Frage zu DNS

[Melone721]

Hallo,

ich hab von Netzwerken und sowas wenig Ahnung und bräuchte mal kurz ein paar Infos.
Folgendes:
Ich hab im Router EasyBox 804 den DNS Server manuell eingestellt auf dns3.digitalcourage.de mit der entsprechenden IP.
Wenn ich unter Linux auf diversen Seiten abfrage, welchen DNS-Server ich nutze, dann stimmt das auch alles.
Fahre ich den Rechner mit Windows 11 hoch (habe Dualboot) und rufe dieselben Seiten auf, dann zeigen die mir irgendwelche anderen DNS-Adressen an.
Eingestellt hab ich in beiden Systemen nichts. Steht alles auf automatisch beziehen, heißt vom Router holen.

Irgendwie versteh ich das nicht so ganz, wieso das mal klappt und mal nicht.

Ich hoffe ich habs verständlich formuliert und irgendwer kanns erklären.

 

[redjack1000]

dann zeigen die mir irgendwelche anderen DNS-Adressen an.

Welche sind das?

Cu
redjack

 

[NameHere]

Da grätscht wahrscheinlich DNS über HTTPS im Browser rein.
Das solltest du im jeweiligen Browser ausstellen.

 

[Azghul0815]

Welche Browser werden benutzt? VPNs aktiv?

 

[ChriZze]

Du musst sicherstellen, dass dein Router den richtigen DNS Server an den Client per DHCP verteilt.
Es kann sein, dass für den Router der DNS Server dns3.digitalcourage.de eingestellt ist und unter Windows deine Easybox als DNS Server angezeigt wird, aber selbst dann werden deine DNS Anfragen an den digitialcourage DNS Server von der Easybox weitergegeben

 

[DeusoftheWired]

Die Ausgabe des cmd-Befehls ipconfig /all hier bitte mal in [code][/code]-Tags posten. Bei DNS-Server sollte die IP der EasyBox 804 stehen. Die weist per DHCP dann allen Rechnern auch dns3.digitalcourage.de als DNS zu.

 

[Helge01]

Auch sollte man wissen das die Verwendung eigener DNS Einstellungen nicht zwingend sind. Programme oder auch das OS muss sich nicht daran halten und können einen in der Software fest einprogrammierten DNS Server verwenden.

Man kann das ganze so aufbauen das Software die eigenen DNS Einstellungen nicht umgehen können, z.B. durch das Zulassen nur des eigenen DNS Resolver, DNS Port 53, DoT Port 853 sperren und DoH so gut es geht blockieren.

 

[mscn]

Edge nutzt aus "Sicherheitsgründen" eigene DNS-Server - das kannst du in den Einstellungen von Edge abstellen.

 

[CoMo]

Man kann das ganze so aufbauen das Software die eigenen DNS Einstellungen nicht umgehen können, z.B. durch das Zulassen nur des eigenen DNS Resolver, DNS Port 53

Eleganter ist es, alle Anfragen an Port 53 außerhalb des Heimnetzes einfach via Destination NAT auf den eigenen DNS-Server umzulenken.

DoH so gut es geht blockieren

Was gar nicht so einfach ist. Man muss da mit Blocklisten arbeiten, z.B. https://dbl.ipfire.org/lists/doh/domains.txt

Das hindert aber niemanden daran, einen eigenen DoH-Server zu betreiben und den fest in seinem Dienst / Gerät zu verankern.

 

[Helge01]

@CoMo Da hast du recht. Es gibt Router/Firewalls die können DoH schon gut blockieren.
Wenn jemand aber seinen eigenen DoH Server ins Netz stellt dann wird es schwierig.

Übrigens, mein "WARP Tunnel" funktioniert immer noch einwandfrei. Habe sicherheitshalber für Cloudflare eine Gatewaygruppe erstellt, Prio 1 Cloudflare WARP, Prio 2 Mullvad Tunnel nach Frankfurt und Prio 3 Telekom Gateway. Durch die Gruppe werde ich benachrichtigt wenn ein Gateway davon ausfällt, der "WARP Tunnel" war heute früh mal für 1 Minute weg, macht aber nichts da dann Mullvad übernimmt.

