy|dnscrypt-proxy]] zu finden sind. |
| |
| ===== Adressen ===== | Um den Dienst ohne diesen Apps zu nutzen, müsst ihr, wenn ihr nicht über einen Freifunk München-Accesspoint geht und eure Applikation nicht den Standard-DNS benutzt, allerdings manuell auf euren Systemen konfigurieren, zum Beispiel im Browser, auf dem Smartphone oder eurem Tablet. |
| (auch als normale [[knb:dns|DNS Server]] nutzbar): | |
| | ===== Adressen & Protokolle ===== |
| | Unsere DNS-Server sind sowohl als „normale“ [[knb:dns|DNS-Server]] (also für einfaches, unverschlüsseltes DNS über UDP/TCP) nutzbar, als auch über folgende Protokolle: |
| | * DNS over TLS |
| | * DNS over HTTPS |
| | * DNS over HTTP/3 |
| | * DNS over QUIC |
| | Als Adressen & Domains für die Konfiguration gelten dort jeweils: |
| * ''doh.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' | * ''doh.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' |
| * ''dot.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' | * ''dot.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' |
| |
| {{ :knb:2019-09-16-doh-infra-detailoverview.jpg?direct&350 |Bild: Detailansicht bei aktivierter Verbindung in der App “Infra”}} | {{ :knb:2019-09-16-doh-infra-detailoverview.jpg?direct&350 |Bild: Detailansicht bei aktivierter Verbindung in der App “Infra”}} |
| | |
| |
| ===== Unbound ===== | ===== Unbound ===== |
| forward-addr: 2001:678:ed0:f000::@853#dot.ffmuc.net | forward-addr: 2001:678:ed0:f000::@853#dot.ffmuc.net |
| </code> | </code> |
| | |
| |
| ===== AVM Fritz!Box ===== | ===== AVM Fritz!Box ===== |
| |
| |
| | {{ :knb:fritzbox_dot_settings.png?direct&800 |DoT-Einstellungen in FritzBox }} |
| {{ :knb:fritzbox_dot_settings.png?direct&800|DoT-Einstellungen in FritzBox }} | |
| | |
| |
| Im Online-Monitor könnt ihr nun sehen, dass unter "Genutzte DNS-Server" auch folgende Einträge auftauchen: | Im Online-Monitor könnt ihr nun sehen, dass unter "Genutzte DNS-Server" auch folgende Einträge auftauchen: |
| 185.150.99.255 (DoT verschlüsselt) | 185.150.99.255 (DoT verschlüsselt) |
| | |
| Bei einem der beiden steht auch "aktuell genutzt für Standardanfragen". | Bei einem der vier steht auch "aktuell genutzt für Standardanfragen". |
| |
| Wenn dem so ist, ist alles richtig. | Wenn dem so ist, ist alles richtig. |
| | |
| | |
| | ===== Mikrotik / RouterOS ===== |
| | |
| | Das Hauptproblem hier ist, dass die Geräte von Haus aus dem FFMuc LetsEncrypt-Zertifikat nicht vertrauen. |
| | Wir müssen deshalb erst das normale DNS konfigurieren, das Zertifikat herunterladen und installieren und können erst dann DoH konfigurieren: |
| | |
| | <code> |
| | /ip dns set servers=5.1.66.255,185.150.99.255 |
| | /tool fetch url=https://letsencrypt.org/certs/isrgrootx1.pem |
| | /certificate import file-name=isrgrootx1.pem passphrase="" |
| | /ip dns set servers=5.1.66.255,185.150.99.255 use-doh-server=https://doh.ffmuc.net/dns-query verify-doh-cert=yes |
| | </code> |
| | |
| | (Hier sind die Kommandozeilenbefehle angegeben. In der GUI sind ist die Hierarchie identisch, d.h. statt "/ip dns set" wählt man den Menüpunkt "ip" und dann Unterpunkt "dns" und setzt da die entsprechenden Werte.) |
| | |
| |
| ===== DNSleak-Test ===== | ===== DNSleak-Test ===== |
chris_joki