ComputerBase Menü
Aktuelles

DNS_Schichten

HansDetflefAndi

HansDetflefAndi

Lt. Commander
Registriert
Aug. 2021
Beiträge
1.240
Wie sinnvoll sind DNS-Schichten, welche Vorteile bieten solche?

Welches Setup würdet ihr am ehesten am Desktop empfehlen?

a.
1 Router
2 Windows

b.
1 Router
2 Windows
3 Browser

c.
1 Router
2 Browser


Bei mir läuft aktuell Quad9 am Router, Adguard im Browser
adguard.png
 
Was ist denn eine DNS-Schicht für dich?

So grundsätzlich erhöht jeder "Hop" die Latenz, bis die Auflösung abgeschlossen ist und die eigentliche Verbindung aufgebaut werden kann. Dabei dürfte der Browser in den meisten Fällen keine eigene Namensauflösung fahren, sondern den Betriebssystemresolver anweisen, das für ihn zu übernehmen (lasse mich da gerne eines Besseren belehren).
 
HansDetflefAndi schrieb:
Wie sinnvoll sind DNS-Schichten, welche Vorteile bieten solche?

Welches Setup würdet ihr am ehesten am Desktop empfehlen?
Zum Vergrößern anklicken....
Was meinst du damit genau? Letztendlich wird immer nur ein DNS Server genutzt, wenn du also im router und in Windows einen DNS Server hinterlegst, wird der PC nur den in Windows benutzen. Ich verteile meinen DNS Server per DHCP im router und nutze lokal ein PI-Hole, somit nutzt jedes Gerät den gleichen und falls mal was nicht geht macht es debuggen einfacher.
 
Da du bei b) und c) Browser nennst, meinst du damit DoH? Dann wäre der im Router oder unter Windows konfigurierte DNS-Server ja eh egal.
 
  • Gefällt mir
Reaktionen: cbtaste420
Offenbar habe ich ein falsches Verständnis vom DNS. Vereinfacht erklärt habe ich es mir wie ein Sieb vorgestellt. Grober Filter im Browser, mittlerer des System und ein Feinsieb am Router. Schichten.
Lasse mich ja gern von Bing GPT beraten zu Themen die mir fremd sind. Im Verlauf sagt sie was von Schichten im Bezug auf DNS. Je mehr, desto besser. Also nahm ich an, je mehr, desto besser. Jetzt habe ich mal nachgefragt was damit überhaupt gemeint sei und die meint es sei ein abstraktes Konzept und zeigt auch keine Beispiele xD
 
Wenn Du im Browser einen alternativen DNS zu Deinem "im System" (für eine Netzwerkverbindung) einträgst, wird der Browser immer diesen zuerst versuchen. Nur bei technischen Störungen geht der Browser über den System DNS. DNS Anfragen aus anderen Anwendungen gehen über den Windows bekannten DNS. Das wird in den meinsten Fällen der Caching-Resolver im Router sein. Der Router geht wiederum an den für die Internetverbindung hinterlegten DNS. Den bekommst Du im Normalfall von deinem Provider, kannst ihn aber überschreiben (was Du ja auch tust).

https://de.wikipedia.org/wiki/Domain_Name_System#Resolver
https://de.wikipedia.org/wiki/Domain_Name_System#Auflösung_eines_DNS-Requests
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: HansDetflefAndi
Adguard bleibt im Android, Quad9 ist nun als einziger für Destkop am Router aktiv. Danke für eurer Hilfe!

"Wenn etwa in Windows ein alternativer DNS-Server hinterlegt ist, ignoriert das System den Router-seitig definierten DNS-Anbieter und verwendet den systemeigenen. Windows misst seiner Konfiguration eine höhere Priorität bei. Letzteres lässt sich nutzen, wenn Sie im Urlaub surfen: Auf die Router-Konfiguration haben Sie dann meist keinen Zugriff. Der DNS-Anbieter lässt sich dort deswegen nicht ändern; jedoch sind Sie nicht der Einstellung im Router ausgesetzt, denn mit Ihrem Notebook nutzen Sie den Anbieter, den Sie möchten."
 
Von wo hast du den das kopiert?
 
  • Gefällt mir
Reaktionen: nutrix
Google > Computerbild

Die Erklärung mit der Priorität ist wirklich etwas komisch...
 
