Cloudflare, Adguard, Digitale Gesellschaft
iPhone-Profildatei: DNS über TLS/HTTPS mit eigenen Servern in WLAN und LTE
Artikel-Update: WLAN-Ausnahmen, Generatoren, Presets
Gute Gründe auf seinem iPhone einen eigenen DNS-Eintrag zu setzen gibt es viele. Googles 8.8.8.8 und Cloudflares 1.1.1.1 Server könnten etwa deutlich performanter als die eures Internetanbieters arbeiten.
Gemeinnützige Angebote wie die der Digitalen Gesellschaft oder des Digitalcourage-Vereins offerieren zensurfreie DNS-Server, bei denen ihr euch ziemlich sicher sein könnte, dass ungeliebte Inhalte nicht schon während der Namensauflösung blockiert werden.
Und Anbieter wie Adguard oder Cloudflare nutzen das System der Namensauflösung um Zusatzdienste anzubieten und gleichen jede DNS-Abfrage mit eigenen Werbe- beziehungsweise Malware- und Familien-Filtern ab, die über alle aufgerufenen Webseiten laufen und das Laden nicht gewünschter Inhalte direkt unterbinden.
iPhone-DNS-Einträge bislang nur pro WLAN
Gute Gründe gibt es wie gesagt viele, nur ist das Setzen eigener DNS-Einträge auf dem iPhone etwas müßig. Diese werden bekanntlich in den Einstellungen des verbundenen WLAN-Netzwerkes konfiguriert und müssen bei jedem Wechsel des Funknetzes neu angelegt werden – was selbstredend viel zu umständlich ausfällt.
Dass es auch anders geht zeigen die auf GitHub abgelegten iPhone-Profildatei des Accounts snbl. Diese stehen derzeit in zwei Geschmacksrichtungen für die DNS-Server von Cloudflare und der Digitalen Gesellschaft zur Verfügung und legen DNS über TLS bzw. DNS über HTTPS-Einträge in euren Geräte-Einstellungen an, die unabhängig vom verbundenen WLAN-Netzwerk greifen.
- diy_cloudflare-https.mobileconfig
- diy_cloudflare-tls.mobileconfig
- diy_diggesellch-https.mobileconfig
- diy_diggesellch-tls.mobileconfig
Für ein gutes Gefühl im Bauch sorgt die klare Lesbarkeit der Profildateien, die als reine Text-Konfigurationen angeboten werden. Diese lassen sich zudem eben so schnell wieder vom Gerät entfernen wie sie installiert werden können.
Habt ihr die Profildatei geladen und aktiviert, müssen diese in den iPhone-Einstellungen unter „VPN & Netzwerk“ nur noch abgenickt werden und sorgen so für daueraktive DNS-Einstellungen ohne dafür zusätzliche App-Installation oder das Anlegen von VPN-Netzwerken vorauszusetzen.
Cool, danke für den Tip :)
Geile Idee. Funktioniert dann StreamOn bzw die Vodefone Pässe noch ?
Ja, weil StreamOn über Deep Packet Inspection erkannt wird.
Super vielen dank.
Gleich mal testen
Hat das mal jemand verifiziert?
Ähm solange man nur den DNS Server ändert bleibt die eigene IP gleich. Dementsprechend ist man ja weiterhin vom Anbieter als Kunde erkennbar. Oder anders gesagt du benutzt eben nur ein anderes Telefonbuch um die Nummer zu einem Kontakt zu finden, das Telefon von dem der Anruf abgeht bleibt gleich.
Ob es eine „Deep Packet Inspection“ gibt habe ich jetzt nicht geprüft (da habe ich aber meine Zweifel dran), das hat so oder so aber nichts mit dem Thema DNS zu tun.
Ja das geht, hier geht es ja nur um die Namensauflösung, es wird nur die Namen auf IP Adressanfrage verschlüsselt. Der Datenstream kommt vom gleichen Server wie immer also geht das auch mit streamon und Vodafone pass.
Stimmt, hätte ich mir auch selbst erklären können. Danke.
Habe ich nach Installation nicht im Punkt VPN & Netzwerk zur Auswahl
Ios 13
Geht erst ab iOS 14
Ist ja auch neu mit iOS 14
Nutze die Dienste von NextDNS.
Ist zwar kostenpflichtig nach (ich glaube) 300.000 Abfragen Pro Monat aber die 20 EUR im Jahr sind es mir dann doch wert.
Es lassen sich sehr viele Filterlisten aktivieren/deaktivieren und man hat manuelle White/Blacklists.
Auch lassen sich direkt die Profile-Dateien auf deren Seite generieren, in welche man je Device dann auch einen Friendly-Name mit hinterlegen kann. So taucht in den Statistiken von NextDNS auf, welche Geräte die Anfrage geschickt haben.
Die Profile gehen übrigens nicht nur für iPhone und iPad, sie können ebenso auf einem Mac mit BigSur installiert werden.
Raspberry Pi + AdGuard Home (https://github.com/AdguardTeam/AdGuardHome) | Spart nach den Investitionskosten für den Pi nicht nur Geld, sondern deine Daten bleiben auch bei dir… Kann‘s nur empfehlen, gutes Tool und auch als Einsteiger ist sowas kinderleicht einzurichten
Ist das vergleichbar mit Pi-hole?
Gerade gesehen
https://github.com/AdguardTeam/AdGuardHome/wiki/Comparison
Geht dann aber nur zu Hause. Die andere Lösung gilt ja auch für Unterwegs – oder liege ich hier falsch?
Das ist korrekt Cleaner. Dafür gilt das zuhause dann aber auch für alle Geräte im (W)LAN, z.B. auch für SmartTVs.
Daß sowas nur für zuhause gilt, ist nicht ganz richtig. Ich nutze z. B. Wireguard VPN. Dieses VPN (zu mir nachhause) beherrscht roaming und bleibt solange aktiv, bis man es wieder deaktiviert (im Gegensatz zu anderen VPN-Lösungen). Als DNS fürs VPN (wird sämtlicher Verkehr in den Tunnel geleitet, dann für alle Anfragen) ist der Pi-hole zuhause. Also auch unterwegs gefiltert, als wäre ich zuhause.
Klar, kann man machen, wollte ich aber nicht.
Bei nextDNS kann man einstellen, wo und wie lange die Daten gespeichert werden. Ich habe z.b. 1 Woche und Speicherung in der Schweiz eingestellt, es geht auch USA, UK oder EU
Raspberry Pi + Pi-hole + PiVPN mit Wiregurad. Funktioniert dann wunderbar on demand. So dass man automatisch eine VPN-Verbindung mit dem Pi-hole zuhause aufbaut, sobald man nicht im eigenen WLAN ist.
Kann man dann genauso für den Mac einrichten.
Vodafone Pass/Stream On gehen dann problemlos und Sky Go schaltet keine Werbung mehr vorab.
Alternativ eBlocker. Soll genauso funktionieren, hab ich aber noch nicht getestet.
wie hast du denn das gemacht bei Mac?
Die gleichen Profile funktionieren auf dem Mac. Einfach das Konfigurationsprofil Doppel-klicken und dann installieren.
Es erscheint, sobald ein erstes Profil installiert ist, auch der Eintrag „Profile“ in den Systemeinstellungen des Mac
Nutze auch NextDNS und kann es empfehlen – wenn es einem um unkompliziertes Ad-Blocking auch in Apps und für alle Geräte überall (ist mit PiHole schwierig wenn man unterwegs ist) geht.
Könnte ich das direkt in der FRITZ!Box eintragen/installieren?
https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/165_Andere-DNS-Server-in-FRITZ-Box-einrichten/
Wenn ich im (FRITZ!Box) wlan bin, nutze ich doch automatisch die dort eingetragenen DNS oder nimmt das Endgeräte dann dennoch die eignen DNS??
Klar kannst du. Im Menü: Internet -> Zugangsdaten, da im Tab „DNS-Server“.
Und wo bekomme ich die Daten zb digitalen Gesellschaft her?
Der Link zur Digitalen Gesellschaft ist im Beitrag oder man nutzt sowas wie Google.
Jo, eintragen.
Ja. Frag mich nicht genau wo, aber an zwei Stellen muss der automatische DNS-Server gegen den gewünschten getauscht werden.
Anleitungen gibts reichlich dazu im Netz.
Ja, klar. Aber dann gilt das nur für dein WLAN daheim und nicht mobil unterwegs oder in anderen WLANs…
Wie müsste man denn vorgehen, wenn man das Profil direkt von GitHub statt euren Links laden wollen möchte?
Dann suchst du auf GitHub nach dem Macher der Profile (Name im Artikel). Anschließend findest du bei seinen Projekten auch das oben beschriebene Projekt.
Das ist schon klar, aber muss ich den Code Copy & Paste und besonders speichern oder kann man die fertige Datei auch auf GitHub direkt über Safari downloaden?
