Netzwerkeinstellungen - Was passiert bei DNS over TLS auf dem Mac? | Netzwerk & Internet | Forum

Push-Nachrichten von MacTechNews.de

Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Forum>Netzwerke>Netzwerkeinstellungen - Was passiert bei DNS over TLS auf dem Mac?

Netzwerkeinstellungen - Was passiert bei DNS over TLS auf dem Mac?

marm12.09.2110:18

Seit einer Weile habe ich DNS over TLS auf dem iPhone installiert (dismail.de/dnsforge.de). Statt der DNS des Mobilfunkproviders nutze ich so die genannten DNS-Server. So weit so gut.

DoT wird per Profil installiert. Das Profil lässt sich auch auf dem Mac installieren. Also installiert. Nun habe ich in Systemeinstellungen/Netzwerk" Ethernet, WLAN und das DoT-Profil stehen.

Alles funktioniert, aber ich würde dennoch gerne verstehen, was da passiert.
Wenn ich das richtig verstanden habe, rufe ich also stets den DoT-DNS-Server auf. Wird damit der DNS-Server umgangen, den ich im Router eingetragen habe? Im Router habe ich die IP meines Pi-Hole eingetragen. Oder läuft doch alles weiterhin über das Pi-hole?

Absicht ist, dass wenn ich unterwegs bin und mein Ethernet und WLAN nicht zur Verfügung stehe, dass ich dann meinen selbst gewählten DNS-Server nutze.

Nun kann ich in Systemeinstellungen/Netzwerk auch ein VPN eintragen. Läuft dann grundsätzlich alles über dieses VPN?

Kommentare

maculi12.09.2111:49

Wenn du auf dem Mac einen DNS-Server manuell (oder eben per Profil) eingetragen hast, dann sollte der Eintrag im Router ignoriert werden. Ruf doch von deinem pi-hole das dashboard auf. Wird denn da etwas als gefiltert angezeigt, oder herrscht gähnende Leere? Auf dem pi-hole kannst du unter settings - dns den DoT-DNS-Server eintragen. Dann läuft das so, das erst das pi-hole aufgerufen wird, das filtert Werbung, und da das viele DNS-Anfragen nicht selbst beantworten kann werden diese dann weitergereicht.
Auf dem Mac kannst du mehrere DNS-Server eintragen. An erster Stelle sollte das pi-hole stehen, an zweiter der DoT. Wenn du unterwegs bist findet er das pi-hole nicht und geht dann direkt zum nächsten.

marm12.09.2112:21

Auf dem pi-hole wird nichts vom betreffenden Macbook gefiltert. Der Router-Eintrag wird also tatsächlich ignoriert und alles läuft direkt über den DoT-Server.

Das mit der pi-hole und DoT verstehe ich da schon weniger. In der pi-hole kann ich doch nur ipv4/6-Einträge erstellen? Von DoT steht da nichts. Ich habe dort die DNS-Server ipv4/6 von dismail und dnsforge eingetragen.
Beim Mac ebenso. Da kann ich IPs eintragen, aber DoT nur als Profil installieren. Ich müsste im Heimnetz das Profil deaktivieren, damit es über das pi-hole läuft, und unterwegs das Profil aktivieren?

Oder ist mein Missverständnis, dass sich auch DoT als IP-Nummer eintragen lässt?

maculi12.09.2112:47

Um ehrlich zu sein, ich bin mir nicht ganz sicher, was genau du installiert hast. Unter dismail.de/dnsforge.de krieg ich nur eine Fehlermeldung. Ein Profil ist letzten Endes auch nur eine Sammlung von verschiedenen Einstellungen (unter anderem vermutlich ein alternativer DNS-Server), die mit einem Rutsch vorgenommen werden, statt alles einzeln einzustellen. Mach doch bitte mal ein Bildschirmfoto von deinen diversen Netzwerkeinstellungen, vielleicht hilft das weiter.

marm12.09.2112:58

Hier kann das Profil geladen werden: https://www.privacy-handbuch.de/mobileconfig/dismail-dot1.mobileconfig

Geöffnet steht da so etwas drin:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>DNSSettings</key>
<dict>
<key>DNSProtocol</key>
<string>TLS</string>
<key>ServerAddresses</key>
<array>
<string>2a02:c205:3001:4558::1</string>
<string>80.241.218.68</string>
</array>
<key>ServerName</key>
<string>fdns1.dismail.de</string>
</dict>
<key>PayloadDescription</key>
<string>Configures device to use dismail.de (Server 1) Encrypted DNS over TLS</string>
<key>PayloadDisplayName</key>
<string>dismail.de (Server 1) DNS over TLS</string>
<key>PayloadIdentifier</key>
<string>com.apple.dnsSettings.managed.7577679a-8130-4226-9bf5-63e60308fb74</string>
<key>PayloadType</key>
<string>com.apple.dnsSettings.managed</string>
<key>PayloadUUID</key>
<string>8278de93-af96-43ed-af67-e762b8a1120d</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>ProhibitDisablement</key>
<false/>
</dict>
</array>
<key>PayloadDescription</key>
<string>Adds dismail.de (Server 1) Encrypted DNS over TLS to Big Sur and iOS 14 based systems</string>
<key>PayloadDisplayName</key>
<string>dismail.de (Server 1) DNS over TLS</string>
<key>PayloadIdentifier</key>
<string>com.notjakob.apple-dns.f1582d1a-9431-4f09-92ec-8a39954d9e35</string>
<key>PayloadRemovalDisallowed</key>
<false/>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>dbc93f91-9112-4363-9bf7-a8f6014fb4e4</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>

