DNS-over-HTTPS und DNS-over-TLS Unterstützung

Dies ist eine alte Version des Dokuments!

Bild: Freifunk München Logo

Sep 16, 2019

Sicher habt ihr schon von dem Thema gehört, welches zur Zeit groß durch die IT-News geistert. Mozilla wird in Firefox Cloudflare als DoH-Server integrieren und standardmäßig aktivieren. An sich ist es keine schlechte Idee DNS Abfragen zu verschlüsseln, damit in offenen Netzen (wie Freifunk) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, per default einen Provider aus Amerika einzusetzen.

Deswegen haben wir für euch einen DoH/DoT Server aufgesetzt, den ihr zum Beispiel direkt in Firefox eintragen, per App nutzen oder mit einem sonstigen DNS Server vereinen könnt.

Wir haben uns zudem auch auf der Seite des DNSCrypt-Projektes eintragen lassen, wodurch wir automatisch bei den Resolvern in der App DNSCloak (iOS) oder bei dnscrypt-proxy zu finden sind.

Adressen:

doh.ffmuc.net - 195.30.94.28 / 2001:608:a01::3
dot.ffmuc.net - 195.30.94.28 / 2001:608:a01::3

Die Einstellungen in Firefox können bequem per Oberfläche gemacht werden. Eine detaillierte Anleitung findet sich hierzu auch direkt bei mozilla.org unter: https://wiki.mozilla.org/Trusted_Recursive_Resolver Für den deutschsprachigen User gibt es auch eine detaillierte Erklärung/Anleitung im Privacy Handbuch!

Dazu gebt ihr in die Adresszeile about:preferences#general ein und folgt dann den Screenshots. Für die Netzwerkeinstellungen müsst ihr ganz nach unten scrollen.

Hier wählen wir Benzerdefiniert beim Dropdownfeld [ Anbieter verwenden ] tragen wir in das Feld [ Benutzerdefiniert ] den Wert
https://doh.ffmuc.net/dns-query ein.

Alternativ kann man die Konfiguration auch direkt nach Eingabe der „Adresse“ about:config vornehmen. die entsprechenden Optionen finden sich nach Eingabe der Suchoption network.trr.

Unter iOS installiert ihr die App DNSCloak und wählt die FFMUC-Server per Suche aus:

Falls ihr bei euch unbound als Resolver benutzt, ist das Hinzufügen eines DoT-Servers sehr einfach. Ihr fügt zu eurer “normalen” Konfiguration folgendes hinzu:

 forward-zone:
        name: "."
        forward-addr: 195.30.94.28@853#dot.ffmuc.net
        forward-addr: 2001:608:a01::3@853#dot.ffmuc.net

Wenn alles geklappt hat, könnt ihr einen DNSLeak-Test machen und das Ergebnis sollte wie folgt aussehen:

Natürlich gibt es auch eine ausführliche Statusseite, auf der ihr alle möglichen Statistiken zu dem Dienst ansehen könnt.

Nur, um es gesagt zu haben:

Bei uns gibt es keine Logs, die irgendwie Rückschlüsse auf die Nutzung ermöglichen! Es gibt ein paar allgemeine Counter, die auf der Statusseite einsehbar sind, und wir haben Logs bzgl. Requests/IP für rate-limits.

Wir sehen also nur, Dass und nicht Was gefragt wird.

Wer noch mehr zu dem Thema wissen möchte, dem seien folgende Talks (englisch) empfohlen: