DNS DOH on Android 13+?

onkelotto · 18. Oktober 2024 um 18:54

Hallo Ihr Lieben,
hat jemand Erfahrungen mit DOH auf Android-Geräten mit Version ab 13+ ??
ich habs mit Android 11 nicht hin bekommen …
Hintergrund:

Ich bin ehrenamtlich tätig, insofern angewiesen auf öffentliche Netzwerke, auch mit „hidden SSID“
hier ist meist wie bei meinem Fritz-Gastnetzwerk alles „verboten“ außer „Surfen+Mail“
also funktioniert DOT/quic nicht, da der Port 853 geblockt ist.
mit IOS aktiviere ich einfach das DOH-Profile und „des rennt“
unter Android 11 kann ich nur „dnsforge.de“ unter „Private DNS“ definieren, „https://dnsforge.de/dns-query“ für DOH wir nicht akzeptiert, kann eben NICHT speichern.
Android 13+ kann ich leider (noch) NICHT selbst testen mangels Geräten …

Hat das jemand unter Android 13+ schon mal probiert, getestet, verifiziert ?

vielen Dank,
VG, Dieter

dominion · 19. Oktober 2024 um 05:33

Hi,

DoT ist doch bei Android seit glaube ich Version 9 Standard, unter Netzwerk Privater DNS kannst du einfach dnsforge.de eintragen und es geht.

Welche Fehlermeldung erhälst du denn dort ?

onkelotto · 19. Oktober 2024 um 08:17

ups, sorry … was so ein Buchstabe ausmachen kann

ich meine natürlich DOH = DNS over HTTPS = Port 443

Dass DOT bereits seit Android 9 funktioniert per DOT, is mir bekannt, nutze ich auch soweit möglich. Im Gastnetz / öffentlicher Hotspot bekomme ich:

Wohl weil Port 853 eben gesperrt ist.

Daher mein Versuch mit DOH, d.h. bei „Private DNS“ eben die Adresse „https://dnsforge.de/dns-query“ eingetragen → KEIN Speichern möglich unter Android 11.

Ich hatte auch gesucht nach „Android DOH“ … da hieß es an mehreren Stellen dass Android ab Version 13 auch DOH können soll, was ich leider so (noch) nicht testen kann.

Vielleicht gibts ja jemanden hier mit einen Android 13 Gerät (oder 14), der mal bei „Private DNS“ die DOH-Adresse testen könnte ?

Besten Dank.

progandy · 19. Oktober 2024 um 22:31

Ich habe GrapheneOS (Android 14). DoH wird nur über eine interne Liste ermöglicht, da stehen nur Google und Cloudflare drin. Die Liste kommt direkt von AOSP und wird durch GrapheneOS nicht geändert.

github.com/GrapheneOS/os-issue-tracker

[Feature request] Allow more DNS-over-HTTPS providers

opened 08:33AM - 03 Aug 24 UTC

kovdan01

It looks like that currently only certain DoH providers are allowed: see the fol…lowing chunk of code in https://cs.android.com/android/platform/superproject/+/master:packages/modules/DnsResolver/PrivateDnsConfiguration.h;drc=3aea8db351212126ee1420598090057c258f8335;l=259 ``` // TODO: Move below DoH relevant stuff into Rust implementation. std::map<unsigned, DohIdentity> mDohTracker GUARDED_BY(mPrivateDnsLock); std::array<DohProviderEntry, 5> mAvailableDoHProviders = {{ {"Google", {"2001:4860:4860::8888", "2001:4860:4860::8844", "8.8.8.8", "8.8.4.4"}, "dns.google", "https://dns.google/dns-query", false}, {"Google DNS64", {"2001:4860:4860::64", "2001:4860:4860::6464"}, "dns64.dns.google", "https://dns64.dns.google/dns-query", false}, {"Cloudflare", {"2606:4700::6810:f8f9", "2606:4700::6810:f9f9", "104.16.248.249", "104.16.249.249"}, "cloudflare-dns.com", "https://cloudflare-dns.com/dns-query", false}, // The DoH providers for testing only. // Using ResolverTestProvider requires that the DnsResolver is configured by someone // who has root permission, which should be run by tests only. {"ResolverTestProvider", {"127.0.0.3", "::1"}, "example.com", "https://example.com/dns-query", true}, {"AndroidTesting", {"192.0.2.100"}, "dns.androidtesting.org", "https://dns.androidtesting.org/dns-query", false}, }}; ``` It would be nice to also allow other DoH providers, like NextDNS. The logic behind choosing between DoH and DoTLS does not actually look trivial (see calls to `setDot` and `setDoh` from `PrivateDnsConfiguration::set` in https://cs.android.com/android/platform/superproject/+/master:packages/modules/DnsResolver/PrivateDnsConfiguration.cpp;drc=bf52841c57f05b9caff97c80d2d86d59ecf609e4;l=115), and maybe it's even better to just have two separate options in private DNS configuration: one for those who want to use DoT, and one for DoH. Actually, one field (as right now) should be enough, and choice between DoH/DoT can be made just because resolver addresses look different (in case of NextDNS, https://dns.nextdns.io/username vs username.dns.nextdns.io). I'm not sure why it's not implemented this way right now since it seems pretty straightforward. This way, probably there would be no need for "white list" of allowed DoH resolvers, and usage of any resolver would be possible (if I'm not missing smth). Thanks for your great work on GrapheneOS!

Also als Private-DNS hostname entweder cloudflare-dns.com oder dns.google
Falls du dns64 brauchst, sollte dns64.dns.google funktionieren.
Edit: Ergebnis mit cloudflare-dns.com

Ansonsten nutze ein VPN, das den kompletten Datenverkehr inklusive DNS tunnelt.

Es gibt auch Ein paar DoH-Clients die die VPN-Funktion von android nutzen, um nur die DNS-Anfragen umzuleiten und den Rest ganz normal ohne VPN durchlassen, z.B.
nebulo oder Rethink

onkelotto · 20. Oktober 2024 um 19:17

danke @progandy
Google machts mMn. mal wieder komplizierter als nötig

Ich hab nochmal recherchiert mit „android dns-over-https“ … hmm, auch nicht besser oder einfacher:

siehe bei Google … isses jetzt DOH oder doch quic = https/3 ?
siehe XDA … macht mich auch nicht schlauer bez. DOH on Android … aber interessante Links …
siehe DNS.SB … Links zu Nebula + Intra, beides OpenSource, wobei Intra aktueller ist. Ja, is wohl neben RethinkDNS eher was für Fortgeschrittene und kann wohl auch beliebige DOH-Server wie eben den von dnsforge.de + auch MEHR Funktionen

So weit, so „schlecht“ … Ich suche eigentlich nach einer Option, DOH auf Android auch „unbedarften“ Nutzern nahe zu legen … die gibt es wohl eher NICHT … will Google wohl auch nicht.

Egal, ich bekomme wohl nächste Woche mal ein Samsung Tablet A9+ (A13/14) zum „spielen“ … schau’n mer moh

@dominion : Deine Beschreibungen zum dnsforge.de find ich schon super + sehr ausführlich … bei Android eben „kurz“. Evtl. wäre ein Hinweis hilfreich, dass es sich „nur“ um DOT handelt, d.h. in öffentlichen Netzwerken ggf. nicht funxt? Zudem fände ich persönlich einen Hinweis auf z.B. Nebula, Intra, RethinkDNS für „erweiterte Optionen“ gar nicht so verkehrt … war vor Android 9 so, isses jedoch leider wohl immer noch

onkelotto · 31. Oktober 2024 um 15:17

Hallo noch mal,
Ich habe das Thema DOH on Android am A9+ mit Android 14 testen können, hier kurz zusammengefasst:

„Private DNS“ : is anscheinend immer noch nur DOT, bzw. DOH für nur wenige Anbieter wie Cloudfare/Google. Für mich im restriktiven Gast-/öffentlichen Netz eben nicht brauchbar.
DOH funktioniert auf Android perfekt mit der App „Intra“, ok, is eben „Pseudo-VPN“, d.h. ich kann KEIN weiteres VPN nutzen = „Highlander-Prinzip“ auf Android (auch auf IOS) = es kann nur EIN VPN aktiv sein.
Inwieweit bei den Browser unter Android selbst DOH aktiviert werden könnte, im Vgl. zum Desktop, hab ich nicht getestet. Ich schätze mal, eher weniger, da Mobil-Versionen der Browser meist etwas geringeren Funktionsumfang haben.

Also zu meiner Ausgangsfrage sind meine Erkenntnisse eben bez. DOH mit dnsforge.de auf (Mobil-)Geräten:

Android : geht eigentlich nur sauber + systemweit mit zusätzlicher App = VPN
IOS/macOS : geht eben „einfach“ über die Installation von Profilen. Ok, is ein wenig „klick hier, klick da…“, aber einmaliger Aufwand und funktioniert eben systemweit und OHNE VPN.
Browser wie bei dnsforge.de beschrieben : Desktop-Browser können das, einfach DOH-URL eintragen. Mobil Browser = ???. Is jedoch NUR im Browser, gilt nicht für Programme/Apps … aber immerhin.

Ok, für mich wäre das Thema eigentlich abgehakt, es sei denn jemand hätte noch ne Frage / Kommentar dazu.

Vielen Dank an alle hier für die Rückmeldungen.
VG, Dieter

dominion · 1. November 2024 um 08:52

Ich habe das hier gefunden:

Aktuell unterstützt Android nativ nur Google DNS und Cloudflare DNS für DoH. Diese beiden Anbieter sind fest einprogrammiert.
Quelle: https://www.reddit.com/r/Android/comments/w2yu6n/dnsoverhttp3_in_android/?tl=de

Ich vermute mal das es bald dann auch für alle DoH Server gehen wird.

onkelotto · 3. November 2024 um 18:17

Danke.
Jep hab ich gelesen und mich macht das http/3 etwas stutzig. lt. Wiki. Is ja wohl eher UDP und quic statt TCP und https=443.
Habs gerade getestet in meinen restriktiven Gastnetz „nur Surfen + Mailen“ mit „Private DNS“ unter Android 14 (Samsung A9+):

dnsforge.de → NO
dns.google → NO
cloudflare-dns.com → NO
NO : bedeutet hier, ich kann das zwar speichern, habe jedoch KEINE Internetverbindung.

Ok, ich könnte gff. noch tiefer graben um z.B. den Port /Protokoll rauszufinden … hab jedoch grad eher keine Ambitionen … hängt evtl. auch an meiner Fritte + 1&1-DSL, auch möglich.
Meine Vermutungen gehen eher in die Richtung, dass Google eher HTTP/3 per UDP pushen will, DOH3 jedoch (noch) über TCP (quic) = Port 853 gehen.
Was solls, auf IOS funktionieren die DOH-Profile tadellos, auf Android gehts eben auch im Android 14 einfach mit der App Intra als „Pseudo-VPN“.

VG