iOS 18 DNS Einstellung verschwunden

Hilfe
1

Hi zusammen,

seit dem Update auf iOS 18 ist die Möglichkeit ein privates DNS zu installieren nicht mehr auffindbar. Nachdem ich das alte Profil gelöscht hatte um ein neues zu installieren (da es mal die Empfehlung gab das Profil alle paar Monate neu zu installieren) war die Einstellung weg. Also ich kann die Konfigurationsprofile herunterladen, aber nicht installieren, in den allgemeinen Einstellungen/VPN und Geräteverwaltung. Weiß jemand etwas dazu?

LG

2

Im Moment klemmt das was bei Safari seit iOS 18. Du musst das Profil als Datei speichern und dann über die Files App öffnen. Dann funktioniert es.

3

Danke dir sehr :), klappt prima. Ist es eigentlich wichtig, dass die Signierungszertifikate gültig sind, also muss man das Profil ab und an neu installieren, oder ist das zu vernachlässigen?

4

Bislang munkelt man, dass auch abgelaufene Zertifikate weiter funktionieren. Ob das zukünftig so bleibt, weiß man nicht. Würde empfehlen, regelmäßig ein aktuelles Profil zu installieren. Damit ist man auf der sicheren Seite. Alternativ selbst ein unsigniertes Profil erstellen (dns.notjakob.com), das läuft dann nie ab :wink:

5

wäre das sinniger auf dnsforge.de bereitzustellen? Wird denn ein unsigniertes die User nicht verwundern und/oder später gar nicht mehr von iOS akzeptiert?

6

Würde es an „offizieller Stelle“ auf jeden Fall bei signierten Zertifikaten belassen :+1:

Ob nicht signierte Zertifikate für immer von iOS akzeptiert werden, kann in der Tat niemand seriös vorhersagen.

7

Danke + sehr interessant für mich.
Noch bin ich mit iPhone, iPad + MacBook noch auf den alten, aktuellen Versionen … mein „second brain“ sagte eben : wart mal ab …

Ja diese Profile für DNS nutze ich auf jedem Gerät, mit meiner Frau wären das 6 Stück. Und nicht nur für DNS (natürlich dnsforge DOT+DOH + andere :wink:), sondern auch für Mail/Kontakte/Kalender, die man sonst manuell EINZELN eintragen müßte bei Internet-Accounts, da ich KEINE iCloud dafür nutze. Dafür nutze ich den AppleConfigurator.
Mit dem erstelle ich aus signierten Profilen eben unsignierte, da ich zumindest die Namen ändere, denn aufm Mac in den Einstellungen die DNS-Profile eben so „grotten-kurz“ angezeigt werden und eben nicht unterscheidbar sind.

Interessehalber hab ich „spare“ iPhone13 am Lader und per UTM ein Update inner VM auf macOS 15 laufen … des teste ich jetz ma im macOS und IOS 17 / 18 … „update will follow“

8

so … UPDATE … IOS 18 und macOS 15 in VM … mich schauderts :upside_down_face:
bin noch nicht ganz durch, aber soweit schon mal:

  • nach dem Update auf IOS 18 funxt das in in 17 installierte dnsforge-Profil
  • ein neues Kann ich aber NICHT installieren wie bisher im Safari . Insofern kann ich @Bobby bestätigen, das landet in Downloads. Hier per Touch installieren .
  • @dominion : deine Profile haben leider die gleich UUID … d.h. ich kann NICHT Standard, clean, hard parallel installieren. Gleiche UUID = überschreiben, das bisherige is weg. Hatte ich schon mit den Profilen von Adguard, daher hab ich die im AppleConfigurator „gepatcht“ :grin:
  • Is in IOS 18 wohl das gleich mit z.B. Mullvad-Profilen, lassen sich NUR per download installieren :face_with_peeking_eye:
  • warum hab ich bei Welt.de Werbung bei macOS 15, bei IOS18 nicht ? gleiche DNS … ? 2Bchecked… hab ich übrigens bei iPadOS 17.7 auch schon bemerkt.

Ich denke, ich werde mal mein Setup mal grundlegend überdenken, denn DNS is wohl eher komplex bez.:

  • Fritzbox Setup … gerade in Bezug auf z.B IOT-Geräte wie TV, Kameras …
  • Apple Private Relay, Safari/Mail-Setup bez. Tracker+IP …is das nicht eher „snakeoil“ = kontraproduktiv ?
  • Geräte-Setup wie bei mir IOS/macOS : Profile wechseln is eben auf Apple leicht NUR mit unterschiedlicher UUID … da nehm ich halt den Apple Configurator zum „anpassen“.
  • Pi-Hole / AdGuardHome is eh in meiner „pipeline“ …
  • und dann noch WireGuard / Tailscale … funxt eben noch nicht so bei mir, z.B. mit IPv6 … siehe FritzBox v8.x…

summa summarum:

  • ich kann bestätigen in meinen Tests, dass IOS 18 ein „Issue“ hat mit Profil-Installationen.
  • Private DNS verhindert ja nicht alle Werbung … youtube … bekannt. Aber was macht die Welt.de und auch Spiegel.de da grad? Axel-Medien-Konzern ? bei mir hilft da weder dnsforge in aller couleur noch mullvad … 2Bchecked …
  • an @dominion : bitte die UUID in den Apple-Profiles unterschiedlich definieren, damit ich auch alle installieren und wählen kann …

Bei Fragen bitte einfach fragen … ich hab ja ein gewisses Apple-Test-Equipment :wink:
VG + gN8

9

Ich bin froh, dass es jemanden gibt der testet. Ich selber habe keine Apple-Geräte und kann somit auch nichts testen.

Die Springer-Medien scheinen ihre Werbung nun auf eigener CDN Domain zu hosten, das hatten bereits einige User gemeldet. Da kann ich leider nichts sperren, denn dann gehen Bilder, Styles und Javascript nicht mehr.

Die UUIDs passe ich an. Danke dir !

EDIT: @onkelotto ich habe die Profile angepasst, könntest du alle 6 bitte durchtesten, ob die nun so funktionieren.

1 „Gefällt mir“
10

Bitte nicht Apple Private Relay gleichzeitig neben einem privaten DNS (oder auch VPN) benutzen! Das beißt sich. Da lenkt Apple dann alles (jedenfalls bei Safari und Apple eigenen Apps) am DNS/VPN Tunnel vorbei über irgendwelche eigenen Kanäle.

Meine Empfehlung für deine Konstellation:

  1. Stelle dir zuhause auf der FritzBox den DNS deiner Wahl ein. Wenn du auf der Fritzbox ein VPN zum surfen eingerichtet hast (Nord, Proton, oder sowas), dann musst du den DNS auch im VPN-Profil einstellen, die Einstellungen im VPN Profil gehen vor.

  2. Auf allen Mobilgeräten Apple Private Relay ausschalten und eigene DNS Profile per dns.notjakob.com erstellen und darin das Heim-WiFi (Advanced > Excluded Wi-Fi Networks) ausklammern. Dann gehen die Mobilgeräte im heimischen WiFi ganz normal über dein Heimnetz (mit PiHole/Fritzbox und den entsprechenden DNS Einstellungen) ins Internet und verwenden ansonsten in allen anderen Nezten (Mobilfunk/fremde WiFi Netze) den DNS deiner Wahl.

1 „Gefällt mir“
11

Vielen Dank @dominion.
Teste ich gerne heute abend.

12

@dominion : Deine neuen apple-configs getestet … :smiley: :sunglasses: :muscle: :clap:
Hier ein paar Screenshots aus IOS 18 und MacOS15 (VM):

Bildschirmfoto 2024-10-02 um 19.18.48
Bildschirmfoto 2024-10-02 um 19.18.481170×2532 265 KB

Bildschirmfoto 2024-10-02 macOS15 Netzwerk
Bildschirmfoto 2024-10-02 macOS15 Netzwerk562×456 56.4 KB

Bildschirmfoto 2024-10-02 macOS15 Allgemein
Bildschirmfoto 2024-10-02 macOS15 Allgemein562×456 41.6 KB

sieht also sehr gut aus, ich kann jetzt zwischen den Profilen wählen, wenn sie einmal installiert sind. Ok, die Beschreibung könnte bei Gelegenheit mal aktualisiert werden können so von wegen IOS14, BigSur u.a … is „Kosmetik“ … wer liest das denn außer mir ? :wink:

@Bobby : vielen Dank für Deine Empfehlungen. Private Relay hab ich bewußt auch NICHT aktiviert. den Link http://dns.notjakob.com/ kannte ich schon, kann mMn. nicht oft genug wiederholt werden, falls persönliche DNS-Anpassungen gewünscht werden.

@eop : zu deiner Ausgangsfrage. ja, in IOS 18 hat sich einiges geändert, auch eben die Art, DNS-Profile zu installieren. Wie @Bobby in den 2. Post geschrieben hat, funktioniert es. Kann ich bestätigen. Also Laden = speichern und dann per Dateien-App / Finder im macOS „installieren“. In den Einstellungen dann noch entsprechend wirklich installieren + aktivieren.
Is damit Deine Ausgangsfrage beantwortet ?

PS : Ich möchte ja nicht dieses Thema „kapern“ mit weitern Themen zu DNS, privat relay etc. Daher schlage ich vor, das ggf. in einem extra Thema zu diskutieren.

Vielen Dank,
Dieter

13

Dazu alles beantwortet :ok_hand:t3:. Wenn Apple jetzt irgendwann noch QUIC unterstützt bin ich „restlos“ glücklich. Und weiß jemand ob die entwicklerseitige Umgehung des definierten DNS-Servers jetzt eigentlich ein Problem ist, oder nicht? „Seit Herbst 2020 funktioniert diese Form der Filterung immer schlechter und wird löchrig“ (Tracking und Werbung auf Smartphones reduzieren). Diese Frage geistert mir schon lange im Kopf rum.

14

@eop : vielen Dank für Deine schnelle Rückmeldung.
Leider ist Dein Link zum „Privacy Handbook“ nicht mehr ganz aktuell, der Urheber der Seite hat die Aktualisierung eingestellt. Diese Seite hatte ich auch immer schon als Lesezeichen. Für mich trotzdem eine sehr gute Informationsquelle.

apropos „geistert“ … Mir persönlich isses egal, ob das DNS per TLS (DOT), https (DOH) oder QUIC läuft … Hauptsache für mich ist : DNS verschlüsselt.
Wie weiter oben von @dominion bestätigt, ist wohl „private DNS“ wie hier von dnsforge.de nur „EIN“ Baustein in puncto Privatsphäre und Werbung … das übliche „Hase-Igel-Spiel“ :wink:

DOT und QUIC nutzen eben einen Port (853, wenn ich das richtig verstanden hab), der in vielen öffentlichen Netzwerken BLOCKIERT ist. Die öffentlichen Netzwerke erlauben in der Regel nur „eMail + Web“ … Mein Gastnetz auf der Fritte übrigens auch. :slightly_smiling_face:

Also mMn. isses egal, ob DNS per QUIC oder nicht, kommt eben drauf an, in welchem Netz (Öffentliches / Privates WLAN oder Mobilfunk) du dich bewegst und was da eben möglich ist.

zu deiner Frage bez. : „entwicklerseitige Umgehung des definierten DNS-Servers jetzt eigentlich ein Problem ist“ … sehe ich nicht als „Problem“ … is halt so …
DNS-Privacy is halt für mich EIN Baustein für Privatsphäre im Internet … wie oben von @dominion beschrieben, bei welt.de &co reicht das eben nicht…

15

Danke für deine Einschätzung. LG eop