Insgesamt ist die Aussage aber richtig. Oder?
Sehe das zb. beim Android Quad9-Test, im WLAN, ein NEIN. Zwar hängt es am Router(Quad9), intern "Private DNS" ist AdGuard eingetragen. (Seit dem ist Blokada deeinstalliert, weil DNS keine Werbung durchlässt :) )
https://on.quad9.net/
 
HansDetflefAndi schrieb:
Insgesamt ist die Aussage aber richtig. Oder?
Zum Vergrößern anklicken....
Ja

HansDetflefAndi schrieb:
Offenbar habe ich ein falsches Verständnis vom DNS. Vereinfacht erklärt habe ich es mir wie ein Sieb vorgestellt. Grober Filter im Browser, mittlerer des System und ein Feinsieb am Router. Schichten.
Zum Vergrößern anklicken....
DNS ist grundsätzlich erstmal nur ein System rund um Domainnamen, die häufigste Funktion die Übersetzung von Hostnames in IP-Adressen. Dann gibt es noch DNS-Applikationen und DNS-Provider, die manche Hostnamen blocken bzw. nicht oder falsch beanworten.
 
Also wenn du nichts im Router einträgst wird standardmäßig der DNS des Provider benutzt.
(Falls die Webseite unbekannt ist)

Wenn der DNS im Router geändert wurde wird standardmäßig der DNS der im Router angegeben ist verwendet.

Wenn der DNS „intern“ im Browser, App oder Programm angegeben wird/ist wird dieser verwendet.
Ergänzung ()

Intern>Router(Netzwerk)>Provider
Ergänzung ()

Und dann gibts noch DoH (DNS over HTTPS) und DoT (DNS over TLS)
https://de.m.wikipedia.org/wiki/DNS_over_HTTPS
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: HansDetflefAndi
HansDetflefAndi schrieb:
Offenbar habe ich ein falsches Verständnis vom DNS. Vereinfacht erklärt habe ich es mir wie ein Sieb vorgestellt. Grober Filter im Browser, mittlerer des System und ein Feinsieb am Router. Schichten.
Zum Vergrößern anklicken....
Es geht in die Richtung, ja. DNS ist ein hierarchisches System und eine Domain ist ebenso aufgebaut. Wenn bei .de von einer TopLevelDomain (TLD) die Rede ist, kann man sich das wortwörtlich so vorstellen, sie steht ganz oben. computerbase wiederum ist eine SecondLevelDomain und www eine SubDomain. Der für die TLD .de zuständige Nameserver kennt alle Nameserver, die für dessen SLD zuständig sind, und eben diese Nameserver kennen die jeweiligen Subdomains. Theoretisch müsste man stets den .de Nameserver fragen wer computerbase.de verwaltet und diesen Nameserver anschließend nach der IP zu www.computerbase.de fragen.

Die Abfrage von DNS erfolgt aber etwas anders, weil vor der oben erwähnten Hierarchie eine weitere Ebene vorgelagert wird, der DNS im Router, beim Provider bzw. public DNS wie zB 8.8.8.8 (google). Ein PC bekommt via DHCP vom Internetrouter einen DNS zugewiesen, in der Regel die IP des Routers selbst. Der PC fragt also stets den Router nach DNS. Der Router wiederum bekommt seinen DNS vom Provider zugewiesen, den Provider-DNS. Nachdem der PC den Router nach DNS gefragt hat, fragt dieser also beim Provider nach DNS. Erst ab dem Provider geht es anschließend in Richtung der oben erwähnten TLD/SLD Hierarchie.

Ein DNS-Query zu "www.computerbase.de" liefe also in der Theorie so ab:

PC --> Router --> Provider --> de-NS --> computerbase.de-NS => IP @ www.computerbase.de

An dieser Stelle kommt aber noch die Time-To-Live (kurz: TTL) einer Domain ins Spiel. Die TTL ist die individuelle Lebensdauer, die ein DNS-Eintrag gültig ist. Jeder DNS speichert seine Ergebnisse zwischen, im DNS-Cache. Hat er zu einem DNS-Query bereits einen gültigen Eintrag in seinem Cache, antwortet er direkt und ohne Weiterleitung nach oben. So minimiert man die Last auf den TLD-Nameservern, weil sie eben nicht mehr bei jedem einzelnen Aufruf von www.computerbase.de behelligt werden, sondern nur dann, wenn die TTL von www.computerbase.de abgelaufen ist. Als Kunde eines großen Providers wäre also mutmaßlich beim Provider-DNS schon Schluss, wenn man www.computerbase.de ansurft, weil irgendein anderer Kunde desselben Providers gerade in diesem Moment ebenfalls auf www.computerbase.de unterwegs ist und der Provider-DNS schon die IP im Cache hat.



