habe ich die iOS Profile für dnsforge auf meine Geräte installiert um egal in welchen Netzwerk ich mich befinde Tracking zu unterbinden. Dummerweise habe ich hierbei nun das Problem, dass ich in meinem internen Netzwerk einige Dienste, die ich über DNS-Namen meiner eigenen externen Domain mit Zertifikate versehen habe um authentisierte und verschlüsselte Kommunikationsprotokolle nutzen zu können, nun nicht mehr erreichen kann. Die DNS-Namensauflösung der iOS Geräte geht ja direkt an dnsforge und nicht mehr über meinen lokalen DNS-Server.
Nun bin ich am Überlegen, was ich jetzt mache:
Möglichkeit 1 - Ich hinterlege meine internen Dienste-Namen in meiner externen Domain. Damit funktioniert die Namensauflösung, aber ich gebe natürlich Informationen zu meinen internen Strukturen und Diensten preis. Probleme mit der Übermittlung meiner Daten an einen Man-in-the-Middle dürften nicht auftreten, da ich meine Dienste ja alle mit Zertifikaten geschützt habe, sodass die Verbindung zu einer gleichlautenden IP-Adresse in einem anderen Netzwerk kein Problem für meine Daten darstellen sollte.
Möglichkeit 2 - Ich wechsle über “Einstellungen” > “Allgemeine” > “VPN & Geräteverwaltung” > “DNS” immer manuell zwischen dnsforge und automatischer Namensauflösung hin und her. Problem ist hierbei, dass ich das vergesse und dementsprechend entweder interne Verbindung mal nicht funktionieren oder ich im Internet wieder ohne dnsforge unterwegs bin.
Möglichkeit 3 - Ich nutze dauerhaft eine VPN-Verbindung aus dem Internet in Richtung zuhause und verwende dnsforge über das lokale Heimnetzwerk wo ich dnsforge ebenfalls in meiner Fritzbox als DNS-Server hinterlegt habe. Bisher habe ich ein VPN aber noch nicht eingerichtet.
Was würdet Ihr machen? Wer hat eine einfache Betriebsweise für iOS bei sich laufen, wo man die Kombination aus lokalen Namensauflösungen zuhause mit DNSforge bei der direkten Internetanbindung nutzen kann?
Ich verwende für gewöhnlich Möglichkeit 2 - was manchmal ziemlich frickelig ist. Möglichkeit 3 klingt IMHO nach der besten Lösung und unterscheidet sich nicht sehr von einer Außer-Haus-Nutzung eines lokalen Pi-hole - sollte also eine erprobte Standardlösung sein.
Wie stabil ist eigentlich dnsforge bei der täglichen Nutzung? Heute hatte ich um ca. 19:00 Uhr einen Ausfall (gelöst durch Möglichkeit 2), der etwa eine halbe Stunde anhielt. Bei AdguardDNS ist mir das nie passiert, aber dnsforge ist mir sympatischer.
Anfängerfrage zu dnsforge: Bei den Mobileconfig-Dateien für iOS lieber die DoH- oder die DoT-Variante wählen? Der Kuketz-Blog empfiehlt DoT, aber die Geister scheiden sich zwischen beiden Varianten.
PS: Das mit der Namensauflösung ist nicht mein Usecase, aber wegen Problemen mit Custom-DNS (ausgelaufene Zertifikate, Ausfälle s.o.) greife ich manchmal auf Möglichkeit 2 zurück. Kommt natürlich nicht oft vor, so dass die Frickeligkeit zu vernachlässigen ist.
Du kannst auf https://dns.notjakob.com/tool.html ein DNS-Profil für iOS erstellen und unter Advanced auch einstellen in welchem WLAN dieser beliebige DNS-Server nicht genutzt werden soll. Das macht Nummer 2 von dir quasi automatisch. Per dnsleaktest.com kannst du dann mal prüfen welcher DNS Server im WLAN genutzt wird und welcher mit Mobilen Daten genutzt wird.
Ich nutze das so im Alltag und bisher hat das immer Funktioniert.
Wenn du das DNS-Profil erstellst kannst du unter Advanced auch festlegen ob das Profil nur bei WLAN oder auch mit Mobilen Daten genutzt werden soll. Hab es leider noch nicht mir AdGuard Pro probiert.
Durch den Filter der WLAN-SSIDs im .mobileconfig Profil kann ich das gewünschte erreichen - lokaler DNS im eigenen Netzwerk mit lokalen Namensauflösungen und DNSforge in der Fritzbox und kombiniert mit direkter DNSforge Auflösung des iPhones wenn diese sich im Mobilfunknetz oder anderen WLANs befindet.
Noch eine kleine Ergänzung. Ich habe mir dann noch aus dem von notjakob.com heruntergeladene .mobileconfig Profile in der Shell / Terminal mit
$ strings < xxxxxx.mobilconfig
die reinen MobileConfig-Befehle extrahiert und kann jetzt einfach mit einem Texteditor weitere WLAN SSIDs hinzufügen und wieder speichern ohne wieder auf die Webseite zugreifen zu müssen.