iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 723 Artikel

Cloudflare, Adguard, Digitale Gesellschaft

iPhone-Profildatei: DNS über TLS/HTTPS mit eigenen Servern in WLAN und LTE

Artikel auf Mastodon teilen.
92 Kommentare 92

Artikel-Update: WLAN-Ausnahmen, Generatoren, Presets

Gute Gründe auf seinem iPhone einen eigenen DNS-Eintrag zu setzen gibt es viele. Googles 8.8.8.8 und Cloudflares 1.1.1.1 Server könnten etwa deutlich performanter als die eures Internetanbieters arbeiten.

Gemeinnützige Angebote wie die der Digitalen Gesellschaft oder des Digitalcourage-Vereins offerieren zensurfreie DNS-Server, bei denen ihr euch ziemlich sicher sein könnte, dass ungeliebte Inhalte nicht schon während der Namensauflösung blockiert werden.

Profildatei Iphone Vpn

Und Anbieter wie Adguard oder Cloudflare nutzen das System der Namensauflösung um Zusatzdienste anzubieten und gleichen jede DNS-Abfrage mit eigenen Werbe- beziehungsweise Malware- und Familien-Filtern ab, die über alle aufgerufenen Webseiten laufen und das Laden nicht gewünschter Inhalte direkt unterbinden.

iPhone-DNS-Einträge bislang nur pro WLAN

Gute Gründe gibt es wie gesagt viele, nur ist das Setzen eigener DNS-Einträge auf dem iPhone etwas müßig. Diese werden bekanntlich in den Einstellungen des verbundenen WLAN-Netzwerkes konfiguriert und müssen bei jedem Wechsel des Funknetzes neu angelegt werden – was selbstredend viel zu umständlich ausfällt.

VPN Profile

Dass es auch anders geht zeigen die auf GitHub abgelegten iPhone-Profildatei des Accounts snbl. Diese stehen derzeit in zwei Geschmacksrichtungen für die DNS-Server von Cloudflare und der Digitalen Gesellschaft zur Verfügung und legen DNS über TLS bzw. DNS über HTTPS-Einträge in euren Geräte-Einstellungen an, die unabhängig vom verbundenen WLAN-Netzwerk greifen.

Für ein gutes Gefühl im Bauch sorgt die klare Lesbarkeit der Profildateien, die als reine Text-Konfigurationen angeboten werden. Diese lassen sich zudem eben so schnell wieder vom Gerät entfernen wie sie installiert werden können.

Habt ihr die Profildatei geladen und aktiviert, müssen diese in den iPhone-Einstellungen unter „VPN & Netzwerk“ nur noch abgenickt werden und sorgen so für daueraktive DNS-Einstellungen ohne dafür zusätzliche App-Installation oder das Anlegen von VPN-Netzwerken vorauszusetzen.

Mit Dank an Florian!

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
06. Jan 2021 um 07:59 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    92 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Geile Idee. Funktioniert dann StreamOn bzw die Vodefone Pässe noch ?

    • Ja, weil StreamOn über Deep Packet Inspection erkannt wird.

      • Super vielen dank.

        Gleich mal testen

      • Hat das mal jemand verifiziert?

      • Ähm solange man nur den DNS Server ändert bleibt die eigene IP gleich. Dementsprechend ist man ja weiterhin vom Anbieter als Kunde erkennbar. Oder anders gesagt du benutzt eben nur ein anderes Telefonbuch um die Nummer zu einem Kontakt zu finden, das Telefon von dem der Anruf abgeht bleibt gleich.
        Ob es eine „Deep Packet Inspection“ gibt habe ich jetzt nicht geprüft (da habe ich aber meine Zweifel dran), das hat so oder so aber nichts mit dem Thema DNS zu tun.

    • Ja das geht, hier geht es ja nur um die Namensauflösung, es wird nur die Namen auf IP Adressanfrage verschlüsselt. Der Datenstream kommt vom gleichen Server wie immer also geht das auch mit streamon und Vodafone pass.

  • Habe ich nach Installation nicht im Punkt VPN & Netzwerk zur Auswahl

  • Nutze die Dienste von NextDNS.
    Ist zwar kostenpflichtig nach (ich glaube) 300.000 Abfragen Pro Monat aber die 20 EUR im Jahr sind es mir dann doch wert.
    Es lassen sich sehr viele Filterlisten aktivieren/deaktivieren und man hat manuelle White/Blacklists.
    Auch lassen sich direkt die Profile-Dateien auf deren Seite generieren, in welche man je Device dann auch einen Friendly-Name mit hinterlegen kann. So taucht in den Statistiken von NextDNS auf, welche Geräte die Anfrage geschickt haben.

