1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Wegen Cloudflare: OpenBSD deaktiviert…

Was passiert eigentlich bei DoH...

  1. Thema

Neues Thema Ansicht wechseln


  1. Was passiert eigentlich bei DoH...

    Autor: demon driver 16.09.19 - 15:40

    ..., wenn ich in einem LAN einen per DHCP allen Clients zugewiesenen DNS betreibe, der eine Reihe von Namen absichtlich anders auflöst als der öffentliche DNS draußen? Sehe ich das richtig, dass der lokale DNS einfach standardmäßig umgangen wird?

    Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon, ob die Anfragen jetzt standardmäßig einem einzigen, kommerziellen Unternehmen zugeleitet werden, oder ob das irgendwie anders gehändelt würde.

    In dem Zusammenhang hab ich bisher auch noch keine einfache Lösung dafür gefunden, dass Android-Clients ab einer bestimmten Version (6?) automatisch den Google-DNS via IPv6 nutzen, wenn der DHCP-zugewiesene lokale DNS nur IPv4 spricht. Korrekt wäre das Verhalten nach meinen Vorstellungen nur, wenn der lokale DNS die Namensanfrage per IPv4 nicht auflösen kann, oder sehe ich da was falsch?

  2. Re: Was passiert eigentlich bei DoH...

    Autor: robinx999 16.09.19 - 16:23

    Wenn man nur einen DNS Server bekannt gibt und keine weiteren Optionen gesetzt hat dann ja dann umgeht der den Rest.
    Hier gibt es einen RFC Draft also noch nicht Final mit dem man einen DOH Server im Netzwerk bekannt geben kann, also keinen normalen DNS Server der sollte dann auch verwendet werden, sobald alles final ist https://tools.ietf.org/html/draft-peterson-doh-dhcp-00#page-2

    Und ja es gibt ein paar Geräte die bestimmte DNS Server fest encoded haben, der Chromecast fragt AFAIK auch erst 8.8.8.8 ab bevor er den zugewiesenen DNS Server verwendet. Die einzige Möglichkeit die man bei derartigen Clients hat ist es Port 53, also den DNS Port zu blocken. Bei DOH wird es aber schwieriger, evtl. gibt es wie bei Adblockern bald eine Lange Liste mit bekannten DOH Servern die man auf dem Router blockieren könnte

  3. Re: Was passiert eigentlich bei DoH...

    Autor: sambache 16.09.19 - 16:25

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > Sehe ich das richtig, dass der lokale DNS einfach standardmäßig umgangen wird?

    Ja.

    > Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon, ob
    > die Anfragen jetzt standardmäßig einem einzigen, kommerziellen Unternehmen
    > zugeleitet werden, oder ob das irgendwie anders gehändelt würde.

    Was ist "gehändelt" ?
    Ist das schwedisch ?

    > In dem Zusammenhang hab ich bisher auch noch keine einfache Lösung dafür
    > gefunden, dass Android-Clients ab einer bestimmten Version (6?) automatisch
    > den Google-DNS via IPv6 nutzen, wenn der DHCP-zugewiesene lokale DNS nur
    > IPv4 spricht. Korrekt wäre das Verhalten nach meinen Vorstellungen nur,
    > wenn der lokale DNS die Namensanfrage per IPv4 nicht auflösen kann, oder
    > sehe ich da was falsch?

    Naja, wenn du eine IPv6 Adresse willst, mußt du einen IPv6 DNS fragen.
    Vielleicht will ja eine Software explizit eine IPv6 Adresse

  4. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 16.09.19 - 16:36

    sambache schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > > Sehe ich das richtig, dass der lokale DNS einfach standardmäßig umgangen
    > > wird?
    >
    > Ja.

    Ok.

    > > Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon, ob
    > > die Anfragen jetzt standardmäßig einem einzigen, kommerziellen Unternehmen
    > > zugeleitet werden, oder ob das irgendwie anders gehändelt würde.
    >
    > Was ist "gehändelt" ?
    > Ist das schwedisch ?

    Ein eingedeutschter Anglizismus. Noch nie gesehen?

