[keweonDNS][Online Security und Adblock][Ohne Root][Offiziell-Support]

[Schotti]

Hi Torsten!

Eigentlich flutscht dat im Moment ganz gut (bin ja erst seit ein paar Tagen mit DOH / Nebulo unterwegs).
Selbst die vier roten Buchstaben funzen die ganze Woche eigentlich ohne Fehler.

Nun weiß ich aber nicht, was mit der folgenden Url los ist:
Fahrrad Filiale Bremen-Brinkum (B.O.C.)
Im Boat-Browser bleibt die Seite weiß - es wird nichts angezeigt.
Im Opera gibt's den folgenden Fehler:

Spoiler

Gibt's 'nen Vorschlag / hast ne Idee?
Gruß
Schotti

 

[MrT69]

@Sch@tti

Wenn du sowas siehst, dann schreib die URL in eine Text Datei und schick die an meine Whitelist Adresse.
Und Premiere - seit ein paar Minuten läuft der Office365 E3 Account. Das sollte jetzt besser gehen, denn ich hab was gebraucht wo ich den Spam und Mail Filter abschalten kann. Find sowas heute mal, das ist der Hammer.

Bitte kein Bla, Bla in die Mail oder einen Text, einfach nur die Text Datei schicken, der Rest der Mail wird sowieso gelöscht.
Du bekommst von "Box" eine Bestätigung wenn die Datei erfolgreich zugestellt wurde. Das wars, den Rest mach ich dann.
Details morgen oder am Montag, aber mein Mailserver nervt mich, der hat zu hohe Security. Das ich sowas mal sage hätte ich auch ned gedacht.

Für Adressen die auf die Blackliste müssen - die Text Datei an folgende Adresse schicken:
blacklist@keweon.de

oder

Für Adressen die auf die Whitelist müssen - die Text Datei an folgende Adresse schicken:
whitelist@keweon.de

Das mach ich noch sauberer mit VCard und so. Aber das braucht n bischen Zeit

 

[MrT69]

Facebook sammelt weiter Daten trotz deaktivierten Account

Facebook still tracks you after you deactivate account

Das ist für mich persönlich nichts neues aber anscheinend müssen hier immer erst irgendwelche Experten am Werk sein dass das wahr genommen wird.
Auf Desktop Umgebungen kann ich das übrigens komplett deaktivieren ohne das Facebook selbst betroffen ist. Allerdings läuft dann die FB App auf keinem mobilen Gerät mehr.
Wenn es nach mir geht hätte ich gern 2 unterschiedliche DNS Server. Einmal Mobil und einmal für Desktops.

Reddit kennt die dunkelsten Geheimnisse von uns

Reddit CEO Steve Huffman: 'We know your dark secrets. We know everything.'

Auch wieder so ein Hammer und der nächste Datensammler. Genau deswegen bin ich so dagegen und das ist leider erschreckender Weise auch der Grund warum ich keine Investoren finde. Es geht nur noch ums Datensammeln. Verzeiht es mir, aber ich kann nicht soviel Essen wie ich dazu kotzen könnte. Das ist unglaublich frustrierend.

Ich hab nix zu verbergen

Bei dem Satz krieg ich Zustände, weil das von brachialer Dummheit zeugt.
Wenn mir jemand diesen Satz sagt, dann frag ich schon "Na dann kann ich ja mal dein Handy haben mit PIN. Hast ja nix zu verbergen." Oder mir reicht auch die Kontonummer und der Name. Das komischerweise krieg ich dann nicht.

Solchen Leuten rate ich mal dringend einen Monat lang keinen Ausweis, keine Kontokarte und keine anderen Datendokumente zu nutzen. Ein Monat lang. Nur damit die mal sehen wie wichtig persönliche Daten sind.

 

[ckbaxter]

@MrT69 erstmal vielen Dank für deine Tolle Arbeit. Echt Top!!!
Ein kleine Frage hätte ich im XDA Forum hast du folgende 2 Main Server hinterlegt:

Spoiler: Main Servers

Main Servers:

Quote:

IP: 176.9.62.58
IP: 176.9.62.62

or

IPv6: 2a01:4f8:150:8023::58
IPv6: 2a01:4f8:150:8023::62

In deinem Anfangspost hier im Forum finde ich die aber nicht. Hat das einen besonderen Grund?

Grüße
ckbaxter

 

[MrT69]

@ckbaxter

Oh... Ich hab da ne Kleinigkeit vergessen. Danke dir.

 

[MrT69]

@ckbaxter

Hab die Liste erweitert. Danke nochmals.

 

[bhf]

Funktioniert der DoT-Server

Einzutragnede (sic!) Server Adresse: dot.asecdns.com

eigentlich nur unter Android 9? Mit Android 8 und der App Nebulo gibt's bei diesem Eintrag keine dns-Auflösung mehr.

 

[nik]

@bhf als was hast du den Server denn eingetragen? Als DNS over https Server oder als DNS over TLS?

 

[Wattsolls]

Hmm klappt bei mir auch nicht. Nur mit dot.asecdns.ch . (Nebulo und Android 6)

 

[MrT69]

Das mit den Servern ist manchmal echt nervig... Da krieg ich manchmal echt Frust.

 

[bhf]

@bhf als was hast du den Server denn eingetragen? Als DNS over https Server oder als DNS over TLS?

Als DNS over TLS. DoH funktioniert in der Regel reibungslos. Nur den DoT bekomme ich nicht ans laufen. Leider bekommen weder mein T-Mobile SGS7 noch mein Pixel C Android 9.

 

[MrT69]

@bhf

Ich nehme an du meinst DoH bekommst du nicht hin.

1. Welche App nutzt du?
2. Welche Einträge setzt du?

Bei mir klappt es. Ich hab ein S9+ und ich habs nicht gerooted.

Nur als Anmerkung...
Weil die mir persönlich zu langsam sind werde ich morgen, spätestens am Freitag, auf die DoH Server ein Upgrade machen. Vielleicht behebt das ja auch ein paar Probleme.

Dadurch dass das halt echt Mini Server sind habe ich da halt auch technische Limitierungen. Nicht genügend Session, Open File Handling und so Sachen. Bißchen mehr geht immer aber auf einem physikalischen Server wäre das halt echt einfacher.

Mal gucken... Kriegen wir schon

 

[MrT69]

BITTE NUR MAL TESTEN! BITTE NICHT DAUERHAFT NUTZEN!

Sooo, nachdem ich jetzt anscheinend 5 mal versucht habe das LetsEncrypt Zertifikat anzufordern bin ich jetzt erst mal durchs RATE Limit gesperrt bis heute abend. Deswegen gibt's jetzt eine blöde URL aber, es läuft. Immerhin.

Auf Grund ein paar Hinweisen von euch habe ich das Thema DoH etwas überarbeitet. Damit das ausgiebig geteted wird, bleibt der Server mal mindestens ne Woche Online und wie immer - ich sag vorher bescheid wenn der abgeschaltet wird. Was hat sich geändert?

1. Zertifikat

• schnellerer Aufbau (soweit das mit Letsencrypt überhaupt möglich ist)

2. DoH Code

• überarbeitet und optimiert
• Version DoH 3.2
• DNSSEC aktiviert

3. Server

• NGINX mit Version 1.14 (inkl. Fine Tuning)
• Nur mit TLS1.2 & 1.3

4. Der Server ist über folgende DoH Adressen erreichbar, je nachdem was euch besser gefällt:

• https://test.asecdns.ch/nebulo
• https://test.asecdns.ch/keweon
• https://test.asecdns.ch/dns-query

5. Die IP Adressen des Servers sind wie folgt:

• IPv4: 159.69.180.200
• IPv6: 2a01:4f8:1c17:7b9d::200

Wenn der Server soweit stabil läuft, dann stelle ich alle anderen Server entsprechend auf die gleiche Konfiguration um.
Bin gespannt was Ihr sagt. Bei mir zumindest rennt das Ding wie Sau, aber na ja, noch bin ich alleine auf dem Server, also kein Wunder.

In diesem Sinne viel Spass und - Feeback, was und wie auch immer - jederzeit gerne!

 

[Wattsolls]

Bei mir nur sehr träge. DOT eindeutig fixer.

 

[MrT69]

@Wattsolls

Das ist jetzt hart... Welchen Provider nutzt du?

 

[Wattsolls]

Sorry war halt nur ehrlich. Test war nur über wlan auf meinem Zweitgerät mit Android 6. Aber ich teste nochmal über mein Hauptgerät.

 

[MrT69]

Ok, liegt wohl am lahmen Gerät mit Android 6. Unter Pie mindestens genauso flink wie DOT. Also Problem liegt bei mir

Genau das macht mir jetzt etwas Kopfschmerzen. Das sollte eigentlich nicht sein.
Deswegen haben die ja das DoH Protokoll entwickelt.

Hmmmmmm...

 

[foofighter]

So, ich habe den Testserver mal ausprobiert. Hab übrigens ein Sony, Android 9. Für mich sind die Server zu langsam und ich habe nach knapp 24 Std. wieder zum Standard over DoH mit Nebulo gewechselt, das läuft am schnellsten. Gefühlt ist es so, dass die Geschwindigkeit in den letzten drei bis vier Wochen etwas langsamer geworden ist, verglichen mit dem Jahresanfang. Ist aber nur rein subjektiv und nicht gemessen oder belegt.

Leider ist es bei der App Nebulo so, dass die Verbindung sich nicht wiederherstellt, wenn ich z.B. im Funkloch war. Dann wird mir zwar eine Verbindung angezeigt, aber es werden keine Daten übertragen. Dann hilft nur ein Neustart. Inwiefern das mit deinen Servern zusammen hängt, kann ich nicht beurteilen.

Am Schluss noch ein großes Dankeschön an dich und deinen Einsatz, lieber Torsten!

 

[MrT69]

@foofighter

Sorry das es jetzt n bißchen gedauert hat.
Das mit dem Wiederverbinden hab ich auch immer wieder, aber egal was ich für einen Client nutze. Aus meiner Sicht liegt das am Zertifikat aber mal schnell eines kaufen sind halt auch knapp 200 oder 300 Euro. Egal wie auch immer, ich mag dieses Let'sEncrypt einfach nicht

Mit dem Server schau ich mal was ich machen kann. Ich entwickel eh gerade einen neuen Client der DoH und DoT in einem kann aber ich denke das wird in Summe noch 2 oder 3 Monate dauern bis der Testreif ist. Ich bräuchte mal 3 Wochen Urlaub dann würde das auch schneller gehen

Dass das seit 4 Wochen langsamer ist liegt anscheinend am Betriebssystem. Ungefähr da war der Zeitpunkt wo ich von Ubuntu auf BSD gewechselt habe. Das ist das was ich jetzt persönlich mal hoch interessant finde.

Leider kann ich mein eigenes OS bei hetzner nicht hochladen, dann wäre das definitiv der Fall. Aber ich dachte das war ne gute Idee. UBUNTU ist zwar schnell installiert, aber es hat leider weniger Sicherheitsfeatures und das muss man erst mal n Tag lang Patchen und Einstellen.
Zum anderen ist es auch halt so ein Micro Server. Jedes Handy hat mehr CPU und RAM, das könnte auch noch das Problem sein.

Ich schau mal was mir da noch einfällt. So oder so, mega Danke für das Feedback.

 

[MrT69]

keweonDoH nur auf Windows - ganz einfach

Nachdem bei XDA ein paar User das haben wollen, denke ich mir das hier bei AH das auch bestimmt gesucht wird. Ich hoffe jetzt dass das Thema hier nicht in der falschen Rubrik landet. Wenn das in die Rubrik Windows komme sollte, bitte einfach bescheid geben, dann kann man das verlinken.

Windows und DoH ist "eigentlich" noch nicht möglich da - wie bei Apple - Microsoft das Thema irgendwie noch nicht entdeckt hat. Da es aber funktioniert, hier eine kleine Anleitung dazu wie man unter Windows den DoH Client von Cloudflare für keweonDNS nutzen kann.

Ich wollte schon selbst einen Client machen, aber ehrlich, ich hab die Zeit nicht dazu den Code auch noch zu supporten und warten. Denn einen Job hab ich auch noch. Da es mit Cloudflare geht sollte das erstmal ausreichen.

Was braucht man dazu?

1. Den XCA Client für die Zertifikate (Download)
2. Ein Programm zum entpacken von ZIP Dateien
3. Du musst wissen wie man die HOSTS Datei editiert (C:\Windows\System32\drivers\etc\hosts)
4. Etwas Zeit, so ca. 5 bis 10 Minuten
5. Und natürlich den Cloudflare Client:

• hier als x64 Version (https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-windows-amd64.zip)
• hier als x86 Version (https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-windows-386.zip)

Wie wird der Client installiert?

Es gibt zwei Möglichkeiten. Zum einen zum manuellen Starten oder zum anderen, wie hier beschrieben, zum automatischen Starten als Dienst.
Dazu benötigst du nun 2 Dinge. Das sind zum einen ein "Command Prompt" mit Admin Rechten und den Explorer (oder TotalCommander).
Damit alles reibungslos klappt, einfach nächsten Schritte blind durchziehen und die Befehle dazu kann man wirklich 1:1 mit Copy&Paste verwenden.

1. Erstellen des Installationsverzeichnis über den Command Prompt. Wenn da ein Fehler kommt, dann ist der nicht im Admin Modus.
   

   mkdir C:\Windows\System32\config\systemprofile\.cloudflared

2. Kopiere die Datei "cloudflared.exe" in dieses Verzeichnis
   
   
3. Kopiere die Datei "cert.pem" in dieses Verzeichnis (siehe Anhnag)
   
   
4. Kopiere die Datei "config.yml" in dieses Verzeichnis (siehe Anhang)
   
   
5. Damit sollte das Verzeichnis nun so aussehen:
   
   Spoiler: Netzwerkkarte

   
   
   
6. Zurück zum Command Prompt und da nun folgendes eingeben:
   

   cd C:\Windows\System32\config\systemprofile\.cloudflared

7. Die Cloudflared.exe noch abschließend als Dienst/Service installieren
   

   cloudflared.exe service install

8. Und zum Schluss noch die DoH Server in die HOSTS Datei eintragen:
   

   2a01:4f8:c2c:e25::207 doh.asecdns.com
   2a01:4f9:c010:1cbd::29 doh.asecdns.com
   2a01:4f8:1c17:6fc7::250 doh.asecdns.com
   159.69.49.250 doh.asecdns.com
   116.203.126.207 doh.asecdns.com
   95.216.165.29 doh.asecdns.com

9. Wichtig. Jetzt einen Reboot machen.
   
   
10. Nach dem Reboot ist der Server bereits aktiv und reagiert auch bereits auf die 127.0.0.1 was man ganz einfach testen kann.
    • Command Prompt wieder öffnen
    • Dann "nslookup" eingeben & Eingabetaste
    • Dann "server 127.0.0.1" eingeben & Eingabetaste
    • Und nun "www.intel.com" eingeben & Eingabetaste
    • Wenn du jetzt eine IP Adresse als Antwort bekommst - tadaaaa - herzlichen Glückwunsch.
      
      
11. Wenn die DoH Server in der HOSTS Datei drin stehen, dann kannst du jetzt die Netzwerkkarte ändern. Da als DNS Server einfach 127.0.0.1 angeben und schon kannst du DoH auf Windows surfen.
    
    Spoiler: Netzwerkkarte

    

Wozu braucht man das Programm XCA?

Im Download findest Du eine XCA-Datenbank, welche die LetsEncrypt-Stammzertifikate enthält. Wenn Du
meinem Download (cert.zip) nicht vertraust dann kannst du damti die Zertifikatskette selbst damit erstellen. Die Zertifikate von der Webseite runterladen, in XCA rein und als Zertifikatskette exportieren. Ganz einfach & klingt schlimmer als es ist.


Wie exportiert man Zertifikate aus der Webseite?

Das ist recht einfach und dazu muss man nur die URL dazu aufrufen. Hier als Beispiel "https://doh.asecdns.com/nebulo" und schon kommt man an die Zertifikate heran. Und nein, das ist kein Hack oder Bug oder illegal, denn ohne den privaten Schlüssel ist das ein ganz normaler Vorgang.
Da schreib ich keinen Roman dazu denn Bilder sagen mehr als 1000 Worte. Und ich denke das ist so auch einfacher.

Spoiler: Export Zertifikat von der Webseite

Import und Export Zertifikate mit XCA

Wenn du alle Zertifikate heruntergeladen hast, dann einfach mit "Drag&Drop" in die geöffnet Datenbank von XCA ziehen. Du must dich nicht fragen wie oder wohin, einfach rein. Den Rest macht das Tool.
So kannst du nun mit Cloudflare jeden X-beliebigen DoH Server nutzen. Um diesen zu nutzen brauchst du allerdings die Zertifikatskette(n), da der Cloudflared Agent nicht auf den Windows Zertifikatsspeicher zugreifen kann. Also, Zertifikate von der Webseite downloaden, dann in XCA rein und wie folgt exportieren damit man das für Cloudflare nutzen kann.

Die Datenbank ist auch im Anhang dabei und hat das hochsichere und komplexe Passwort "a" - ohne Anführungsstriche.

Spoiler: XCA Export

Das wars auch schon.

Hinweis:
Anbei befinden sich alle Dateien im Anhang und funktionieren. Die Config Datei für Cloudflared ist nicht optimiert, lediglich funktionell. Wenn jemand hier passende Einstellungen hat damit es schneller, besser oder effektiver läuft, ruhig her damit.

Anhang:

• cert.zip = Die Zertifikatskette von LetsEncrypt bereits fertig exportiert
  
• config.zip = Die Config Datei für cloudflared.exe bereits fix und fertig
• LetsEncrypt.zip = Die XCA Datenbank mit den Let'sEncrypt Root Zertifikaten

In diesem Sinne, viel Spass damit!!