Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Wegen Cloudflare: OpenBSD deaktiviert…

Was passiert eigentlich bei DoH...

  1. Thema

Neues Thema Ansicht wechseln


  1. Was passiert eigentlich bei DoH...

    Autor: demon driver 16.09.19 - 15:40

    ..., wenn ich in einem LAN einen per DHCP allen Clients zugewiesenen DNS betreibe, der eine Reihe von Namen absichtlich anders auflöst als der öffentliche DNS draußen? Sehe ich das richtig, dass der lokale DNS einfach standardmäßig umgangen wird?

    Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon, ob die Anfragen jetzt standardmäßig einem einzigen, kommerziellen Unternehmen zugeleitet werden, oder ob das irgendwie anders gehändelt würde.

    In dem Zusammenhang hab ich bisher auch noch keine einfache Lösung dafür gefunden, dass Android-Clients ab einer bestimmten Version (6?) automatisch den Google-DNS via IPv6 nutzen, wenn der DHCP-zugewiesene lokale DNS nur IPv4 spricht. Korrekt wäre das Verhalten nach meinen Vorstellungen nur, wenn der lokale DNS die Namensanfrage per IPv4 nicht auflösen kann, oder sehe ich da was falsch?

  2. Re: Was passiert eigentlich bei DoH...

    Autor: robinx999 16.09.19 - 16:23

    Wenn man nur einen DNS Server bekannt gibt und keine weiteren Optionen gesetzt hat dann ja dann umgeht der den Rest.
    Hier gibt es einen RFC Draft also noch nicht Final mit dem man einen DOH Server im Netzwerk bekannt geben kann, also keinen normalen DNS Server der sollte dann auch verwendet werden, sobald alles final ist https://tools.ietf.org/html/draft-peterson-doh-dhcp-00#page-2

    Und ja es gibt ein paar Geräte die bestimmte DNS Server fest encoded haben, der Chromecast fragt AFAIK auch erst 8.8.8.8 ab bevor er den zugewiesenen DNS Server verwendet. Die einzige Möglichkeit die man bei derartigen Clients hat ist es Port 53, also den DNS Port zu blocken. Bei DOH wird es aber schwieriger, evtl. gibt es wie bei Adblockern bald eine Lange Liste mit bekannten DOH Servern die man auf dem Router blockieren könnte

  3. Re: Was passiert eigentlich bei DoH...

    Autor: sambache 16.09.19 - 16:25

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > Sehe ich das richtig, dass der lokale DNS einfach standardmäßig umgangen wird?

    Ja.

    > Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon, ob
    > die Anfragen jetzt standardmäßig einem einzigen, kommerziellen Unternehmen
    > zugeleitet werden, oder ob das irgendwie anders gehändelt würde.

    Was ist "gehändelt" ?
    Ist das schwedisch ?

    > In dem Zusammenhang hab ich bisher auch noch keine einfache Lösung dafür
    > gefunden, dass Android-Clients ab einer bestimmten Version (6?) automatisch
    > den Google-DNS via IPv6 nutzen, wenn der DHCP-zugewiesene lokale DNS nur
    > IPv4 spricht. Korrekt wäre das Verhalten nach meinen Vorstellungen nur,
    > wenn der lokale DNS die Namensanfrage per IPv4 nicht auflösen kann, oder
    > sehe ich da was falsch?

    Naja, wenn du eine IPv6 Adresse willst, mußt du einen IPv6 DNS fragen.
    Vielleicht will ja eine Software explizit eine IPv6 Adresse

  4. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 16.09.19 - 16:36

    sambache schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > > Sehe ich das richtig, dass der lokale DNS einfach standardmäßig umgangen
    > > wird?
    >
    > Ja.

    Ok.

    > > Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon, ob
    > > die Anfragen jetzt standardmäßig einem einzigen, kommerziellen Unternehmen
    > > zugeleitet werden, oder ob das irgendwie anders gehändelt würde.
    >
    > Was ist "gehändelt" ?
    > Ist das schwedisch ?

    Ein eingedeutschter Anglizismus. Noch nie gesehen?

