Cloudflare stellt mit Warp eigene VPN-Lösung vor
von caschy | 23 Kommentare
Cloudflare lehnt sich weit aus dem Fenster. Warp heißt das neue Produkt und es soll besser als der Wettbewerb sein. Cloudflare kennen viele Webmaster sicherlich als Caching-Dienst gegen Ausfälle, während technisch versierte Nutzer den Dienst 1.1.1.1 für DNS zumindest schon einmal gehört haben. Über den Dienst 1.1.1.1 und wie Cloudflares DNS arbeitet, haben wir ja bereits mehrere Male berichtet – ebenso über die Apps, die man unter iOS und Android nutzen kann.
In jenen Apps soll nun das VPN verzahnt werden. Cloudflare nennt es „VPN für Menschen, die nicht wissen, was VPN bedeutet“. Innerhalb von 1.1.1.1 soll sich jedenfalls das VPN aktivieren lassen und Cloudflare behauptet, dass man mit der eigenen Technologie Klippen umschifft – so soll die eigene Lösung nicht so sehr am Akku zerren und auch die Geschwindigkeit soll sich nicht verschlechtern. Ebenfalls teilt man mit, dass viele VPN-Dienste Daten sammeln und diese verkaufen, die dazugehörigen Apps dazu oftmals schlecht gelöst sind – man selber mache dies nicht.
Wie Cloudflare das Ganze technisch gelöst hat, kann man schön in deren Blog lesen. Dort findet man auch die Aussage, dass man derzeit noch einige Baustellen habe. In der 1.1.1.1-App für Android und iOS kann man sich momentan schon einmal auf die Warteliste setzen lassen, um die Funktion später einmal nutzen zu können.
Cloudflare schreibt auch ganz klar, dass man ein Profit-orientiertes Unternehmen sei. Warp solle in einer Basis-Version kostenlos nutzbar sein. Man arbeite an Warp+, der Premium-Version die monatlich eine geringe Gebühr kosten soll – hier will man noch mehr Geschwindigkeit anbieten, realisiert durch Virtual Private Backbones und der Argo-Technologie von Cloudflare. Kann man vielleicht mal im Hinterkopf behalten.
https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone
https://itunes.apple.com/us/app/1-1-1-1-faster-internet/id1423538627?mt=8
Wird geladen ...
Spannende Sache. Grundsätzliche Frage: Wenn man händisch den DNS Provider einstellt (bspw PiHole) – können die Geräte dann immernoch ihren eigenen DNS anpingen? Nichts anderes macht doch die App? ich frage deshalb, weil viele moderne TVs ja schon Werbung schalten, und ich meine es die CT, in der ich gelesen habe, dass die das DNS ignorieren und ihren eigenen Dienst anpingen.
Klar ist das möglich. Einerseits kann ein Smart-TV ganz ohne DNS Werbung von fest in der Firmware hinterlegten IP-Adressen laden. Und DNS – der in Deinem Heimnetz von Deinem Router oder Deinem pi-hole per DHCP verteilte DNS-Server ist nur ein Vorschlag – der kann auch ignoriert werden. Du kannst beispielsweise ja auch in Deiner Windows-/Mac-/Linux-Konfiguration einstellen, dass der verteilte Nameserver nicht verwendet wird und stattdessen ein von Dir vorgegebener Nameserver verwendet wird. Genau so kann ein Smart-TV einfach einen beliebigen Nameserver verwenden.
Also, Blockierung von Werbung über DNS hat in meinem Bekanntenkreis bei Fernsehern schon oft funktioniert. Wie Peter aber sagt: kann der Fernseher natürlich übergehen.
Nutze auch (noch) cloudflare und als zweiten DNS Google, aber wie sich hier rausstellt zensiert cloudflare anscheinend, somit wird es langsam uninteressant, und eine schnelle vertrauenswürdige Alternative wird hier bald gesucht!
„Anscheinend“. Wie sieht es denn faktisch aus?
Konnte einige Seiten nicht öffnen nach dem Vorfall in Neuseeland, Wechsel auf Google DNS hat die Seiten aber aufgerufen, darunter waren auch simple ausländische (englische) Nachrichten Seiten!
Beobachtest du weiter und berichtest? Oder Cschy?
Das ist aber nicht genug, um von einer Zensur auszugehen. Das kann auch eine simple Überlastung sein, die nach ein paar Minuten erledigt war.