Für die TLS-Verschlüsselung sind wohl die alphanummerischen Codes.
Wie zu sehen ist bezieht sich das Profil auf den Server "fdns1.dismail.de" und nicht auf eine IP-Nummer.

In der pi-hole sind IP-Nummern eingetragen. Auf dem Router die IP der pi-hole.
Bei dnsforge ist das Profil signiert, muss dann aber alle 3 Monate erneuert werden.

maculi12.09.2113:14

fdns1.dismail.de und 80.241.218.68 ist derselbe Server (nur unterschiedlich benannt). Es sollte reichen, wenn du im pi-hole und in deinen Systemeinstellungen 80.241.218.68 (und 2a02:c205:3001:4558::1 für ipv6) einträgst.
Starte doch mal dein Terminal und kopier folgendes rein: ping -c 3 fdns1.dismail.de
Dann wird der Server fdns1.dismail.de drei mal angepingt (ist nicht weiteres als ein "ist da wer unter der Adresse?"). In dem, was dann erscheint steht gleich die 80.241.218.68, was nix anderes bedeutet, als das der Server diese ipv4-Adresse hat.

marm12.09.2113:19

danke, maculi. Aber wo bleibt da die TLS-Verschlüsselung, wenn ich die IP eintrage?
Wenn ich noch einen drauflege: Bei DNS over https werden nur noch Links a la "https://dnsforge.de/dns-query" angegeben.

maculi12.09.2113:35

Wenn ich mir unter den passenden Eintrag anseh, dann vermute ich das der Server gar keine anderen Anfragen als DNS over TLS annimmt. Normales DNS ohne TLS oder HTTPS macht der nicht.

Allerdings würde ich mir schon überlegen, ob ich nicht statt dismail.de (oder einen der anderen von Einzelpersonen angebotenen Servern) einen der von den weiter oben genannten Organisationen betriebenen nutzen würde. Ich will keinem was unterstellen, aber welche Garantie hast du, das da alles richtig eingestellt wurde und nicht in welcher Form auch immer Schindluder getrieben wird oder schlichte Konfigurationsfehler gemacht werden? Bei Organisationen wie Digitalcourage schauen vermutlich mehrere Menschen drauf, zudem haben die einen Ruf zu verlieren. Und das die das Interesse verlieren, einen DNS-Server zu betreiben ist eher unwahrscheinlich, bei Leuten, die das als Einzelkämpfer erledigen können sich im Laufe der Zeit eher mal die Interessen verschieben.

marm12.09.2113:41

Valides Argument pro Digitalcourage. Das stelle ich mal um. Über pi-hole filtern reicht zudem
Da muss ich mir nur für unterwegs das Profil anders anlegen.

X-Jo12.09.2117:08

Und als zweiten DNS habe ich dns.digitale-gesellschaft.ch.

tix12.09.2122:39

Hier gibt es noch ein paar nützliche Tipps:

… und hier ist eine Liste mit vertrauenswürdigen Servern:

marm12.09.2123:53

tix
Die Links kannte ich, der zweite ist oben auch verlinkt. Das Privacy Handbuch und Kuketz war letztlich sogar die Anregung mich mit DoT/DoH zu beschäftigen. In Firefox habe ich DoH installiert. Ob's was bringt 🤷‍♂️

Was oben in meiner Thread-Eröffnung untergeht:

Ich kann die Installation eines DoT-Profils auf dem iPhone nur empfehlen. Das ist die einzige direkte Möglichkeit unterwegs den Provider-DNS-Server zu umgehen (außer VPN oder die App DNS Cloack). Stattdessen kann ein DNS-Server ausgewählt werden, der mehr die Privatsphäre schützt und obendrein gibt es - je nach gewähltem DNS-Server - den Werbeblocker über den DNS-Server-Filter. Den extra Werbeblocker kann man sich so sparen.

MikeMuc13.09.2116:23

Wozu braucht es zur Veränderung des dDefault-DNS ein Profil? Das sollte doch auch ohne klappen.

marm13.09.2116:29

MikeMuc

Wozu braucht es zur Veränderung des dDefault-DNS ein Profil? Das sollte doch auch ohne klappen.

Die Änderungen der DNS-IP geht nur bei der WLAN-Einstellung, aber nicht für den Mobilfunk.

Netzwerkeinstellungen - Was passiert bei DNS over TLS auf dem Mac?

Kommentare

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.