    Die Profile gehen übrigens nicht nur für iPhone und iPad, sie können ebenso auf einem Mac mit BigSur installiert werden.

    • Raspberry Pi + AdGuard Home (https://github.com/AdguardTeam/AdGuardHome) | Spart nach den Investitionskosten für den Pi nicht nur Geld, sondern deine Daten bleiben auch bei dir… Kann‘s nur empfehlen, gutes Tool und auch als Einsteiger ist sowas kinderleicht einzurichten

      • Ist das vergleichbar mit Pi-hole?

      • Geht dann aber nur zu Hause. Die andere Lösung gilt ja auch für Unterwegs – oder liege ich hier falsch?

      • Das ist korrekt Cleaner. Dafür gilt das zuhause dann aber auch für alle Geräte im (W)LAN, z.B. auch für SmartTVs.

      • Daß sowas nur für zuhause gilt, ist nicht ganz richtig. Ich nutze z. B. Wireguard VPN. Dieses VPN (zu mir nachhause) beherrscht roaming und bleibt solange aktiv, bis man es wieder deaktiviert (im Gegensatz zu anderen VPN-Lösungen). Als DNS fürs VPN (wird sämtlicher Verkehr in den Tunnel geleitet, dann für alle Anfragen) ist der Pi-hole zuhause. Also auch unterwegs gefiltert, als wäre ich zuhause.

      • Klar, kann man machen, wollte ich aber nicht.
        Bei nextDNS kann man einstellen, wo und wie lange die Daten gespeichert werden. Ich habe z.b. 1 Woche und Speicherung in der Schweiz eingestellt, es geht auch USA, UK oder EU

      • Raspberry Pi + Pi-hole + PiVPN mit Wiregurad. Funktioniert dann wunderbar on demand. So dass man automatisch eine VPN-Verbindung mit dem Pi-hole zuhause aufbaut, sobald man nicht im eigenen WLAN ist.
        Kann man dann genauso für den Mac einrichten.
        Vodafone Pass/Stream On gehen dann problemlos und Sky Go schaltet keine Werbung mehr vorab.
        Alternativ eBlocker. Soll genauso funktionieren, hab ich aber noch nicht getestet.

      • Die gleichen Profile funktionieren auf dem Mac. Einfach das Konfigurationsprofil Doppel-klicken und dann installieren.
        Es erscheint, sobald ein erstes Profil installiert ist, auch der Eintrag „Profile“ in den Systemeinstellungen des Mac

    • Nutze auch NextDNS und kann es empfehlen – wenn es einem um unkompliziertes Ad-Blocking auch in Apps und für alle Geräte überall (ist mit PiHole schwierig wenn man unterwegs ist) geht.

  • Könnte ich das direkt in der FRITZ!Box eintragen/installieren?

  • Wie müsste man denn vorgehen, wenn man das Profil direkt von GitHub statt euren Links laden wollen möchte?

    • Dann suchst du auf GitHub nach dem Macher der Profile (Name im Artikel). Anschließend findest du bei seinen Projekten auch das oben beschriebene Projekt.

      • Das ist schon klar, aber muss ich den Code Copy & Paste und besonders speichern oder kann man die fertige Datei auch auf GitHub direkt über Safari downloaden?

      • Du musst in Safari bei dem Github-Code auf „RAW“ drücken, dann sollte es anbieten, das Profil zu speichern.

  • So toll das mit dem DNS-Profil ist, sollte darauf hingewiesen werden, dass lokale DNS-Auflösungen nicht mehr funktionieren bzw. in der Profildatei ergänzt werden müsste. Korrigiert mich bitte wenn ich falsch liege.

  • Alles schon drauf, seit es iOS 14 gibt. War dies doch das Beste am Update damals und hatte seit der Bekanntgabe, dass es kommen wird, drauf gewartet. Läuft 1A hier, alles per DoH (DoT geht natürlich auch). Im Heimischen WLAN ist es bei mir deaktiviert, da es hier eh über die Fritze (DoT) geregelt wird. Die Auflösung der fritz.box wäre sonst auch nicht möglich gewesen aber jetzt läuft es.