    > > In dem Zusammenhang hab ich bisher auch noch keine einfache Lösung dafür
    > > gefunden, dass Android-Clients ab einer bestimmten Version (6?) automatisch
    > > den Google-DNS via IPv6 nutzen, wenn der DHCP-zugewiesene lokale DNS nur
    > > IPv4 spricht. Korrekt wäre das Verhalten nach meinen Vorstellungen nur,
    > > wenn der lokale DNS die Namensanfrage per IPv4 nicht auflösen kann, oder
    > > sehe ich da was falsch?
    >
    > Naja, wenn du eine IPv6 Adresse willst, mußt du einen IPv6 DNS fragen.
    > Vielleicht will ja eine Software explizit eine IPv6 Adresse

    Soviel hab ich rausgefunden, dass das Verhalten im Andoid hartkodiert ist, ganz egal was die App will, und es kommt ja auch nahezu immer eine IPv4-Adresse dabei raus. Ohne Root lässt sich IPv6 auf Android-Systemen halt auch nicht komplett abklemmen, sonst wäre das noch eine einfache Lösung. Wegen dem Mechanismus erreichen Android-Geräte bestimmte interne Services aus dem lokalen Netz heraus nur über eine Route, die erst aus dem lokalen Netz raus und dann per Portforwarding wieder reinführt, und manche gar nicht, wenn sie im öffentlichen DNS nicht verdrahtet sind. Das Routing klappt auch nur, weil der Router das Spiel mitmacht – das Modell, das ich davor hatte, hätte sich einfach geweigert, solche Verbindungen überhaupt zustandekommen zu lassen.

  5. Re: Was passiert eigentlich bei DoH...

    Autor: GAK 16.09.19 - 16:38

    sambache schrieb:
    --------------------------------------------------------------------------------
    > Naja, wenn du eine IPv6 Adresse willst, mußt du einen IPv6 DNS fragen.
    Ähm... nein?

    > Vielleicht will ja eine Software explizit eine IPv6 Adresse
    Dann fragt die Software den DNS Server nach einem AAAA record,
    über welches Protokoll das passiert ist irrelevant.

  6. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 16.09.19 - 16:38

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man nur einen DNS Server bekannt gibt und keine weiteren Optionen
    > gesetzt hat dann ja dann umgeht der den Rest.
    > Hier gibt es einen RFC Draft also noch nicht Final mit dem man einen DOH
    > Server im Netzwerk bekannt geben kann, also keinen normalen DNS Server der
    > sollte dann auch verwendet werden, sobald alles final ist
    > tools.ietf.org#page-2
    >
    > Und ja es gibt ein paar Geräte die bestimmte DNS Server fest encoded haben,
    > der Chromecast fragt AFAIK auch erst 8.8.8.8 ab bevor er den zugewiesenen
    > DNS Server verwendet. Die einzige Möglichkeit die man bei derartigen
    > Clients hat ist es Port 53, also den DNS Port zu blocken. Bei DOH wird es
    > aber schwieriger, evtl. gibt es wie bei Adblockern bald eine Lange Liste
    > mit bekannten DOH Servern die man auf dem Router blockieren könnte

    Ok, interessant...

    Es wird alles immer undurchsichtiger...

  7. Re: Was passiert eigentlich bei DoH...

    Autor: kilrathi 16.09.19 - 16:48

    sambache schrieb:
    > Naja, wenn du eine IPv6 Adresse willst, mußt du einen IPv6 DNS fragen.
    Nope.

    Dafür macht man bei seinem DNS-Server (egal, ob v4 oder v6) eine Anfrage nach einen AAAA-Record.

  8. Re: Was passiert eigentlich bei DoH...

    Autor: Profi 16.09.19 - 17:42

    Erscheint dann eigentlich wieder die ganze Werbung im Browser, obwohl man Pi-Hole oder Ähnliches verwendet (und keine Adblocking-Erweiterung)?

  9. Re: Was passiert eigentlich bei DoH...

    Autor: TmoWizard 16.09.19 - 17:56

    Profi schrieb:
    --------------------------------------------------------------------------------
    > Erscheint dann eigentlich wieder die ganze Werbung im Browser, obwohl man
    > Pi-Hole oder Ähnliches verwendet (und keine Adblocking-Erweiterung)?

    Ja, denn dein PI-Hole wird damit rigoros umgangen!

    *** TmoWizard ***

    Kleinigkeiten erledige ich sofort, Wunder dauern etwas länger und ab Mitternacht wird gezaubert! ;)

  10. Re: Was passiert eigentlich bei DoH...

    Autor: robinx999 16.09.19 - 20:29

    Wenn man sich nicht die Mühe Macht Pihole so zu modifizieren, dass es selber ein DOH Server ist und diesen wohl mit einer neuen DHCP Option als DOH Server bekannt gibt (bzw, man trägt ihn händisch in Firefox ein), so hat man da wohl ein Problem
    Hier gibt es wohl schon eine Anleitung wie man seinen eigenen DOH Server aufsetzt
    https://www.bentasker.co.uk/documentation/linux/407-building-and-running-your-own-dns-over-https-server#doh-server

  11. Re: Was passiert eigentlich bei DoH...

    Autor: mw.121124 17.09.19 - 08:34

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Und ja es gibt ein paar Geräte die bestimmte DNS Server fest encoded haben,
    > der Chromecast fragt AFAIK auch erst 8.8.8.8 ab bevor er den zugewiesenen
    > DNS Server verwendet. Die einzige Möglichkeit die man bei derartigen
    > Clients hat ist es Port 53, also den DNS Port zu blocken.

    Bei mir löse ich das über iptables
    iptables -t nat -A PREROUTING -i $LAN -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53

    da wird einfach auf meinen eigenen DNS weitergeleitet. Meine Android Geräte sind alle via Wireguard angebunden (d.h. für die gilt das auch immer und überall).

    Bei DoH wirds da zugegeben schon schwieriger...

  12. Re: Was passiert eigentlich bei DoH...

    Autor: Lixht 17.09.19 - 08:40

    TmoWizard schrieb:
    --------------------------------------------------------------------------------
    > Profi schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Erscheint dann eigentlich wieder die ganze Werbung im Browser, obwohl
    > man
    > > Pi-Hole oder Ähnliches verwendet (und keine Adblocking-Erweiterung)?
    >
    > Ja, denn dein PI-Hole wird damit rigoros umgangen!

    Nein?!

    Den nur die DNS Auflösung wird eventuell umgangen.

  13. Re: Was passiert eigentlich bei DoH...

    Autor: derdiedas 17.09.19 - 11:51

    Ich glaube Du hast es nicht ganz verstanden - DNS wird nun über 443 gerostet. Sprich Firefox fragt die IP mit Umgehung der OS DNS Einstellung über 443 bei Cloudflare an.

    Ob man das nun toll finden soll, das statt meinem ISP oder meinem eingetragenen DNS Anbieter des Vertrauens nun alle Anfragen bei Cloudflare landen wage ich mal zu bezweifeln.

    OpenBSD setzt das richtige Signal - ein geschissener Browser hat den DNS Server zu benutzen den ich im OS eingerichtet hat. Firefox macht nun Addblocking per DNS - etwa PiHole unmöglich.

    Gruß H.

  14. Re: Was passiert eigentlich bei DoH...

    Autor: Xar 17.09.19 - 13:18

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > OpenBSD setzt das richtige Signal - ein geschissener Browser hat den DNS
    > Server zu benutzen den ich im OS eingerichtet hat. Firefox macht nun
    > Addblocking per DNS - etwa PiHole unmöglich.
    >

    Falsch. Wer in der Lage ist ein PiHole aufzusetzen, der sollte auch entweder sein Pi via DOH hinbekommen und das im Firefox eintragen oder DOH im Firefox deaktivieren.
    Beides sorgt dafür, dass DNS-Filter wie bisher funktionieren.

    PS: Und einen "geschissenen" Browser will ich nicht, sondern einen gescheiten, daher nutze ich auch den Firefox :D

  15. Re: Was passiert eigentlich bei DoH...

    Autor: mw.121124 17.09.19 - 13:21

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube Du hast es nicht ganz verstanden

    Ich glaub schon, das ich es richtig verstanden habe. Der Vorposter spricht explizit von DNS (nicht DoH) auf Port 53 (und nicht 443)

    und darum auch mein Satz am Ende:
    > Bei DoH wirds da zugegeben schon schwieriger...

  16. Re: Was passiert eigentlich bei DoH...

    Autor: sambache 17.09.19 - 18:08

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > sambache schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > demon driver schrieb:
    > >
    > ---------------------------------------------------------------------------
    > > > Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon,
    > ob
    > > > die Anfragen jetzt standardmäßig einem einzigen, kommerziellen
    > Unternehmen
    > > > zugeleitet werden, oder ob das irgendwie anders gehändelt würde.
    > >
    > > Was ist "gehändelt" ?
    > > Ist das schwedisch ?
    >
    > Ein eingedeutschter Anglizismus. Noch nie gesehen?

    Nein.
    warum wird aus "handle" "händeln" ?
    dann müßte aus "hack" ja auch "häcken" werden, oder ?

    Wenn "gehändelt" ein eingedeutschter Anglizismus wäre, dann wären alle anderen wohl falsch.
    Es sollte wie alle anderen einfach gehandelt heißen, so wie gehackt

  17. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 17.09.19 - 18:34

    sambache schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > > sambache schrieb:
    > > ---------------------------------------------------------------------------
    > > > demon driver schrieb:
    > > > ---------------------------------------------------------------------------
    > > > > Allein das wär ja ein inakzeptables Verhalten, ganz unabhängig davon, ob
    > > > > die Anfragen jetzt standardmäßig einem einzigen, kommerziellen Unternehmen
    > > > > zugeleitet werden, oder ob das irgendwie anders gehändelt würde.
    > > >
    > > > Was ist "gehändelt" ?
    > > > Ist das schwedisch ?
    > >
    > > Ein eingedeutschter Anglizismus. Noch nie gesehen?
    >
    > Nein.
    > warum wird aus "handle" "händeln" ?
    > dann müßte aus "hack" ja auch "häcken" werden, oder ?

    Nur, wenn "meine" Form offizieller Sprachgebrauch wäre. Das ist sie natürlich nicht, sondern nur eine kleine sprachliche Sonderform, die man sich mal erlaubt, genauso wie sicher auch schon mal was in der Richtung "häcken" geschrieben wurde – halt, genau, bei den Häcksen zum Beispiel!

  18. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 17.09.19 - 18:34

    Profi schrieb:
    --------------------------------------------------------------------------------
    > Erscheint dann eigentlich wieder die ganze Werbung im Browser, obwohl man
    > Pi-Hole oder Ähnliches verwendet (und keine Adblocking-Erweiterung)?

    Gute Frage!

  19. Re: Was passiert eigentlich bei DoH...

    Autor: demon driver 17.09.19 - 18:35

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man sich nicht die Mühe Macht Pihole so zu modifizieren, dass es
    > selber ein DOH Server ist und diesen wohl mit einer neuen DHCP Option als
    > DOH Server bekannt gibt (bzw, man trägt ihn händisch in Firefox ein), so
    > hat man da wohl ein Problem

    Sprich, DoH im Browser macht in nichttrivialen Umgebungen Probleme und Arbeit...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden, Berlin, Meckenheim
  2. Universitätsstadt MARBURG, Marburg
  3. PKS Software GmbH, Ravensburg, München
  4. Süddeutsche Krankenversicherung a.G., Fellbach bei Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Forza Horizon 4 - Ultimate Edition für 49,99€, ARK: Survival Evolved für 10,99€, Human...
  2. (u. a. Call of Duty: Modern Warfare für 52,49€, Forza Horizon 4 für 34,99€, Red Dead...
  3. (u. a. Conan Exiles für 12,49€, Stellaris - Galaxy Edition für 5,49€, Green Hell für 9...
  4. (aktuell u. a. Star Wars Weekend (u. a. Star Wars: Knights of the Old Republic für 1,93€), Best...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hildmann, Naidoo, Identitäre: Warum Telegram bei Rechten so beliebt ist
Hildmann, Naidoo, Identitäre
Warum Telegram bei Rechten so beliebt ist

Wer auf Telegram hetzt, den Holocaust leugnet oder Verschwörungsideologien verbreitet, muss nicht befürchten, dass seine Beiträge gelöscht werden. Auch große Gruppen fallen dort nicht unters NetzDG, die Strafverfolgung ist schwierig.
Ein Bericht von Stefan Krempl


    Programmiersprache Go: Schlanke Syntax, schneller Compiler
    Programmiersprache Go
    Schlanke Syntax, schneller Compiler

    Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
    Von Tim Schürmann


      Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
      Golem on Edge
      Wo Nachbarn alles teilen - auch das Internet

      Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
      Eine Kolumne von Sebastian Grüner

      1. Anzeige Die voll digitalisierte Kaserne der Zukunft
      2. Keine Glasfaser, keine IT-Kompetenz Schulen bemühen sich vergeblich um Geld aus dem Digitalpakt
      3. Kultusministerien Schulen rufen kaum Geld aus Digitalpakt ab