Du musst in Safari bei dem Github-Code auf „RAW“ drücken, dann sollte es anbieten, das Profil zu speichern.
So toll das mit dem DNS-Profil ist, sollte darauf hingewiesen werden, dass lokale DNS-Auflösungen nicht mehr funktionieren bzw. in der Profildatei ergänzt werden müsste. Korrigiert mich bitte wenn ich falsch liege.
Korrekt! Der heimische Router ist dann unter fritz.box erstmal nicht mehr erreichbar. Das DNS Profil kann aber für solche Fälle kurz abgeschaltet werden.
Das kann man aber lösen, indem man ins Profil schreibt, dass es bei bestimmten WLAN-Verbindungen ausgeschaltet sein soll.
Wie mach ich das ?
Wie öffnen das Profil ( App / Programm ? )
Falls man NextDNS verwendet kann man auch lokale Rewrites konfigurieren, damit z.B. fritz.box, fritz.nas und was man sonst so hat wieder auf die lokalen IPs zielen.
Alles schon drauf, seit es iOS 14 gibt. War dies doch das Beste am Update damals und hatte seit der Bekanntgabe, dass es kommen wird, drauf gewartet. Läuft 1A hier, alles per DoH (DoT geht natürlich auch). Im Heimischen WLAN ist es bei mir deaktiviert, da es hier eh über die Fritze (DoT) geregelt wird. Die Auflösung der fritz.box wäre sonst auch nicht möglich gewesen aber jetzt läuft es.
Und wie hast du es auf der FRITZ!Box eingerichtet?
Wie hast du das gemacht, dass das DNS-Profil im Heim-WLAN deaktiviert ist?
Das wüsste ich auch gerne.
Schließ ich mich an. Google spukt nichts aus .. vor allem wie öffne ich diese Datei und mit was bearbeiten ..
Einfach folgendes hinzufügen und SSID durch euren WLAN-Namen ersetzen. Dann findet das DNS-Profil in den WLANs keine Anwendung mehr. Und es wird wieder der DNS des Routers benutzt. Auch die lokalen Auflösungen wie zum Beispiel fritz.box laufen dann wieder.
OnDemandRules
Action
Disconnect
SSIDMatch
SSID 1
SSID 2
OnDemandRules
Action
Disconnect
SSIDMatch
SSID 1
SSID 2
Okay, anscheinend kann man das hier nicht posten, tut mir sehr Leid. Man findet das aber alles online.
Danke dir, war dennoch sehr hilfreich. Habe es gerade meinem Profil hinzugefügt und es scheint zu laufen. Daumen Hoch für dich!
Könnte jemand eine Datei von oben mit dem Ausschließen eines Bsp-WLAN Namens ggf. in Gänze posten?
Hi wie kann man es öffnen und mit was bearbeiten ? Ich habe die Datei nun auf meinem Iphone oder am Mac öffnen wie speichern und verteilen ? Danke
hi ich bekomme immer die Meldung Profile ist beschädigt wenig es versuche zu öffnen am Handy! … wo musst den dieser String Satz eingefügt werden ? danke danke
Wäre top, wenn ifun Profile für Adguard bereitstellen könnte.
oder für https://www.media-techport.de/free-dns-server/
https://adguard.com/en/blog/encrypted-dns-ios-14.html
Danke, shrugg1e!
Also mal ehrlich, Profile zu erstellen ist ja nun kein Hexenwerk. Mit ein wenig Recherche schaffst du das auch. Aber es ist natürlich viel bequemer alles geliefert zu bekommen.
Wenn man aber keine Genie wie du anscheinend bist ist und ein falsches Profil erstellt und nichts mehr geht fragt man besser vorher nach. Oder?
Deine Tochter scheint hier unter einigen Namen zu schreiben. :))
Könnte das mal bitte jemand für den Laien übersetzen? Was bringt mir das? Wie beinträchtigt das beispielsweise StreamOn der Telekom oder andere Dienste? Hab ich dadurch weniger Werbung auf Internetseiten über den mobilen Browser? Vielen Dank.
Unter normale Umständen braucht man das nicht. Wenn man Ausland lebt, deren Regierung versucht da Internet zu beeinflussen, dann werden zB DNS genutzt. Wenn der Staat den DNS-Server kontrolliert, kann es zB alle Seiten nicht-erreichbar schalten, die Informationen verbreiten, die der Regierung nicht gefallen.
Oder: Der Betreiber des DNS kennt jede Seite auf der du warst. Das kann für Werbung genutzt werden. Das macht Google.
In jedem Fall sind Server wie z.B. von Cloudflare oder Google meistens deutlich schneller als die DNS-Server der Provider. Manche DNS-Server wie AdGuard, NextDNS etc. bieten auch noch weitere Features wie das Blocken von Werbung, Trackern usw. In dem Fall gilt das global, nicht nur im Browser. @Flo – Google Public DNS wird nicht für Werbung etc. verwendet, die Logs werden nach kurzer Zeit gelöscht und nicht ausgewertet. Aussage war leider falsch.
Eine große Auswahl an DNS Profilen findet man auf: https://encrypted-dns.party/
@ifun: Ich hatte euch schon kurz nach dem Release auf die Möglichkeit der DNS Änderung hingewiesen, war euch damals aber scheinbar keinen Artikel wert :-/
Das ist ärgerlich. Sorry. Ich habe gerade noch mal geprüft aber nur eine E-Mail von dir gefunden, die allerdings nicht das DNS-Thema zum Inhalt hatte. ifun.de@gmail.com erreicht uns eigentlich recht zuverlässig.
Hallo Nicolas und Danke für die Rückmeldung! Ist halb so wild, hatte mich nur gewundert. Habe euch gerade die Mails nochmal weitergeleitet. Angekommen?
Hier auch mal wieder ein +1 für NextDNS, bester Dienst den ich letztes Jahr entdeckt habe. Läuft nativ auf Router, Smartphones, Rechnern etc. und bietet von Content Blocking über Logs bis zu Kindersicherungen alles was man sich wünschen kann. Und nur 12ms Latenz, also fast so schnell wie Google oder Cloudflare. Wie AdGuard Home oder pi-hole in gut.
Wo ist der Vorteil gegenüber AdGuard Home oder pi-hole?
Da es in der Cloud läuft kann man es völlig unabhängig vom Standort nutzen und benötigt keine Verbindung zu seinem lokalen Pi-Hole oder AdGuard Home. Zudem unterstützt es beliebig viele Profile für unterschiedliche Use Cases und Geräte, so kann ich das iPad meiner Tochter sehr gut absichern und den erwachsenen Familienmitgliedern einen anderen Schutz ermöglichen. Du kannst es einfach ausprobieren, bis 300.000 Queries im Monat ist es kostenlos.
Was ist denn eine realistische Zahl an DNS Queries im Monat? 300.000 klingt jetzt erstmal sehr viel. Reicht das nicht für zwei Erwachsene? Mein Sohn hat mit 20 Monaten noch kein Handy ;-)
Könnte reichen, musst du selber testen. Ich habe drei Profile für insgesamt acht Personen der Familie und ihre verschiedenen Geräte, hier komme ich meistens nach 1-2 Wochen an die Grenze. Ansonsten, wenn du 300k Queries überschreitest, fungiert NextDNS einfach nur noch als normaler DNS-Resolver, dein Internet wird weiter funktionieren. Der Preis hält sich allerdings auch im Rahmen.
Ich nutze Pi-Hole und bin damit sehr zufrieden.
Und wie das häufig so ist, kommt mit dem Essen der Appetit:
Würde Pi-Hole gerne in einer virtuellen Umgebung auf meiner Synology DS 920+ laufen lassen. Es gibt im Netz auch eine Installationsanleitung für den VMM (virtuellen Maschine Manager) von Synology. Das habe ich jedoch nie zum laufen bekommen.
Gibt es jemand, der das geschafft hat?
https://mariushosting.com/how-to-install-pi-hole-on-your-synology-nas/
Mach das doch mit Docker. Dauert 5 Minuten zum aufsetzen.
Dazu noch einen Unbound-Server in Docker und Du hast Deinen eigenen DNS Server im Lan.
Dein Provider ist dann aussen vor.
Nachteil PiHole auf der Syno ist:
#1 Syno ist im www, das erspare ich lieber meinen Daten. #2 Laufwerke werden nicht mehr deaktiviert und laufen somit durchgehend. In meinem UseCase ist dies aufgrund der Lautstärke ein NoGo.
Auch von mir ein Dank. Wird direkt umgesetzt
Habe AdGuard und bin zufrieden damit
Wer einen VPN verwendet hat meist automatisch einen DNS Server vom VPN Provider, der sicher ist (z.B. bei ProtonVPN)
+1
Leider wahr. Meinen VPN möchte ich dafür nicht abschalten.
Falls jetzt jemand überlegt sein Pi-Hole dauerhaft über Port 53 im Netz freizugeben: macht das nicht.
Private dns Server werden andauernd verwendet um DDos Attacken im Netz zu starten. So etwas zu starten ist so einfach wie Pi-Hole einzurichten.
Ich kann nur jedem im Lan einen eigenen DNS Server zu verwenden.
PiHole min Unbound aufgesetzt, dann laufen alle DNS Abfragen an eurem
Provider vorbei und er weiß nicht mehr wo ihr gerade unterwegs seid.
Mit Unbound seid ihr (der Raspi) quasi euren eigener DNS Server.
Für unterwegs ist diese Lösung hier top.
Kann man dann auch sehr fein (auch mit dem Vorschlag hier) testen unter:
https://browserleaks.com/dns
Ich kann nur jedem *empfehlen*
Unbound nutze ich auch. Top Lösung. Nur als Info: Das mit dem ISP stimmt so nicht – der sieht sehr wohl, wo Deine Anfragen hingehen! Dein DNS muss ja eine unbekannte Adresse erstmal bei einem anderen Server erfragen. Da diese Anfrage (und JEDE Anfrage) über den ISP geht … . Und selbst wenn, wäre es ein leichtes über die IP-Adressen …
Aber kein anderer -in diesem Fall externer DNS-Service, wie Google etc.oder andere Drittservices- haben Zugriff auf Deine gesamte DNS-History. Das ist neben caching (=Geschwindigkeit, hautpsächlich im internen Netzwerk) und der Verhinderung von name-filtering (phising und co) einer der großen Vorteile. Mit dem ISP hat unbound so ziemlich gar nichts zu tun. Der bekommt IN JEDEM FALL mit, was Du machst … ;)
Bei Nutzung eines VPN bekommt er das nicht mit.
Dankeschön! So etwas habe ich lange gesucht. Auf dem Mac arbeite ich mit Netzwerk-Profilen, eines für „normal“ DHCP inkl. PiHole-DNS und eines für ohne PiHole. Netzwerk-Profile gibt es ja nicht unter iOS. Das ist ein Klasse Ersatz.
Noch eine Anmerkung zu NextDNS:
Den Service könnt ihr total vergessen. Mit etwas Grips kann man sich vorstellen, dass die Kollegen kein caritativer Verein ist.
Da wird geloggt und getracked als ob’s kein Morgen gäbe.
Die einzig wahre Lösung ist PiHole mit Unbound.
Wer noch mehr wissen möchte kann gerne Väterchen Google bemühen.
Hier habe ich das mal exemplarisch für NextDNS gemacht:
https://forum.kuketz-blog.de/viewtopic.php?t=3674
NextDNS loggt nur das, was der Nutzer möchte und diese Daten verbleiben dann in der Kontrolle des Nutzers. Ich empfehle, die Datenschutzerklärung zu lesen: https://nextdns.io/de/privacy. Dann zum Thema Tracking: Anfänglich hat NextDNS für den Supportchat auf Ihrer Website Intercom verwendet, Intercom benutzt Google Analytics. Als sie eine bessere Lösung hatten, nämlich ihren neuen Supportbereich, haben sie Intercom abgeschaltet. Nein, NextDNS ist kein „catitativer Verein“, sondern eine Firma zweier Franzosen, die mit den Subscriptions ja auch Geld verdienen. Die Aussage „gelogged und getracked als ob es kein Morgen gäbe“ ist somit falsch und die Informationen hinter deinem Link veraltet.
Erledigt das auch alles die App DNSCloak oder sollte man das zusätzlich noch aktivieren?
Damit aktiviert man doch eigentlich DoH oder DoT, d.h. die Daten die sonst unverschlüsselt zum Resolver gehen werden dann verschlüsselt.
DNSCloak brauchst du nicht mehr, weil das iOS (14) jetzt selbst übernimmt. iOS schickt also alle DNS-Anfragen an die Server, wahlweise über DoT oder DoH. (Nichts anderes hat DNSCloak davor auch gemacht)
Bitte nochmal „müßig“ googeln. Ihr meintet „mühselig“. Müßig heißt „Viel Arbeit für die Tonne“. Sorry, konnte nicht anders. ;-)
Servus wichtig frage !
1 Was ist der Unterschied Zwischen den zwei Profile HTTPS – Tls
2 welsche ist besser
3 Kann man das änder wie oben es gesagt wurde sein Router ausschließen im eignen lan
Zwischen denn zwei Anbieter kenne ich den Unterschied.
Danke für die Hilfe Info