HansDetflefAndi schrieb:
Wenn etwa in Windows ein alternativer DNS-Server hinterlegt ist, ignoriert das System den Router-seitig definierten DNS-Anbieter und verwendet den systemeigenen. Windows misst seiner Konfiguration eine höhere Priorität bei.
Zum Vergrößern anklicken....
Ich weiß worauf du hinauswillst, kann von so einer Konfiguration aber nur abraten. Der Prozess der Namensauflösung in einem Betriebssystem ist nochmal ne Ecke komplizierter. DNS ist ein zeitkritisches System, es ist also auf minimale Timeouts ausgelegt. Hat ein Betriebssystem mehrere DNS zur Verfügung, wird es nur in einem sehr kleinen Zeitfenster den primären DNS - sei es durch Primär/Sekundär Einstellung oder alternative Konfiguration - befragen. Dauert es auch nur einen Tick zu lange bis eine Antwort kommt, wird parallel der sekundäre DNS befragt und die erste Antwort gewinnt - egal von wem sie dann kommt.

Möchte man im Netzwerk insgesamt nicht mehr den Provider-DNS nutzen, weil dieser ja im Router eingestellt ist, ändert man den Upstream-DNS des Routers und trägt dort eben statt des Provider-DNS (kommt automatisch) den DNS von cloudflare, google, Quad9 - oder was auch immer man verwenden möchte - ein. So bleiben alle Clients auf Standardeinstellung und fragen den Router und dieser fragt dann zB Quad9. Gerätespezifische Einstellungen sind somit überflüssig.
Vermeiden sollte man es auch, cloudflare und Co im DHCP-Server als DNS zu hinterlegen, weil damit Probleme mit lokalen Namen wie "MeinNAS" vorprogrammiert sind - denn Quad9 interessiert sich nicht für den Namen deines NAS....
Lokale DNS-Server wie zB pihole stellt man ebenfalls als Upstream-DNS im Router ein und so werden alle Geräte gleichermaßen durch pihole, o.ä. gefiltert.

Aber: Eine Anwendung auf einem Gerät kann jederzeit auch direkte DNS-Queries stellen. Das wird beispielsweise genutzt, wenn der Browser auf "Safe Browsing" oder dergleichen eingestellt ist. Dann fragt er nicht mehr den im System eingestellten DNS, sondern einen externen DNS und dies zudem über https verschlüsselt via DoH (DNS-over-Https). Das geschieht ohne Zutun des Betriebssystems und des Routers, hebelt also etwaige Filter-DNS ebenfalls aus.


HansDetflefAndi schrieb:
Lasse mich ja gern von Bing GPT beraten zu Themen die mir fremd sind.
Zum Vergrößern anklicken....
KIs sind eine tolle Sache, aber nicht selten haben sie auch einfach nur gefährliches Halbwissen. Eine KI vereinfacht ausgedrückt anhand von Häufigkeit in ihren Quellen welche Antwort die richtige ist. Füttert man eine KI mit allen Webseiten dieser Erde, würde sie mit einer gewissen Wahrscheinlichkeit auch behaupten, dass der Mensch niemals auf dem Mond war, Elvis noch lebt und Bill Gates kleine Kinder isst - warum? Weil so und so viele Quellen im www das behaupten. KIs klingen häufig schlau, sind es aber nicht unbedingt - so wie bestimmte Benutzer hier im Forum auch, meine Person eingeschlossen. Obige Erklärungen können beliebig fehlerhaft sein und irgendjemand wird vermutlich auch in wenigen Minuten seinen Finger drauflegen ;)

So, ich habe fertig. Sorry für den langen Beitrag, aber DNS ist nun mal "vielschichtig", wenn mir das Wortspiel erlaubt ist.
 
  • Gefällt mir
Reaktionen: nutrix und HansDetflefAndi
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Graif
IPv6-DNS-Server-Verteilung bei Fritzbox & AdGuard Home
Antworten
10
Aufrufe
2.939
JohnMcLane87
JohnMcLane87
myLooo
Externer DNS für verschiedene VLANS
Antworten
5
Aufrufe
695
gaym0r
G
CoMo
DNS-Server Priorität
Antworten
12
Aufrufe
949
CoMo
CoMo
D
DNS mit unbound oder nur Pi-Hole?
Antworten
6
Aufrufe
1.123
Drahminedum
D
O
Pi 5 mit Home Assistant OS und AdGuard funktioniert nicht als DNS-Server mit Fritzbox
Antworten
16
Aufrufe
1.717
Oberwaldmeister
O
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz