NextDNS für verschlüsselten und anpassbaren DNS 3. May 2020, 20:31
Seit einigen Jahren wird darauf gesetzt den DNS-Traffic zu verschlüsseln. Windows unterstützt es immer noch nicht nativ und das hat mich davon abgehalten mich darum zu kümmern. Doch es gibt elegante Lösungen.
Wie immer, die Backstory ;)
DNS-Server suche ich mir immer wieder raus und trage sie beim DHCP-Server ein, damit jeder meiner Clients diese nutzt. Das Problem war, dass diese irgendwann nicht mehr erreichbar waren und ich neue suchen musste. Sowas ist verdammt nervig.
Ich habe mich damals gefreut, als Firefox eine Funktion für DoH rausgebracht hat und habe sie sofort eingeschaltet. Vor kurzem kam neben Cloudflare auch die Möglichkeit NextDNS auszuwählen.
Windows und andere Geräte die nicht Firefox sind
Erst dachte ich mir, dass andere Programme einfach den DNS vom ISP nutzen können. Aber dann hat’s mich doch gestört, dass die anderen drölfzig Software (und Windows) eben kein DoH gemacht haben und immer noch den DNS genommen haben, der vom DHCP-Server advertised wurde. Das gleiche mit meinem Smartphone und den Raspberry Pi’s. Achja, ein Notebook hab ich ja auch noch…
NextDNS „entdeckt“
Ich bin mal auf die Webseite von NextDNS gegangen und habe schnell festgestellt, dass es verdammt geil ist. Man kann mit einem Account verschiedene Profile erzeugen und in diesen Profilen sämtliche Einstellungen für die Sicherheit vornehmen. Auch ist es Möglich eigene Namen einzutragen. Also z. B. um Clients im eigenen Netzwerk mit Hostnamen ansprechen zu können. Blacklist und Whitelist sind auch dabei. Aus einer großen Liste kann man sich auch seine gewünschten Blocklisten auswählen um Werbung zu blockieren.
Man kann z. B. die IPs der Server wie gewohnt bei Windows eintragen (natürlich IPv4 und IPv6; unverschlüsselt). Damit man seinen Profil verwendet, hat man sozusagen eine eigene IPv6-Adresse. Bei IPv4 muss DDNS verwendet werden (ich empfehle deSEC), oder man benutzt NextDNS ohne eigenes Profil. NextDNS hat ein eigenes Programm für alle Betriebssysteme um doch überall verschlüsselt DNS nutzen zu können.
Das Programm
Ich wollte vermeiden auf meinem PC das Programm zu installieren und habe in Firefox schonmal mein Profil hinzugefügt. Das Programm (für Linux) kann auf Wunsch auf Netzwerk-Zugriffe hören und die DNS-Anfragen „weiterleiten“. Also habe ich erstmal eine weile yay und nextdns kompiliert… Wenn mein Router mit OpenWRT Platz hätte, würde ich’s darauf installieren. >_<
Nach der Konfiguration lief nextdns immer noch nicht, aber das lag daran, dass noch systemd-resolved aktiv war und auf Port 53 gehört hat. systemd-resolved hat auch diese Funktionen, habe ich aber zu spät erfahren. :)
Nun haben mein PC und mein zweiter Raspberry Pi einfach meinen ersten Raspberry Pi als DNS-Server eingetragen und dieser kommuniziert verschlüsselt mit dem wirklichen DNS-Server. Mein Smartphone unterstützt DoT, also habe ich die URL dafür eingetragen. Damit hab ich auch unterwegs immer verschlüsselten DNS.
Bonus
Man hat auf der Seite von NextDNS ausführliche Statistiken zu jedem einzelnen Client. Man kann selber entscheiden wo (US, EU oder Schweiz), wie lange und ob diese gespeichert werden sollen. Und mit einem Klick kann man auch alles löschen.
Yama