Verschlüsseltes DNS bei UDM Pro

The_eagle · 19. Februar 2026 um 14:41

Ich hatte hier in einem anderen Beitrag schon mal darauf hingewiesen, dass DNS64 nur DoT und DoH anbietet.

Ob DoT mit eurer UDM generell nutzbar ist, oder ein Problem bei DNS64 vorliegt, testet ihr am besten mit einem anderen DoT-Anbieter.,

Ergänzung:

Ich nutze die Server der digitale-gesellschaft.ch (pfsense) und da sieht das dann wie folgt aus:

Your DNS resolvers:
COMR-MNT

    185.95.216.118 ptr: res1.digitale-gesellschaft.ch Zürich, Zurich, CH
    185.95.216.119 ptr: res2.digitale-gesellschaft.ch Zürich, Zurich, CH
    2a05:fc84:0:5::118 ptr: dns1.digitale-gesellschaft.ch Egg, Zurich, CH
    2a05:fc84:0:5::119 ptr: dns2.digitale-gesellschaft.ch Egg, Zurich, CH

Great! Your DNS responses are authenticated with DNSSEC:

martin654 · 19. Februar 2026 um 17:40

nein.
Unfi kann nur DoH und nur über DNS-Stamp.

Dennis_Admin · 19. Februar 2026 um 17:49

Also ich habe UniFi auch nur kurz getestet. UniFi kann nur DoH und dann auch nur über “CyberSecure”. Und dann auch nur mit dieser DNS Stamp Schreibweise.

In den Network Settings muss dann auch alles auf Auto stehen, sonst geht es nicht.

Aber ey, 100% getestet habe ich es noch nicht.

Grandor · 19. Februar 2026 um 18:03

Hi,

ich habe eine UDM Pro und zwei Pihole Server und habe auf DNS64 „DoT“ alles eingestellt.
Alle Client nutzen meine Pihole’s als DNS Server - UDM-Pro Netzwerke alle mit DNS IP vom Pihole - keine direkt Verbindung. „Bis auf den blöden Telekom Hybrid Speedport“
Denke so läuft es ganz gut und damit sicher.

Wenn ihr Fehler findet…

UDM-Pro
Cyberecure
Encrypted DNS
DNS64 „Client-ID“
DNS64 DoH „sdns://xxxxxx“

Beide Pihole’s laufen im Docker mit einem Stubby für DoH/DOT
Ich nutze folgendes Repro - Gibt aber auch andere „Feel Free“

DoH service (dnscrypt-proxy) runs at 127.1.1.1#5153. Uses Cloudflare Security (1.1.1.2 ) by default
DoT service (stubby) runs at 127.2.2.2#5253. Uses google (8.8.8.8 / 8.8.4.4) by default (removed for now)
Unbound service run at 127.0.0.1#5335

„stubby.yml“ !!! Auszug - Rest siehe Github Repro!!!

####### IPv4 addresses ######
## DNS64
  - address_data: 46.225.29.2
    tls_auth_name: "Client-ID.srv04.dns64.de"
  - address_data: 91.98.80.88
    tls_auth_name: "Client-ID.srv01.dns64.de"
    
####### IPv6 addresses #######
## DNS64
  - address_data: 2a01:4f8:1c0c:9a85::xxxxx "Hier halt eure 1. IPv6 Client ID Adresse"
    tls_auth_name: "Client-ID.srv04.dns64.de"
  - address_data: 2a01:4f8:1c17:b153::xxxxx "Hier halt eure 2. IPv6 Client ID Adresse"
    tls_auth_name: "Client-ID.srv01.dns64.de"

martin654 · 19. Februar 2026 um 18:38

Es ist unnötig mit Cybersecure Encrypted DNS, der wird bei dir sowieso nie genutzt

CCAA4711 · 19. Februar 2026 um 19:20

Shit, jetzt wo du es schreibst… fällt es mir auch wie Äppel von den Augen… Also das typische “Henne Ei Problem” !

SvenW · 20. Februar 2026 um 09:52

Ich habe es mit 2 Unifi´s geprüft. Mit DoH über CyberSecure funktioniert es definitiv nicht.
Ich sehe zwar im LOG verschlüsselte, aber sehe auch keine geblockte Anfragen….. z.B. bei Bild.de oder Sport1.de…. Werbung kommt durch.

Trage ich die DNS-Server von IPv64 direkt ein, also kein Auto DNS, geht es direkt.

Ergo unvberschlüsselt funktioniert es auf der Unifi. Getetstet mit DreamRouter und UCG-Ultra auf aktuellem Release. Aber keine Anung, ob es jetzt an der Unifi liegt.

anthony_stark7718 · 20. Februar 2026 um 13:28

Ich habe genau dasselbe Problem. Ich habe es in meinem UGC unter CyberSecure hinterlegt und konnte dann auch nur die Testanfragen sehen.

Zentismz · 20. Februar 2026 um 19:03

Ich hatte das Problem auch. Habe dann gesehen, dass der DNS stamp viel länger war wie mein bisher genutzter von NextDns. Habe dann beide bei dnscrypt verglichen und gesehen, dass bei dem IPv64 Stamp Hashes waren bei NextDns nicht. Nach dem Entfernen der Hashes aus dem Stamp funktioniert es bei mir auf der UDMse.

BeTho · 20. Februar 2026 um 20:51

Super, danke das war’s. Läuft bei mir jetzt auch. Der generierte Stamp ist falsch.

wittmap · 21. Februar 2026 um 08:43

Wie findet man raus, was man genau entfernen muss, damit es geht?

martin654 · 21. Februar 2026 um 14:09

@Zentismz

kann ich auch bestätigen.
Den DNS Stamp aus den Daten des decodierten erstellt, aber ohne
Certificate Pinning Hashes
SHA-256 hashes of pinned TLS Certificates.

martin654 · 21. Februar 2026 um 14:12

Deinen IPv64 DNS64 DNS Stamp hier decodieren (im Feld “Mode” auf “Decode”):

Dann außer dem Hash die Daten hier eintragen. IP ebenfalls weglassen.

Den dort erstellten sdns Eintrag dann kopieren und nutzen.

derKanu · 21. Februar 2026 um 16:12

Mir ist das fast schon peinlich aber kannst Du das noch detalierter erklären?

Beim DNS Stamp calculator ist sicherlich Provider = Hostname aber was ist mit dem Provider Public Key?!

Oder ist der Pub-Key meine Client-ID und der Provider die Serveradresse?

martin654 · 21. Februar 2026 um 16:52

Nur kurz zwischendurch geantwortet:

Beim Protokoll musst du natürlich DNS over HTTPS wählen.

derKanu · 21. Februar 2026 um 17:22

Great! Your DNS responses are authenticated with DNSSEC

Vielen Dank!

Molle02 · 21. Februar 2026 um 18:48

Ihr könnt auch Dennis‘ Tool nutzen.

DNS Stamp Generator

Einfach Stamp einsetzen. Hash löschen und neu generieren.

Ggf. auch DNSSEC auswählen.

wittmap · 22. Februar 2026 um 05:38

klappen tut es - aber query log zeigt halt nix an.

sadako · 22. Februar 2026 um 06:37

das stimmt, qry log ist bei 0… alles kurios

Dennis_Admin · 22. Februar 2026 um 07:41

Ja aktuell sehe ich das bei Query Log und Statistiken noch was nicht rund läuft. Ich arbeite dran.