    > > In dem Zusammenhang hab ich bisher auch noch keine einfache Lösung dafür
    > > gefunden, dass Android-Clients ab einer bestimmten Version (6?) automatisch
    > > den Google-DNS via IPv6 nutzen, wenn der DHCP-zugewiesene lokale DNS nur
    > > IPv4 spricht. Korrekt wäre das Verhalten nach meinen Vorstellungen nur,
    > > wenn der lokale DNS die Namensanfrage per IPv4 nicht auflösen kann, oder
    > > sehe ich da was falsch?
    >
    > Naja, wenn du eine IPv6 Adresse willst, mußt du einen IPv6 DNS fragen.
    > Vielleicht will ja eine Software explizit eine IPv6 Adresse

    Soviel hab ich rausgefunden, dass das Verhalten im Andoid hartkodiert ist, ganz egal was die App will, und es kommt ja auch nahezu immer eine IPv4-Adresse dabei raus. Ohne Root lässt sich IPv6 auf Android-Systemen halt auch nicht komplett abklemmen, sonst wäre das noch eine einfache Lösung. Wegen dem Mechanismus erreichen Android-Geräte bestimmte interne Services aus dem lokalen Netz heraus nur über eine Route, die erst aus dem lokalen Netz raus und dann per Portforwarding wieder reinführt, und manche gar nicht, wenn sie im öffentlichen DNS nicht verdrahtet sind. Das Routing klappt auch nur, weil der Router das Spiel mitmacht – das Modell, das ich davor hatte, hätte sich einfach geweigert, solche Verbindungen überhaupt zustandekommen zu lassen.

  5. Re: Was passiert eigentlich bei DoH...

    Autor: GAK 16.09.19 - 16:38

    sambache schrieb:
    --------------------------------------------------------------------------------
    > Naja, wenn du eine IPv6 Adresse willst, mußt du einen IPv6 DNS fragen.
    Ähm... nein?

    > Vielleicht will ja eine Software explizit eine IPv6 Adresse
    Dann fragt die Software den DNS Server nach einem AAAA record,
    über welches Protokoll das passiert ist irrelevant.

  6. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 16.09.19 - 16:38

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man nur einen DNS Server bekannt gibt und keine weiteren Optionen
    > gesetzt hat dann ja dann umgeht der den Rest.
    > Hier gibt es einen RFC Draft also noch nicht Final mit dem man einen DOH
    > Server im Netzwerk bekannt geben kann, also keinen normalen DNS Server der
    > sollte dann auch verwendet werden, sobald alles final ist
    > tools.ietf.org#page-2
    >
    > Und ja es gibt ein paar Geräte die bestimmte DNS Server fest encoded haben,
    > der Chromecast fragt AFAIK auch erst 8.8.8.8 ab bevor er den zugewiesenen
    > DNS Server verwendet. Die einzige Möglichkeit die man bei derartigen
    > Clients hat ist es Port 53, also den DNS Port zu blocken. Bei DOH wird es
    > aber schwieriger, evtl. gibt es wie bei Adblockern bald eine Lange Liste
    > mit bekannten DOH Servern die man auf dem Router blockieren könnte

    Ok, interessant...

    Es wird alles immer undurchsichtiger...

  7. Re: Was passiert eigentlich bei DoH...

    Autor: kilrathi 16.09.19 - 16:48

    sambache schrieb:
    > Naja, wenn du eine IPv6 Adresse willst, mußt du einen IPv6 DNS fragen.
    Nope.

    Dafür macht man bei seinem DNS-Server (egal, ob v4 oder v6) eine Anfrage nach einen AAAA-Record.

  8. Re: Was passiert eigentlich bei DoH...

    Autor: Profi 16.09.19 - 17:42

    Erscheint dann eigentlich wieder die ganze Werbung im Browser, obwohl man Pi-Hole oder Ähnliches verwendet (und keine Adblocking-Erweiterung)?

  9. Re: Was passiert eigentlich bei DoH...

    Autor: TmoWizard 16.09.19 - 17:56

    Profi schrieb:
    --------------------------------------------------------------------------------
    > Erscheint dann eigentlich wieder die ganze Werbung im Browser, obwohl man
    > Pi-Hole oder Ähnliches verwendet (und keine Adblocking-Erweiterung)?

    Ja, denn dein PI-Hole wird damit rigoros umgangen!

    *** TmoWizard ***

    Kleinigkeiten erledige ich sofort, Wunder dauern etwas länger und ab Mitternacht wird gezaubert! ;)

  10. Re: Was passiert eigentlich bei DoH...

    Autor: robinx999 16.09.19 - 20:29

    Wenn man sich nicht die Mühe Macht Pihole so zu modifizieren, dass es selber ein DOH Server ist und diesen wohl mit einer neuen DHCP Option als DOH Server bekannt gibt (bzw, man trägt ihn händisch in Firefox ein), so hat man da wohl ein Problem
    Hier gibt es wohl schon eine Anleitung wie man seinen eigenen DOH Server aufsetzt
    https://www.bentasker.co.uk/documentation/linux/407-building-and-running-your-own-dns-over-https-server#doh-server

  11. Re: Was passiert eigentlich bei DoH...

    Autor: mw.121124 17.09.19 - 08:34

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Und ja es gibt ein paar Geräte die bestimmte DNS Server fest encoded haben,
    > der Chromecast fragt AFAIK auch erst 8.8.8.8 ab bevor er den zugewiesenen
    > DNS Server verwendet. Die einzige Möglichkeit die man bei derartigen
    > Clients hat ist es Port 53, also den DNS Port zu blocken.