Um eine Nameserver-Zensur nachzuweisen, müsstest Du das schon auf Nameserver-Ebene nachweisen, d. h. die IP-Adresse der entsprechenden Site beispielsweise mit dig mit verschiedenen Nameservern auflösen. Wenn Cloudflare dann NXDOMAIN antwortet und andere Nameserver das auflösen können – dann ist es vielleicht Zensur.
Es gibt auch noch andere Fehlermöglichkeiten. Wenn Du einen Resolver betreibst, der DNSSEC validiert – beispielsweise Unbound – und cloudflare als DNS-Provider nutzt, dann wirst Du öfters mal die Postbank nicht erreichen können. Das ist keine Zensur – Problem ist in diesem Fall, dass cloudflare auf der einen Seite und die Software des Nameservers der Postbank auf der anderen Seite sich in der Auslegung des RFC8198 in einigen Details nicht einig sind.
Leider alles nicht so ganz einfach…
Wenn Du cloudflare nicht traust, kannst Du beispielsweise dns.watch verwenden (die sitzen übrigens sogar in Deutschland).
Es gibt auch noch unzählige andere Möglichkeiten. Du kannst einen eigenen rekursiven Nameserver betreiben. Du kannst DNS-over-TLS oder DNS-over-https verwenden.
Die Frage ist, was Du überhaupt erreichen möchtest. Geht es Dir um die Geschwindigkeit? (der Nameserver meines Providers – T-Online – ist konkurrenzfähig schnell). Geht es Dir um Geheimhaltung? (Dein Provider weiss immer, welche Verbindungen Du aufbaust und kann auch Deine unverschlüsselten Abfragen an 8.8.8.8 mitlesen). Geht es Dir um Zensurvermeidung?(dann solltest Du eher mehrere unabhängige Nameserver verwenden und nicht die großen).
Wenn man eh schon ein lokales Pi-Hole laufen hat kann man das auch gleich noch um einen Unbound mit lokaler Root-Zone (hyperlocal) erweitern, inkl. DNSSEC-Validierung. Dann kann man sich gleich sämtliche (externen) Forwarder sparen.
Mir geht es um Geschwindigkeit, darum bin ich von Google auf cloudflare gewechselt, aber seit dem Vorfall letztens habe ich jetzt beide eingetragen, hoffe damit sehe ich diese Bad DNS Meldung nicht mehr, und surfe trotzdem schnell, bin auch bei der Telekom aber kp wie schnell die sind 🙂
Dein lokaler Cache ist immer am schnellsten…
Versuchs mit https://www.opennic.org/
Ich nutze den Cloudflare DNS auch im Smartphone. Ist ja in Android inzwischen möglich den DNS manuell zu anzupassen.
Die VPN-Anbindung brauche ich für Adguard.
@Kai: welches Smartphone und welche Version von Android?
Mate 20 Pro, Android 9
Schau dir Mal blokada (nicht die Playstore Version) an, lokaler AdBlocker und dns Einstellung in einem, ohne root und gratis 🙂
Ist für mich [76] zu hoch.
Stört Blokada die Nutzung von VPN? Wohl nicht, dürfte nichts mit DNS zu tun haben.
OT: Ich bin zZ auf Lanzarote und mein Medion P10610 Tablet von 10/2018 verliert von Beginn an WLAN seeehr oft, selbst neben dem Router – und dann ist’s lange Zeiten stabil. Nach Rückkehr Mängelrüge??
https://community.medion.com/t5/Tablet/Lifetab-X10605-verliert-st%C3%A4ndig-WLAN-Verbindung/td-p/49244
Danke @Marc
Diesen Thread kenne ich. Könnte so mein Problem nicht lösen. Back Home werden ich dem weiter nachgehen + Medion anschreiben.
@Peter / Michi
Danke für die Antworten – kann man die Nutzung eines DNS „erzwingen“ , bzw. in einer Firewall konfigurieren? Klar, dass das nicht mit einem Plaste Router geht, aber Sophos / OPNSense?
@Caschy
Hinter der VPN Lösung steckt übrigens Wireguard – das bis heute nicht auditiert wurde… vlt ne Erwähnugn wert…
Ja, grundsätzlich geht das; wenn man einen Router für Erwachsene hat, dann kann man halt mit einer Port-Forwarding-Rule den Traffic, der zu Port 53 (= DNS) einer beliebigen Adresse möchte, auf den gewünschten DNS-Server umrouten.
Geht’s nur um DNS oder kann ich im Ausland damit bezüglich TV auch Geocaching umgehen?