  • Könnte das mal bitte jemand für den Laien übersetzen? Was bringt mir das? Wie beinträchtigt das beispielsweise StreamOn der Telekom oder andere Dienste? Hab ich dadurch weniger Werbung auf Internetseiten über den mobilen Browser? Vielen Dank.

    • Unter normale Umständen braucht man das nicht. Wenn man Ausland lebt, deren Regierung versucht da Internet zu beeinflussen, dann werden zB DNS genutzt. Wenn der Staat den DNS-Server kontrolliert, kann es zB alle Seiten nicht-erreichbar schalten, die Informationen verbreiten, die der Regierung nicht gefallen.

      Oder: Der Betreiber des DNS kennt jede Seite auf der du warst. Das kann für Werbung genutzt werden. Das macht Google.

    • In jedem Fall sind Server wie z.B. von Cloudflare oder Google meistens deutlich schneller als die DNS-Server der Provider. Manche DNS-Server wie AdGuard, NextDNS etc. bieten auch noch weitere Features wie das Blocken von Werbung, Trackern usw. In dem Fall gilt das global, nicht nur im Browser. @Flo – Google Public DNS wird nicht für Werbung etc. verwendet, die Logs werden nach kurzer Zeit gelöscht und nicht ausgewertet. Aussage war leider falsch.

  • Eine große Auswahl an DNS Profilen findet man auf: https://encrypted-dns.party/
    @ifun: Ich hatte euch schon kurz nach dem Release auf die Möglichkeit der DNS Änderung hingewiesen, war euch damals aber scheinbar keinen Artikel wert :-/

  • Hier auch mal wieder ein +1 für NextDNS, bester Dienst den ich letztes Jahr entdeckt habe. Läuft nativ auf Router, Smartphones, Rechnern etc. und bietet von Content Blocking über Logs bis zu Kindersicherungen alles was man sich wünschen kann. Und nur 12ms Latenz, also fast so schnell wie Google oder Cloudflare. Wie AdGuard Home oder pi-hole in gut.

    • Wo ist der Vorteil gegenüber AdGuard Home oder pi-hole?

      • Da es in der Cloud läuft kann man es völlig unabhängig vom Standort nutzen und benötigt keine Verbindung zu seinem lokalen Pi-Hole oder AdGuard Home. Zudem unterstützt es beliebig viele Profile für unterschiedliche Use Cases und Geräte, so kann ich das iPad meiner Tochter sehr gut absichern und den erwachsenen Familienmitgliedern einen anderen Schutz ermöglichen. Du kannst es einfach ausprobieren, bis 300.000 Queries im Monat ist es kostenlos.

      • Was ist denn eine realistische Zahl an DNS Queries im Monat? 300.000 klingt jetzt erstmal sehr viel. Reicht das nicht für zwei Erwachsene? Mein Sohn hat mit 20 Monaten noch kein Handy ;-)

      • Könnte reichen, musst du selber testen. Ich habe drei Profile für insgesamt acht Personen der Familie und ihre verschiedenen Geräte, hier komme ich meistens nach 1-2 Wochen an die Grenze. Ansonsten, wenn du 300k Queries überschreitest, fungiert NextDNS einfach nur noch als normaler DNS-Resolver, dein Internet wird weiter funktionieren. Der Preis hält sich allerdings auch im Rahmen.

  • Ich nutze Pi-Hole und bin damit sehr zufrieden.
    Und wie das häufig so ist, kommt mit dem Essen der Appetit:
    Würde Pi-Hole gerne in einer virtuellen Umgebung auf meiner Synology DS 920+ laufen lassen. Es gibt im Netz auch eine Installationsanleitung für den VMM (virtuellen Maschine Manager) von Synology. Das habe ich jedoch nie zum laufen bekommen.
    Gibt es jemand, der das geschafft hat?

  • Wer einen VPN verwendet hat meist automatisch einen DNS Server vom VPN Provider, der sicher ist (z.B. bei ProtonVPN)

  • Falls jetzt jemand überlegt sein Pi-Hole dauerhaft über Port 53 im Netz freizugeben: macht das nicht.
    Private dns Server werden andauernd verwendet um DDos Attacken im Netz zu starten. So etwas zu starten ist so einfach wie Pi-Hole einzurichten.

  • Ich kann nur jedem im Lan einen eigenen DNS Server zu verwenden.
    PiHole min Unbound aufgesetzt, dann laufen alle DNS Abfragen an eurem
    Provider vorbei und er weiß nicht mehr wo ihr gerade unterwegs seid.
    Mit Unbound seid ihr (der Raspi) quasi euren eigener DNS Server.

    Für unterwegs ist diese Lösung hier top.

    Kann man dann auch sehr fein (auch mit dem Vorschlag hier) testen unter:
    https://browserleaks.com/dns

    • Unbound nutze ich auch. Top Lösung. Nur als Info: Das mit dem ISP stimmt so nicht – der sieht sehr wohl, wo Deine Anfragen hingehen! Dein DNS muss ja eine unbekannte Adresse erstmal bei einem anderen Server erfragen. Da diese Anfrage (und JEDE Anfrage) über den ISP geht … . Und selbst wenn, wäre es ein leichtes über die IP-Adressen …
      Aber kein anderer -in diesem Fall externer DNS-Service, wie Google etc.oder andere Drittservices- haben Zugriff auf Deine gesamte DNS-History. Das ist neben caching (=Geschwindigkeit, hautpsächlich im internen Netzwerk) und der Verhinderung von name-filtering (phising und co) einer der großen Vorteile. Mit dem ISP hat unbound so ziemlich gar nichts zu tun. Der bekommt IN JEDEM FALL mit, was Du machst … ;)

  • Dankeschön! So etwas habe ich lange gesucht. Auf dem Mac arbeite ich mit Netzwerk-Profilen, eines für „normal“ DHCP inkl. PiHole-DNS und eines für ohne PiHole. Netzwerk-Profile gibt es ja nicht unter iOS. Das ist ein Klasse Ersatz.

  • Noch eine Anmerkung zu NextDNS:

    Den Service könnt ihr total vergessen. Mit etwas Grips kann man sich vorstellen, dass die Kollegen kein caritativer Verein ist.
    Da wird geloggt und getracked als ob’s kein Morgen gäbe.

    Die einzig wahre Lösung ist PiHole mit Unbound.

    Wer noch mehr wissen möchte kann gerne Väterchen Google bemühen.
    Hier habe ich das mal exemplarisch für NextDNS gemacht:

    https://forum.kuketz-blog.de/viewtopic.php?t=3674

    • NextDNS loggt nur das, was der Nutzer möchte und diese Daten verbleiben dann in der Kontrolle des Nutzers. Ich empfehle, die Datenschutzerklärung zu lesen: https://nextdns.io/de/privacy. Dann zum Thema Tracking: Anfänglich hat NextDNS für den Supportchat auf Ihrer Website Intercom verwendet, Intercom benutzt Google Analytics. Als sie eine bessere Lösung hatten, nämlich ihren neuen Supportbereich, haben sie Intercom abgeschaltet. Nein, NextDNS ist kein „catitativer Verein“, sondern eine Firma zweier Franzosen, die mit den Subscriptions ja auch Geld verdienen. Die Aussage „gelogged und getracked als ob es kein Morgen gäbe“ ist somit falsch und die Informationen hinter deinem Link veraltet.

  • Erledigt das auch alles die App DNSCloak oder sollte man das zusätzlich noch aktivieren?

    Damit aktiviert man doch eigentlich DoH oder DoT, d.h. die Daten die sonst unverschlüsselt zum Resolver gehen werden dann verschlüsselt.

    • DNSCloak brauchst du nicht mehr, weil das iOS (14) jetzt selbst übernimmt. iOS schickt also alle DNS-Anfragen an die Server, wahlweise über DoT oder DoH. (Nichts anderes hat DNSCloak davor auch gemacht)

  • Bitte nochmal „müßig“ googeln. Ihr meintet „mühselig“. Müßig heißt „Viel Arbeit für die Tonne“. Sorry, konnte nicht anders. ;-)

  • Servus wichtig frage !

    1 Was ist der Unterschied Zwischen den zwei Profile HTTPS – Tls

    2 welsche ist besser

    3 Kann man das änder wie oben es gesagt wurde sein Router ausschließen im eignen lan

    Zwischen denn zwei Anbieter kenne ich den Unterschied.

    Danke für die Hilfe Info

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38723 Artikel in den vergangenen 6303 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven