FFMUC DNS — Setup Guide

Endpoints

Endpunkte

Use both IPs for best redundancy even during maintenance

Bitte beide IPs für maximale Verfügbarkeit verwenden

DoT DNS-over-TLS — Port 853

dot.ffmuc.net

DoH DNS-over-HTTPS

https://doh.ffmuc.net/dns-query

DoQ DNS-over-QUIC

doq.ffmuc.net

DNS Plain DNS — Port 53Unverschlüsseltes DNS — Port 53

IPv45.1.66.255

IPv4185.150.99.255

IPv62001:678:e68:f000::

IPv62001:678:ed0:f000::

Our Privacy Promise

Unser Datenschutz-Versprechen

Zero logging, zero tracking, full transparency

Kein Logging, kein Tracking, volle Transparenz

We take your privacy seriously. Here's what our DNS resolver does not do:

No query logging — We do not store, log, or record any DNS queries or your IP address.
No data selling — Your data is never shared with, sold to, or made available to third parties.
No tracking — We do not use cookies, analytics, or any form of user tracking.
No filtering or censorship — We return unmodified DNS responses, validated with DNSSEC.

Our servers are hosted exclusively in the EU (Munich & Vienna), operated by Freifunk München / Freie Netze München e.V., a registered non-profit. We are funded entirely by donations — not by monetizing user data.

Read our full Privacy Policy →

Wir nehmen deinen Datenschutz ernst. Folgendes macht unser DNS-Resolver nicht:

Kein Query-Logging — Wir speichern, protokollieren oder erfassen keine DNS-Anfragen oder deine IP-Adresse.
Kein Datenverkauf — Deine Daten werden niemals an Dritte weitergegeben, verkauft oder zugänglich gemacht.
Kein Tracking — Wir verwenden keine Cookies, Analysetools oder sonstige Nutzerverfolgung.
Keine Filterung oder Zensur — Wir liefern unveränderte DNS-Antworten, validiert mit DNSSEC.

Unsere Server stehen ausschließlich in der EU (München & Wien) und werden von Freifunk München / Freie Netze München e.V. betrieben, einem eingetragenen gemeinnützigen Verein. Wir finanzieren uns ausschließlich über Spenden — nicht durch Monetarisierung von Nutzerdaten.

Vollständige Datenschutzerklärung lesen →

Android

Private DNS (Android 9+)

Privates DNS (Android 9+)

Open Settings → Network & Internet (or Connections)

Tap Private DNS

Select Private DNS provider hostname

Enter dot.ffmuc.net and tap Save

Öffne Einstellungen → Netzwerk & Internet (oder Verbindungen)

Tippe auf Privates DNS

Wähle Hostname des privaten DNS-Anbieters

Gib dot.ffmuc.net ein und tippe auf Speichern

Android 9+ uses DNS-over-TLS natively. For older versions or advanced features, try these apps: Android 9+ nutzt DNS-over-TLS nativ. Für ältere Versionen oder erweiterte Funktionen probiere diese Apps:

IntraSimple DoH client by Google

NebuloOpen Source, DoH/DoT

IntraEinfacher DoH-Client von Google

NebuloOpen Source, DoH/DoT

iOS & macOS

Install configuration profile (one tap)

Konfigurationsprofil installieren (ein Tipp)

Download and install a configuration profile to enable encrypted DNS system-wide:

Lade ein Konfigurationsprofil herunter und installiere es, um verschlüsseltes DNS systemweit zu aktivieren:

DNS-over-HTTPSRecommended for most users

DNS-over-TLSAlternative option

DNS-over-HTTPSFür die meisten Nutzer empfohlen

DNS-over-TLSAlternative Option

Download the profile above

iOS: Go to Settings → General → VPN & Device Management → Install the profile
macOS: Open the downloaded file, then go to System Settings → Privacy & Security → Profiles

Tap Install and confirm

Lade das Profil oben herunter

iOS: Öffne Einstellungen → Allgemein → VPN & Geräteverwaltung → Profil installieren
macOS: Öffne die heruntergeladene Datei, dann Systemeinstellungen → Datenschutz & Sicherheit → Profile

Tippe auf Installieren und bestätige

Note: When installing the profile, iOS will display a red warning about an unsigned profile. This is expected and harmless — you can safely proceed with the installation. Hinweis: Bei der Installation des Profils zeigt iOS eine rote Warnung über ein nicht signiertes Profil an. Das ist normal und unbedenklich — du kannst die Installation bedenkenlos fortsetzen.

Alternative apps: DNSEcure (DoH/DoT, easy setup), DNSCloak (Open Source, DoH) or AdGuard (user-friendly, DoH) Alternative Apps: DNSEcure (DoH/DoT, einfache Einrichtung), DNSCloak (Open Source, DoH) oder AdGuard (benutzerfreundlich, DoH)

Windows

Windows 11 / Windows 10

Open Settings → Network & Internet → Wi-Fi (or Ethernet)

Click your connected network → Hardware properties

Next to DNS server assignment, click Edit

Select Manual, enable IPv4, set preferred DNS to 5.1.66.255 and alternate to 185.150.99.255

Set DNS over HTTPS to On (automatic template) for both

Enable IPv6 and set to 2001:678:e68:f000:: / 2001:678:ed0:f000::

Öffne Einstellungen → Netzwerk & Internet → WLAN (oder Ethernet)

Klicke auf dein verbundenes Netzwerk → Hardwareeigenschaften

Neben DNS-Serverzuweisung klicke auf Bearbeiten

Wähle Manuell, aktiviere IPv4, setze bevorzugten DNS auf 5.1.66.255 und alternativen auf 185.150.99.255

Setze DNS über HTTPS auf Ein (automatische Vorlage)

Aktiviere IPv6 und setze auf 2001:678:e68:f000:: / 2001:678:ed0:f000::

Windows 10 does not natively support encrypted DNS. Use the browser-based setup (Firefox / Chrome / Edge) below, or upgrade to Windows 11. Windows 10 unterstützt verschlüsseltes DNS nicht nativ. Verwende die browserbasierte Einrichtung (Firefox / Chrome / Edge) unten, oder aktualisiere auf Windows 11.

Open Control Panel → Network and Internet → Network Connections

Right-click your connection → Properties

Select Internet Protocol Version 4 (TCP/IPv4) → Properties

Set DNS servers to 5.1.66.255 and 185.150.99.255

Also configure IPv6 with 2001:678:e68:f000:: and 2001:678:ed0:f000::

Öffne Systemsteuerung → Netzwerk und Internet → Netzwerkverbindungen

Rechtsklick auf deine Verbindung → Eigenschaften

Wähle Internetprotokoll Version 4 (TCP/IPv4) → Eigenschaften

Setze DNS-Server auf 5.1.66.255 und 185.150.99.255

Konfiguriere auch IPv6 mit 2001:678:e68:f000:: und 2001:678:ed0:f000::

Browsers

Browser

Firefox, Chrome, Edge, Brave

Open Firefox and navigate to about:preferences#general

Scroll to the bottom and click Settings… under Network Settings

At the bottom, check Enable DNS over HTTPS

Select Max Protection and choose Custom provider

Enter https://doh.ffmuc.net/dns-query

Öffne Firefox und navigiere zu about:preferences#general

Scrolle nach unten und klicke auf Einstellungen… unter Netzwerkeinstellungen

Aktiviere unten DNS über HTTPS aktivieren

Wähle Maximaler Schutz und Benutzerdefiniert als Anbieter

Gib ein: https://doh.ffmuc.net/dns-query

Open Settings → Privacy and Security → Security

Enable Use secure DNS

Select With: Custom

Enter https://doh.ffmuc.net/dns-query

Öffne Einstellungen → Datenschutz und Sicherheit → Sicherheit

Aktiviere Sicheres DNS verwenden

Wähle Mit: Benutzerdefiniert

Gib ein: https://doh.ffmuc.net/dns-query

Linux

GUI, systemd-resolved, NetworkManager

You can configure DNS graphically in your desktop environment's network settings:

Du kannst DNS grafisch in den Netzwerkeinstellungen deiner Desktop-Umgebung konfigurieren:

GNOME (Ubuntu, Fedora, Pop!_OS, etc.)

Open Settings → Network (or Wi-Fi)

Click the gear icon next to your active connection

Go to the IPv4 tab, set DNS to Manual and disable Automatic next to DNS

Enter DNS servers: 5.1.66.255, 185.150.99.255

Go to the IPv6 tab, also set DNS to Manual and enter: 2001:678:e68:f000::, 2001:678:ed0:f000::

Click Apply and reconnect to the network

Öffne Einstellungen → Netzwerk (oder WLAN)

Klicke auf das Zahnrad-Symbol neben deiner aktiven Verbindung

Gehe zum Tab IPv4, setze DNS auf Manuell und deaktiviere Automatisch neben DNS

Trage die DNS-Server ein: 5.1.66.255, 185.150.99.255

Gehe zum Tab IPv6, setze auch dort DNS auf Manuell und trage ein: 2001:678:e68:f000::, 2001:678:ed0:f000::

Klicke auf Anwenden und verbinde dich erneut

KDE Plasma (Kubuntu, openSUSE, etc.)

Click the network icon in the system tray → Configure Network Connections

Select your active connection and click the IPv4 tab

Change Method to Automatic (Only addresses)

In the DNS Servers field, enter: 5.1.66.255, 185.150.99.255

Switch to the IPv6 tab, also set to Automatic (Only addresses) and enter: 2001:678:e68:f000::, 2001:678:ed0:f000::

Click Apply and reconnect

Klicke auf das Netzwerk-Symbol im System-Tray → Netzwerkverbindungen konfigurieren

Wähle deine aktive Verbindung und klicke auf den Tab IPv4

Ändere Methode auf Automatisch (nur Adressen)

Im Feld DNS-Server eingeben: 5.1.66.255, 185.150.99.255

Wechsle zum Tab IPv6, setze ebenfalls auf Automatisch (nur Adressen) und trage ein: 2001:678:e68:f000::, 2001:678:ed0:f000::

Klicke auf Anwenden und verbinde dich erneut

This configures plain DNS (unencrypted). For encrypted DNS (DoT/DoH) on Linux, use the systemd-resolved or NetworkManager tabs, or set up DNS in your browser instead. Dies konfiguriert unverschlüsseltes DNS. Für verschlüsseltes DNS (DoT/DoH) unter Linux verwende die Tabs systemd-resolved oder NetworkManager, oder richte DNS alternativ im Browser ein.

Edit /etc/systemd/resolved.conf:

Bearbeite /etc/systemd/resolved.conf:

[Resolve]
DNS=5.1.66.255#dot.ffmuc.net 185.150.99.255#dot.ffmuc.net 2001:678:e68:f000::#dot.ffmuc.net 2001:678:ed0:f000::#dot.ffmuc.net
DNSOverTLS=opportunistic

Then restart: sudo systemctl restart systemd-resolved

Dann neustarten: sudo systemctl restart systemd-resolved

Configure via command line:

Über Kommandozeile konfigurieren:

nmcli connection modify "YOUR_CONNECTION" \
  ipv4.dns "5.1.66.255,185.150.99.255" \
  ipv6.dns "2001:678:e68:f000::,2001:678:ed0:f000::" \
  ipv4.ignore-auto-dns yes \
  ipv6.ignore-auto-dns yes

nmcli connection up "YOUR_CONNECTION"

Optional: DNS-over-TLS with NetworkManager

Optional: DNS-over-TLS mit NetworkManager

NetworkManager supports DNS-over-TLS via the connection.dns-over-tls setting:

NetworkManager unterstützt DNS-over-TLS über die Einstellung connection.dns-over-tls:

nmcli connection modify "YOUR_CONNECTION" \
  connection.dns-over-tls opportunistic

nmcli connection up "YOUR_CONNECTION"

Warning: This setting requires a DNS plugin that supports DoT (e.g. systemd-resolved). If no compatible plugin is configured, the setting has no effect and DNS queries will be sent unencrypted. Check the NetworkManager docs for details. Warnung: Diese Einstellung erfordert ein DNS-Plugin, das DoT unterstützt (z.B. systemd-resolved). Wenn kein kompatibles Plugin konfiguriert ist, hat die Einstellung keinen Effekt und DNS-Anfragen werden unverschlüsselt gesendet. Siehe die NetworkManager-Dokumentation für Details.

Router

Fritz!Box, Mikrotik, OpenWrt

Open the Fritz!Box admin panel at http://fritz.box

Go to Internet → Account Information → DNS Server

Select Use other DNSv4 servers and enter:
Preferred: 185.150.99.255
Alternative: 5.1.66.255

Select Use other DNSv6 servers and enter:
Preferred: 2001:678:e68:f000::
Alternative: 2001:678:ed0:f000::

For encrypted DNS (DoT): Scroll down to DNS over TLS (DoT) and enter dot.ffmuc.net as hostname (requires Fritz!OS 7.20+)

Click Apply

Öffne die Fritz!Box-Oberfläche unter http://fritz.box

Gehe zu Internet → Zugangsdaten → DNS-Server

Wähle Andere DNSv4-Server verwenden und trage ein:
Bevorzugt: 185.150.99.255
Alternativ: 5.1.66.255

Wähle Andere DNSv6-Server verwenden und trage ein:
Bevorzugt: 2001:678:e68:f000::
Alternativ: 2001:678:ed0:f000::

Für verschlüsseltes DNS (DoT): Scrolle nach unten zu DNS over TLS (DoT) und trage dot.ffmuc.net als Hostname ein (ab Fritz!OS 7.20)

Klicke auf Übernehmen

First configure plain DNS, then import the ISRG Root cert and enable DoH:

Zuerst normales DNS konfigurieren, dann ISRG-Root-Zertifikat importieren und DoH aktivieren:

/ip dns set servers=5.1.66.255,185.150.99.255
/tool fetch url=https://letsencrypt.org/certs/isrgrootx1.pem
/certificate import file-name=isrgrootx1.pem passphrase=""
/ip dns set use-doh-server=https://doh.ffmuc.net/dns-query verify-doh-cert=yes

