NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
DNS über HTTPS
Sie können den DNS-über-HTTPS-Dienst von NxFilter ausführen. Mit dieser Funktion können Sie roamende iOS- oder Android-Mobilgeräte filtern.

Warum wir es brauchen
DNS über HTTPS gibt es schon seit einigen Jahren. Wir dachten nicht, dass es für die Filterung nützlich ist, da UDP/53 viel schneller ist als TCP/443. In der heutigen Netzwerkumgebung verwenden so viele Arten von Software das DNS-Protokoll für ihre eigenen Zwecke, und ihr DNS-Verkehr wächst, wenn wir unsere Netzwerkkapazität erhöhen. Es ist also bereits ausgereizt. Die Umstellung auf TCP mit Verschlüsselungs-Overhead ist ein sehr gefährlicher Schritt, wenn Sie ein umfangreiches Netzwerk betreiben.

DoH könnte jedoch nützlich sein, wenn Sie iOS- oder Android-Geräte filtern wollen, da wir keine solide Möglichkeit haben, diese mobilen Geräte zu filtern. iOS-Geräte unterstützen systemweite DoH-Einstellungen und auf Android können wir Chrome oder Chromium-basierte Browser so einstellen, dass sie den DoH-Dienst nutzen. Diese mobilen Geräte fallen unter Ihre Filterregeln, solange sie den DoH-Dienst von NxFilter nutzen.

Bedingungen für den DoH-Dienst
Es gibt mehrere Bedingungen für die Nutzung des DNS over HTTPS-Dienstes von NxFilter.

1. Sie benötigen v4.6.2.2 oder eine neuere Version von NxFilter.

2. Sie müssen Ihr eigenes SSL-Zertifikat installieren. Es muss ein Single-Domain-Zertifikat sein, wenn Sie iOS/macOS-Geräte filtern möchten.

3. Sie müssen es über TCP/443 bedienen, wenn Sie iOS/macOS-Geräte filtern wollen.

4. Da NxFilter Benutzer durch Login Token identifiziert, müssen Sie zuerst die Benutzerauthentifizierung durch NxFilter aktivieren.

Um herauszufinden, wie Sie Ihr SSL-Zertifikat auf NxFilter installieren, lesen Sie Wie kann ich mein eigenes SSL-Zertifikat anwenden?

Wie man es verwendet
Wenn es sich um den Chrome-Browser handelt, können wir es unter Einstellungen > Datenschutz und Sicherheit > Sicherheit einrichten. Aktivieren Sie die Option Sicheres DNS verwenden und fügen Sie dann eine benutzerdefinierte URL wie unten beschrieben hinzu,

Sie müssen "doh.nxfilter.org" durch Ihre eigene Domain ersetzen. Und '4RYEO5P2' muss durch ein Login-Token von einem Ihrer Benutzer ersetzt werden. Die DNS-Anfragen des Chrome-Browsers werden mit dem Benutzernamen angezeigt, der mit dem Login-Token "4RYEO5P2" verknüpft ist.

Filtern von iOS/macOS-Geräten
Sie können Apple-Geräte mit iOS und macOS über eine .mobileconfig-Datei so einstellen, dass sie Ihren DoH-Dienst als systemweiten DNS-Server verwenden. Wenn es sich um ein iPhone mit iOS 15 handelt, laden Sie eine .mobileconfig-Datei auf Ihr Telefon herunter und installieren Sie sie unter Einstellungen > Allgemein > VPN & Geräteverwaltung. Wenn es sich um ein macOS handelt, das systemweite DoH unterstützt, doppelklicken Sie auf eine .mobileconfig-Datei.

Wir haben eine Vorlage für eine .mobileconfig-Datei unter System > Mobile Config. Sie können eine benutzerspezifische .mobileconfig-Datei basierend auf der Vorlage von der Benutzerbearbeitungsseite herunterladen.

Filtern von Android-Geräten
Android-Geräte unterstützen noch keine systemweiten DoH-Einstellungen. Wir wissen, dass es 'DNS over TLS' für Android gibt, aber mit DoT können Ihre mobilen Benutzer in anderen Netzwerken blockiert werden wenn diese TCP/853 blockieren. Sie könnten ihre Internetverbindung außerhalb Ihres Netzwerks verlieren. Bevor also Android-Geräte DoH unterstützen, ist die beste Option die Verwendung von Chromium basierten Browsern, die DoH unterstützen.

Wartung von NxFilter für Roaming-Benutzer
Vielleicht möchten Sie die Roaming-Benutzer außerhalb Ihres Netzwerks mit NxFilter filtern und gleichzeitig Ihr lokales Netzwerk filtern. Sie können TCP/80- und TCP/443-Datenverkehr über Ihren Router an NxFilter weiterleiten. Wenn Sie die Blockumleitung nicht benötigen, um Ihre Sperrseite anzuzeigen, reicht TCP/443 aus.

Blockumleitung für Roaming-Benutzer
Wenn Sie Ihre IP für die Blockumleitung mit einer privaten IP festlegen, fragen Sie sich vielleicht, was passiert, wenn ein Roaming-Benutzer außerhalb Ihres Netzwerks blockiert wird. NxFilter versucht, seine öffentliche IP automatisch zu finden, und verwendet die öffentliche IP, wenn er die Umleitung der DNS-Anfragen von einer öffentlichen IP blockieren muss.

Umgehung Ihrer eigenen DoH-Server-Domäne durch Ihre Filterung
Sie möchten Ihre DoH-Server-Domäne nicht durch NxFilter selbst blockieren. NxFilter wird versuchen, Ihre DoH-Domäne herauszufinden und sie automatisch zu umgehen. Aber es ist immer noch besser, Ihre Domain selbst auf die Whitelist zu setzen. Sie können Ihre DoH-Server-Domain auf Whitelist > Domain mit bypass_filter und bypass_auth Flags.