DNSv4 und DNSv6 Server manuell eintragen

[_TR_]

Hallo,
bei einem Bekannten wollen wir dns im Fritzbox manuell eintragen.
Es ist ein 6660, also Kabel, Vodafone Kabel. Hab mal nachgeschaut, DS Lite.
Aber trotzdem kann man ja auch für ipv4 und ipv6 getrennt manuell eintragen.
möchte jetzt nichts falsches machen.

kann ich mich an dieser Liste orientieren?
vor allem die ersten 3 in der Liste?
https://www.kuketz-blog.de/empfehlungsecke/#dns

 

[TorenAltair]

Was versprichst Du Dir davon?

 

[JackForceOne]

Die Server aus der Empfehlung kann man schon gut nehmen. Wie das geht hätte eine kurze Suche auch ans Tageslicht gebracht...
https://fritz.com/apps/knowledge-base/FRITZ-Box-4060/165_Andere-DNS-Server-in-FRITZ-Box-einrichten

Ergänzung (Heute um 18:26)

Was versprichst Du Dir davon?

Aus dem Link des TE:

"Kaum jemand ist sich bewusst, wie viele Informationen man mit einer scheinbar harmlosen DNS-Abfrage preisgibt. Insbesondere die DNS-Server der Provider (Vodafone, Telekom und Co.) oder auch die DNS-Server von Google (8.8.8.8 / 8.8.4.4) protokollieren oft eure Anfragen (also welche Webseiten ihr aufruft) und werten diese Informationen aus. Schlimmer noch: Die Provider geben diese Informationen möglicherweise an Dritte weiter oder zensieren Webseiten aus rechtlichen Gründen. Es gibt zensurfreie Alternativen, die DNS-Anfragen nicht protokollieren und auf die jeder ausweichen kann."

 

[TorenAltair]

Und wer sagt, dass die nicht auch gegebenenfalls protokollieren. Nur weil es auf einer Webpage steht?

 

[Gretzki]

Naja, wenn Du das möchtest, brauchst Du einen root-DNS (Unbound & Co.) der fragt max. die *-root.server.
Ist aber ein wenig Aufwand, funktioniert aber problemlos. Klingt aber nicht so als ob der TE das möchte!

 

[SonyXP]

Genau aus dem Grund habe ich mir zu Hause Unbound eingerichtet - ein Raspberry Pi 5 war eh schon im Einsatz, da hat sich das als kleines Projekt mal angeboten.

Es gibt zwar kostenlose DNS-Anbieter, die auch einen "vermeintlich" guten Ruf (was die Sicherheit der Privatsphäre angeht) haben, aber die höhere Sicherheit hat man nur beim Selfhosting.

 

[CoMo]

Ist halt auch so eine grundsätzliche Frage. Warum sollte man irgendeinem externen Anbieter die DNS-Rekursion für einen machen lassen, wenn man das auch einfach selbst machen kann?

Ein Consumer-Router macht sowas aber leider nicht und wenn man kein richtiges Router-OS einsetzen oder die Software separat hosten will, dann kann man ruhig die Kuketz-Liste zu Rate ziehen.

Die Finger lassen sollte man grundsätzlich vom DNS-Server, den einem der ISP via DHCP zuteilt. Denn dann bekommt man manipulierte und falsche DNS-Antworten.

 

[Col. Jessep]

@CoMo

Was meinst du mit manipulierte und falsche DNS Antworten?
Wie muss ich mir das vorstellen?
Kann man mit piHole oder AdGuard dagegen etwas machen?

 

[CoMo]

Also die Telekom hat viele Jahre lang DNS-Hijacking betrieben und NXDOMAIN auf eine Werbeseite umgeleitet.

Und aktuell haben sich die großen deutschen ISPs zusammengeschlossen und sperren nach Belieben irgendwelche Websites, ebenfalls mit DNS Hijacking https://cuiiliste.de/

Kann man mit piHole oder AdGuard dagegen etwas machen?

Es reicht schon ein beliebiger zensurfreier DNS-Anbieter. Aber wie schon gesagt: Warum nicht einfach DNS selbst betreiben? Das ist kein Aufwand. Unbound installieren und fertig. Wenn man noch Werbung filtern möchte, packt man einen Pi-Hole oder AdGuard Home dahinter.

 

[Col. Jessep]

Diese Thematik war mir neu. Lese mich da ein.
Danke @CoMo

 

[CoMo]

Ergänzung: Ich verstehe auch den ganzen Hype um verschlüsseltes DNS nicht. Warum sollte ich DNS verschlüsseln? Unbound macht QNAME Minimization. Also sieht sowieso nur der für die Domain zuständige Resolver, welche Domain ich aufrufe. Klar könnte mein Provider DPI machen und das loggen. Aber wir sind hier in der EU, nicht im Iran oder in Russland. Das wäre also sowieso illegal. Und würde Kosten ohne Nutzen verursachen.

Diese Thematik war mir neu. Lese mich da ein.

Am besten hier mal mit den Grundlagen starten. Da wird gut erklärt, was sich ändert, wenn man DNS selbst betreibt https://docs.pi-hole.net/guides/dns/unbound/#what-does-this-guide-provide

 

[norKoeri]

trotzdem kann man ja auch für ipv4 und ipv6 getrennt manuell eintragen. möchte jetzt nichts falsches machen.

Was genau ist die Frage bzw. was für Befürchtungen hast Du? Fehlt Euch ein alternativer, also zweiter Server für die vier Felder dort? Die findest Ihr auf den Homepages des gewünschten Anbieters. Wenn Ihr DNS-over-TLS (DoT) nutzt, dann ist eh egal, was unter IPv6 bzw. IPv4 eingetragen ist. Oder meinst Du verschiedene Anbieter gleichzeitig nehmen? Würde ich nicht machen, immer nur einen.

 

[eigs]

Warum sollte man irgendeinem externen Anbieter die DNS-Rekursion für einen machen lassen, wenn man das auch einfach selbst machen kann?

Weil deren Server im Rechenzentrum eine geringere Latenz gegenüber einer Endkundenleitung zu den DNS Server haben und ein DNS Resolver muss Abfragen zu mehreren DNS Server machen. Weiteres sind bei denen viele Domains schon im Cache.

 

[schallundrauch]

AdGuard Home war auch für mich keine größere Hürde. Man braucht als Laie evtl. mal nen Nachmittag, um das aufzusetzen, aber lohnt sich dann doch imho. Man kann damit AUCH für alle Geräte im Heimnetzwerk Werbung per DNS-Block ähhh... blocken

 

[kenners87]

Ich spreche mich einmal für DNS Forge aus, auch weil ich deren kuratierte Blocklisten Sammlung Klasse finde! Zusammen mit Ublock Origin als Feinfilter im Browser.

Welchen DNS Server stellt ihr so ein in Pihole, oder AGH etc. und warum?

Edit: also für die, die kein unbound installiert haben mein ich.

 

[CoMo]

Weiteres sind bei denen viele Domains schon im Cache.

In deinem Unbound auch. Was denkst du, welcher Cache schneller antwortet. Der beim externen DNS Provider oder der in deinem lokalen Netzwerk?