Install and configure DNS-over-TLS with stubby:

DNS-over-TLS mit stubby installieren und konfigurieren:

opkg update && opkg install stubby

# /etc/stubby/stubby.yml - add upstream:
upstream_recursive_servers:
  - address_data: 5.1.66.255
    tls_auth_name: "dot.ffmuc.net"
  - address_data: 185.150.99.255
    tls_auth_name: "dot.ffmuc.net"
  - address_data: 2001:678:e68:f000::
    tls_auth_name: "dot.ffmuc.net"
  - address_data: 2001:678:ed0:f000::
    tls_auth_name: "dot.ffmuc.net"

# Point dnsmasq to stubby:
uci set dhcp.@dnsmasq[0].noresolv='1'
uci -q delete dhcp.@dnsmasq[0].server
uci add_list dhcp.@dnsmasq[0].server='127.0.0.1#5453'
uci commit dhcp
/etc/init.d/stubby enable && /etc/init.d/stubby start
/etc/init.d/dnsmasq restart

Advanced Setup

Erweiterte Einrichtung

Unbound, Pi-hole, AdGuard Home

Add to your Unbound configuration:

Zu deiner Unbound-Konfiguration hinzufügen:

forward-zone:
    name: "."
    forward-tls-upstream: yes
    forward-addr: 5.1.66.255@853#dot.ffmuc.net
    forward-addr: 185.150.99.255@853#dot.ffmuc.net
    forward-addr: 2001:678:e68:f000::@853#dot.ffmuc.net
    forward-addr: 2001:678:ed0:f000::@853#dot.ffmuc.net

Open Pi-hole admin panel → Settings → DNS

Uncheck all default upstream DNS servers

Under Custom DNS (IPv4), enter:
5.1.66.255 and 185.150.99.255

Under Custom DNS (IPv6), enter:
2001:678:e68:f000:: and 2001:678:ed0:f000::

Click Save

Öffne das Pi-hole Admin-Panel → Einstellungen → DNS

Deaktiviere alle Standard-Upstream-DNS-Server

Unter Benutzerdefinierte DNS (IPv4) eingeben:
5.1.66.255 und 185.150.99.255

Unter Benutzerdefinierte DNS (IPv6) eingeben:
2001:678:e68:f000:: und 2001:678:ed0:f000::

Klicke auf Speichern

For encrypted upstream with Pi-hole, pair it with Unbound or cloudflared as a local DoH/DoT proxy. Für verschlüsselte Upstream-Verbindung mit Pi-hole, kombiniere es mit Unbound oder cloudflared als lokalem DoH/DoT-Proxy.

Open AdGuard Home → Settings → DNS settings

Under Upstream DNS servers, enter:

Öffne AdGuard Home → Einstellungen → DNS-Einstellungen

Unter Upstream-DNS-Server eingeben:

tls://dot.ffmuc.net
https://doh.ffmuc.net/dns-query
quic://doq.ffmuc.net

Verify Setup

Einrichtung überprüfen

Check that everything is working

Überprüfe, ob alles funktioniert

After setup, use these tools to verify your DNS is routed through FFMUC:

Nach der Einrichtung kannst du mit diesen Tools überprüfen, ob dein DNS über FFMUC läuft:

DNS Leak TestShould show FFMUC IPs

DNS Check ToolsTests DNSSEC & IPv6 too

DNS Leak TestSollte FFMUC-IPs zeigen

DNS Check ToolsPrüft auch DNSSEC & IPv6

You should see IP addresses from the following ranges in the results:
IPv4: 5.1.66.0/24 (Munich) or 185.150.99.0/24 (Vienna)
IPv6: 2001:678:e68::/48 (Munich) or 2001:678:ed0::/48 (Vienna) Du solltest IP-Adressen aus folgenden Bereichen in den Ergebnissen sehen:
IPv4: 5.1.66.0/24 (München) oder 185.150.99.0/24 (Wien)
IPv6: 2001:678:e68::/48 (München) oder 2001:678:ed0::/48 (Wien)

Support Free DNS for Everyone

Unterstütze kostenloses DNS für alle

This free DNS service is funded entirely by donations. We receive no corporate funding — every euro comes from people like you. Help us keep it running!

Dieser kostenlose DNS-Dienst wird vollständig durch Spenden finanziert. Wir erhalten keine Firmengelder — jeder Euro kommt von Menschen wie dir. Hilf uns, ihn am Laufen zu halten!

Donate Now Jetzt Spenden

Become a MemberJoin Freifunk München e.V.

European AlternativesListed as EU privacy alternative

Mitglied werdenTritt Freifunk München e.V. bei

European AlternativesGelistet als EU-Datenschutz-Alternative