    Bei mir löse ich das über iptables
    iptables -t nat -A PREROUTING -i $LAN -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53

    da wird einfach auf meinen eigenen DNS weitergeleitet. Meine Android Geräte sind alle via Wireguard angebunden (d.h. für die gilt das auch immer und überall).

    Bei DoH wirds da zugegeben schon schwieriger...

  12. Re: Was passiert eigentlich bei DoH...

    Autor: Lixht 17.09.19 - 08:40

    TmoWizard schrieb:
    --------------------------------------------------------------------------------
    > Profi schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Erscheint dann eigentlich wieder die ganze Werbung im Browser, obwohl
    > man
    > > Pi-Hole oder Ähnliches verwendet (und keine Adblocking-Erweiterung)?
    >
    > Ja, denn dein PI-Hole wird damit rigoros umgangen!

    Nein?!

    Den nur die DNS Auflösung wird eventuell umgangen.

  13. Re: Was passiert eigentlich bei DoH...

    Autor: derdiedas 17.09.19 - 11:51

    Ich glaube Du hast es nicht ganz verstanden - DNS wird nun über 443 gerostet. Sprich Firefox fragt die IP mit Umgehung der OS DNS Einstellung über 443 bei Cloudflare an.

    Ob man das nun toll finden soll, das statt meinem ISP oder meinem eingetragenen DNS Anbieter des Vertrauens nun alle Anfragen bei Cloudflare landen wage ich mal zu bezweifeln.

    OpenBSD setzt das richtige Signal - ein geschissener Browser hat den DNS Server zu benutzen den ich im OS eingerichtet hat. Firefox macht nun Addblocking per DNS - etwa PiHole unmöglich.

    Gruß H.

  14. Re: Was passiert eigentlich bei DoH...

    Autor: Xar 17.09.19 - 13:18

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > OpenBSD setzt das richtige Signal - ein geschissener Browser hat den DNS
    > Server zu benutzen den ich im OS eingerichtet hat. Firefox macht nun
    > Addblocking per DNS - etwa PiHole unmöglich.
    >

    Falsch. Wer in der Lage ist ein PiHole aufzusetzen, der sollte auch entweder sein Pi via DOH hinbekommen und das im Firefox eintragen oder DOH im Firefox deaktivieren.
    Beides sorgt dafür, dass DNS-Filter wie bisher funktionieren.

    PS: Und einen "geschissenen" Browser will ich nicht, sondern einen gescheiten, daher nutze ich auch den Firefox :D

  15. Re: Was passiert eigentlich bei DoH...

    Autor: mw.121124 17.09.19 - 13:21

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube Du hast es nicht ganz verstanden

    Ich glaub schon, das ich es richtig verstanden habe. Der Vorposter spricht explizit von DNS (nicht DoH) auf Port 53 (und nicht 443)

    und darum auch mein Satz am Ende:
    > Bei DoH wirds da zugegeben schon schwieriger...

  16. Re: Was passiert eigentlich bei DoH...

    Autor: sambache 17.09.19 - 18:08

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > sambache schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > demon driver schrieb:
    > >
    > ---------------------------------------------------------------------------
    > > > Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon,
    > ob
    > > > die Anfragen jetzt standardmäßig einem einzigen, kommerziellen
    > Unternehmen
    > > > zugeleitet werden, oder ob das irgendwie anders gehändelt würde.
    > >
    > > Was ist "gehändelt" ?
    > > Ist das schwedisch ?
    >
    > Ein eingedeutschter Anglizismus. Noch nie gesehen?

    Nein.
    warum wird aus "handle" "händeln" ?
    dann müßte aus "hack" ja auch "häcken" werden, oder ?

    Wenn "gehändelt" ein eingedeutschter Anglizismus wäre, dann wären alle anderen wohl falsch.
    Es sollte wie alle anderen einfach gehandelt heißen, so wie gehackt

  17. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 17.09.19 - 18:34

    sambache schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > > sambache schrieb:
    > > ---------------------------------------------------------------------------
    > > > demon driver schrieb:
    > > > ---------------------------------------------------------------------------
    > > > > Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon, ob
    > > > > die Anfragen jetzt standardmäßig einem einzigen, kommerziellen Unternehmen
    > > > > zugeleitet werden, oder ob das irgendwie anders gehändelt würde.
    > > >
    > > > Was ist "gehändelt" ?
    > > > Ist das schwedisch ?
    > >
    > > Ein eingedeutschter Anglizismus. Noch nie gesehen?
    >
    > Nein.
    > warum wird aus "handle" "händeln" ?
    > dann müßte aus "hack" ja auch "häcken" werden, oder ?

    Nur, wenn "meine" Form offizieller Sprachgebrauch wäre. Das ist sie natürlich nicht, sondern nur eine kleine sprachliche Sonderform, die man sich mal erlaubt, genauso wie sicher auch schon mal was in der Richtung "häcken" geschrieben wurde – halt, genau, bei den Häcksen zum Beispiel!

  18. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 17.09.19 - 18:34

    Profi schrieb:
    --------------------------------------------------------------------------------
    > Erscheint dann eigentlich wieder die ganze Werbung im Browser, obwohl man
    > Pi-Hole oder Ähnliches verwendet (und keine Adblocking-Erweiterung)?

    Gute Frage!

  19. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 17.09.19 - 18:35

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man sich nicht die Mühe Macht Pihole so zu modifizieren, dass es
    > selber ein DOH Server ist und diesen wohl mit einer neuen DHCP Option als
    > DOH Server bekannt gibt (bzw, man trägt ihn händisch in Firefox ein), so
    > hat man da wohl ein Problem

    Sprich, DoH im Browser macht in nichttrivialen Umgebungen Probleme und Arbeit...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deloitte, verschiedene Standorte
  2. Senat der Freien und Hansestadt Hamburg - Senatskanzlei, Hamburg
  3. Schwäbisch Hall Kreditservice GmbH, Schwäbisch Hall
  4. Information und Technik Nordrhein-Westfalen (IT.NRW), Hagen, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  2. (-83%) 9,99€
  3. 29,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


iPhone 11 im Test: Zwei Kameras beim iPhone reichen
iPhone 11 im Test
Zwei Kameras beim iPhone reichen

Das iPhone Xr war der heimliche Verkaufsschlager der letzten iPhone-Generation, mit dem iPhone 11 bekommt das Gerät nun einen Nachfolger. Im Test zeigt sich, dass Käufer auf die Kamerafunktionen der Pro-Modelle nicht verzichten müssen, uns stört auch das fehlende dritte Objektiv nicht - im Gegensatz zum Display.
Ein Test von Tobias Költzsch

  1. China Apple entfernt Hongkonger Protest-App aus App Store
  2. Smartphone Apple bietet kostenlose Reparatur für iPhone 6S an
  3. iPhone und iPad Apple forscht an fühlbarer Displaytastatur

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Teamviewer: Ein schwäbisches Digitalwunder
Teamviewer
Ein schwäbisches Digitalwunder

Team wer? Eine schwäbische Softwarefirma hilft weltweit, per Fernzugriff Computer zu reparieren. Nun geht Teamviewer an die Börse - mit einer Milliardenbewertung.
Ein Bericht von Lisa Hegemann

  1. Fernwartungssoftware Permiras Teamviewer erhofft sich 5 Milliarden Euro Bewertung

  1. China: Internetanschluss oder Telefonnummer nur gegen Gesichtsscan
    China
    Internetanschluss oder Telefonnummer nur gegen Gesichtsscan

    In China soll es ab Dezember Telefonnummern oder Internet-Anschlüsse nur noch mit Identitätsfeststellung per Gesichtserkennung geben. Eine entsprechende Regelung wurde kürzlich erlassen und soll auch für bereits registrierte Anschlüsse gelten.

  2. Nach Attentat in Halle: Seehofer möchte "Gamerszene" stärker kontrollieren
    Nach Attentat in Halle
    Seehofer möchte "Gamerszene" stärker kontrollieren

    Nach dem rechtsextremistisch motivierten Attentat in Halle gibt Bundesinnenminister Horst Seehofer in einem Interview der "Gamerszene" eine Mitschuld und kündigte mehr Überwachung an. Kritiker werfen ihm eine Verharmlosung des Rechtsextremismus und Inkompetenz vor.

  3. Siri: Apple will Sprachbefehle wieder auswerten
    Siri
    Apple will Sprachbefehle wieder auswerten

    Nach einem weltweiten Stopp möchte Apple die Sprachbefehle der Siri-Nutzer wieder auswerten - diesmal jedoch mit expliziter Zustimmung durch den Nutzer. Das gilt allerdings nur für Audioaufnahmen, die in Text umgewandelten Mitschnitte möchte Apple weiter ungefragt auswerten.


  1. 15:37

  2. 15:15

  3. 12:56

  4. 15:15

  5. 13:51

  6. 12:41

  7. 22:35

  8. 16:49