Vertrauenswürdige DNS-Server im Router / Fritz!Box hinterlegen

DNS-Server sind ein mächtiges Schnüffelwerkzeug und weil standardmäßig die DNS-Server der großen Internetprovider zum Einsatz kommen, haben wenige Anbieter Zugriff auf sehr viele Daten. Ein paar Einstellungen in der Konfigurationsoberfläche des Routers schaffen Abhilfe.

Um das Problem zu verstehen, muss man sich vergegenwärtigen, welche Rolle DNS-Server einnehmen. Anwender geben keine IP-Adressen, sondern sprechende Domainnamen wie curius.de in die Adresszeile ihres Browsers ein, um sich im Internet zu bewegen. Diese Domain muss in eine IP-Adresse übersetzt werden und dafür kommt der DNS-Server (Domain Name System) als „Telefonbuch des Internets“ zum Einsatz. Das ist ein normaler Vorgang und passiert immer, wenn wir im Netz unterwegs sind.

Normalerweise sind solche DNS-Server neutral und verweisen auf die korrekte Ziel-IP. DNS-Server sind aber in manchen Ländern auch ein Instrument, um unerwünschte Netzinhalte zu blockieren, indem z. B. durch den Staat eine Blacklist gepflegt wird, die nicht aufgelöst werden darf oder die Provider aufgefordert werden, solche Blacklists zu erstellen. Für den Nutzer heißt es dann: „Kein Anschluss unter diese Nummer“.

Hier liegt der Kern des Problems. Es gibt nicht sonderlich viele DNS-Server im deutschen Markt, weil wenige Internetanbieter faktisch eine Art Oligopol bilden. Normalerweise sind bei jedem im Router die DNS-Server des Internetanbieters zur korrekten Weiterleitung hinterlegt. Dese Anbieter können die Abfragen speichern und auswerten – nichts spricht dafür, dass sie von dieser Möglichkeit keinen Gebrauch machen.

Dadurch ergeben sich gleich zwei mögliche Probleme: Zensur und Überwachung. Allerdings kann der Anwender auch individuelle Server hinterlegen und sich vor diesen Eingriffen in seine Privatsphäre schützen.

In der Fritz!Box geht dies unter Internet / Zugangsdaten im Reiter DNS.

Hier kann man beliebige Anbieter hinterlegen. Einige von diesen Anbietern haben Zusatzfunktionen wie einen integrierten Adblocker bzw. Trackingschutz.

Zusätzlich bieten die meisten Anbieter unabhängiger DNS-Server inzwischen die verschlüsselte Namensauflösung (DNS over TLS) an. Diese lässt sich weiter unten auf der gleichen Fritz!Box-Seite konfigurieren. Wahlweise mit der herkömmlichen Methode als Fallback oder als einzige Lösung.

Es gibt eine Reihe von Anbietern. In meinem Heimnetz bevorzuge ich DNS-Anbieter ohne Zusatzfunktionen wie Adblocking. Folge zwei Anbieter verwende ich zurzeit:

Anbieter: Digitale Gesellschaft

IPv4: 185.95.218.42
IPv4: 185.95.218.43
IPv6: 2a05:fc84::42
IPv6: 2a05:fc84::43
Servername: dns.digitale-gesellschaft.ch

Anbieter: digitalcourage

IPv4: 5.9.164.112
IPv6: 2a01:4f8:251:554::2
Servername: dns3.digitalcourage.de

Über beispielsweise dnsleaktest lässt sich prüfen, ob die Konfiguration erfolgreich war.

Die Verwendung eines freien und unabhängigen DNS-Servers schützt gleichzeitig vor Überwachung und vor Netzsperren. Eine kleine Konfiguration im Router bewirkt hier also bereits sehr viel.

17 Kommentare

  1. Hallo Gerrit,
    was meinst du zu unbound (auch in Kombination mit Pihole)?
    Sofern ich es richtig verstanden habe, gehen die Anfragen dann vom unbound-Server direkt zum DNS-Root-Server, aber unverschlüsselt.
    Bei deinem Beispiel gehen die Anfragen verschlüsselt (sofern gewählt) zum DNS-Anbieter und von dort unverschlüsselt zum DNS-Root-Server.
    Habe ich das richtig verstanden?
    Was hätst du für sinnvoller?
    Danke

    • DNS-unbound spielt doch für Privatpersonen keine Rolle, oder übersehe ich da etwas?

      Pi-Hole nutze ich privat nicht, weil ich keine Smart Home-Geräte besitze und meine Geräte (Laptops, Smartphones) deshalb auf dem Gerät gegen Tracking und Werbung schützen kann. Unabhängig davon ist das nur ein kleiner Unterschied. In diesem Fall ist das Pi-Hole als DNS-Server im Router hinterlegt. Deshalb muss ein individueller (freier) DNS-Anbieter im Pi-Hole hinterlegt werden. Wenn ich mich recht erinnere, wird das bei der initialen Konfiguration abgefragt.

      • Danke für deine Antwort.
        Warum spielt DNS-unbound für Privatpersonen keine Rolle?
        Kann ich mir damit nicht wie oben beschrieben den „Umweg“ über einen DNS-Anbieter sparen und direkt beim DNS-Root-Server nachfragen?

        • DNS Unbound bedeutet erst mal nur den Betrieb eines eigenen DNS-Server. Welche Privatperson macht sowas?

          Ich denke du spielst auf folgende Funktion im Pi an. https://docs.pi-hole.net/guides/dns/unbound/. Letztlich muss für jeden Aufruf, der nicht im Cache ist und nicht in der Blockingliste trotzdem ein DNS-Server angefragt werden. Ich sehe da den Gewinn für die Privatsphäre bzw. gegen potenzielles Tracking nicht.

          • In Kombination mit einem pihole ist unbound recht einfach einzurichten und zu betrieben.

            Dass jeder Aufruf, der nicht mit Cache ist oder geblockt bei einem DNS-Server angefragt werden muss, ist klar.
            Mein Punkt ist, dass ich mit dieser Konfiguration den DNS-Provider umgehe und direkt DNS-Root-Server anfrage.

            Habe ich das korrekt verstanden?
            Bringt das nicht in soweit etwas für die Privatsphäre, da ich einen Dienstleister weniger nutze?

              • Wenn Du einem DNS Rootserver nicht vertrauen willst brauchste auch nicht mehr ins Internet oder Du betreibst gleich einen komplett lokalen DNS

                • Ich habe nicht geschrieben, dass ich einem DNS-Root-Server nicht vertraue, ich habe geschrieben, dass ich ihnen nicht *mehr* vertraue als von mir ausgewählten DNS-Providern.

  2. Hm, ist das „schützt gleichzeitig vor Überwachung und vor Netzsperren“ wirklich vollständig so? Was hindert denn den ISP daran weiterhin die unverschlüsselten IP-Adressen zu protokollieren und somit den vom Kunden angesteuerten Zielserver zu erkennen? Und blocken könnte er technisch gesehen eine IP doch auch? Vermutlich ist das eine recht grobe und brachiale Methode, aber technisch denkbar.

  3. Hallo Gerrit,
    funktioniert bei mir mit einem VODAFONE-Anschluss, deren Standard-DNS sind:
    176.95.16.132 dns1-mue1-p1.vodafone-ip.de.
    176.95.16.133 dns2-mue1-p1.vodafone-ip.de.
    176.95.16.134 dns3-mue1-p1.vodafone-ip.de.
    Stelle ich auf Deine Vorschläge (Digitalcourage und) um, gibt es Fehlermeldungen.
    Any idea …

  4. Guten Abend,

    ich habe auch beide Anbieter getestet und hatte massive Ladezeiten und habe teilweise keine Websites erreicht. Ich denke, bei mir, kollidiert das mit AdGuard Pro. Das habe ich auf allen iOS/iPadOS sowie macOS Geräten gekauft bzw. installiert.

    Ansonsten wäre das für ein sichereres Netzwerk sicherlich empfehlenswert.

    Lg

  5. Genau das habe ich mit meiner Fritzbox und den DNS-Servern von Quad9 auch gemacht.
    Um auch unterwegs mit Tumbleweed auf dem Laptop auf diese zugreifen zu können, habe ich versucht systemd-networkd entsprechend zu konfigurieren, das bei mir zusammen mit systemd-resolved und IWD für das Netzwerk zuständig ist.
    Das Ergebnis ist die Datei /etc/systemd/network/20-wireless.network mit folgendem Inhalt:

    ————
    [Match]
    Name=wlan0

    [Network]
    DHCP=yes
    DNS=9.9.9.9
    DNS=149.112.112.112
    DNS=2620:fe::fe
    DNS=2620:fe::9
    IPv6AcceptRA=no

    [DHCPv4]
    RouteMetric=20
    UseDNS=no

    [DHCPv6]
    RouteMetric=20
    UseDNS=no
    ————

    Die RouteMetric tut nichts zur Sache und soll nur die Kabelverbindung in der Docking-Station priorisieren.
    Durch DHCP gemeldete DNS-Server werden damit blockiert. Das funktioniert meistens sehr gut, bei Captive Portals aber leider nicht, es kommt dann keine Verbindung zustande.

    Ich behelfe mir bisher mit einer zweiten 20-wireless.network

    ————
    [Match]
    Name=wlan0

    [Network]
    DHCP=yes

    [DHCPv4]
    RouteMetric=20

    [DHCPv6]
    RouteMetric=20
    ————

    und einem kleinen Script, das durch Umbenennen und „sudo systemctl reload systemd-networkd“ diese aktiviert. Das ist eine etwas umständliche und unelegante Methode, mir ist aber noch nichts besseres eingefallen.
    Den NetworkManager habe ich schon lange nicht mehr in Gebrauch, vielleicht ist damit etwas in der Richtung auf elegantere Weise möglich.

Kommentarfunktion ist geschlossen.

Mehr aus dem Blog

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...

iOS und Android können VPN umgehen

VPN ist für Anonymität einfach keine gute Idee. Wer dafür noch weitere Gründe braucht, muss sich nur die aktuellen Berichte über das iPhone-Betriebssystem iOS...

Mastodon – So schnell kann es gehen

Im Frühjahr, als die Kaufabsichten von Elon Musk publik wurden, schrieb ich einen skeptischen Kommentar, was den prognostizierten massenhaften Wechsel zu Mastodon betrifft. Meine...

Vertrauen – Warum Werbung zur Monetarisierung manchmal gut ist

Früher hat man etwas bei Stiftung Warentest gelesen oder einen Ratgeber aus einem angesehenen Verlag gekauft. Vertrauen transportierte die Marke des Verlages. Heute vertrauen...