 

[pvalerio]

Eleganter ist es, alle Anfragen an Port 53 außerhalb des Heimnetzes einfach via Destination NAT auf dem eigenen DNS-Server umzulenken.

Könnte man so auch Geräten einen anderen DNS-Server zuweisen, welche sonst keine Einstellungsmöglichkeiten besitzen?

 

[CoMo]

Klar. Das ist der Sinn der Sache. Jeglicher Traffic an Port 53 der NICHT als Ziel LAN hat, wird umgeleitet auf den lokalen DNS-Server. So kann nichts am AdGuard / Pi-Hole vorbei irgendwelche DNS-Server im Internet befragen.

Daneben, wie schon erwähnt, TCP/UDP auf Port 853 blockieren (DoH/DoQ) und DoH-Domains via Alias.

 

[Azghul0815]

Brauchst aber die passenden Endgeräte und den Anbieter der es dir gestattet.
Bei mir z.Bb. gehts nicht oder ich muss ein 2ter, komplettes Routingnetzwerk hinter dem Router aufbauen oder so.

 

[CoMo]

Logisch, dafür braucht man einen richtigen Router. Eine Fritzbox oder ein Speedport kann sowas nicht. In der OPNSense sieht das bei mir z.B. so aus

 

[Azghul0815]

Logisch, dafür braucht man einen richtigen Router

Fällt bei mir leider Flach. Properitäter Router beim Anbieter...
Aber ich hab wieder was gelernt. Danke

 

[Melone721]

Hallo nochmal und sorry für die späte Rückmeldung.

hab im Moment etwas viel um die Ohren.

Zu den vielen Fragen:
https://www.dnsleaktest.com/results.html zeigt

unter ubuntu:
Your public IP: 88.xx.xx.xxx
Test complete
Query round    Progress...    Servers found
1            ......        4
IP    Hostname    ISP    Country
5.1.66.1    None    Freie Netze Muenchen e.V.    Munich, Germany
5.1.66.2    None    Freie Netze Muenchen e.V.    Munich, Germany
5.1.66.3    None    Freie Netze Muenchen e.V.    Munich, Germany
5.1.66.4    None    Freie Netze Muenchen e.V.    Munich, Germany
unter Windows:
Your public IP: 88.xx.xx.xxx
Test complete
Query round    Progress...    Servers found
1            ......        2
IP    Hostname    ISP    Country
162.158.245.144    None    Cloudflare    Berlin, Germany
162.158.245.145    None    Cloudflare    Berlin, Germany

Nutze in beiden Systemen Firefox ohne Veränderungen beim DNS

C:\Windows\System32>ipconfig /all gibt aus:

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : Dxxxxi
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : local

Ethernet-Adapter Ethernet 4:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Realtek PCIe GbE Family Controller #2
   Physische Adresse . . . . . . . . : 04-92-26-10-B2-EF
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter LAN-Verbindung* 1:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #3
   Physische Adresse . . . . . . . . : 18-56-80-CD-C6-49
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter LAN-Verbindung* 2:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #4
   Physische Adresse . . . . . . . . : 1A-56-80-CD-C6-48
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter VMware Network Adapter VMnet1:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1
   Physische Adresse . . . . . . . . : 00-50-56-C0-00-01
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::xxx:7392:xxx:51xxx(Bevorzugt)
   IPv4-Adresse (Auto. Konfiguration): 169.xxx.xx.xx(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 738218070
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-29-7D-AA-A1-04-92-26-10-B2-EF
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter VMware Network Adapter VMnet8:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet8
   Physische Adresse . . . . . . . . : 00-50-56-C0-00-08
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::xxx:a02e:xxx:8dxxx(Bevorzugt)
   IPv4-Adresse (Auto. Konfiguration): 169.xxx.xxx.xxx(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 754995286
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-29-7D-AA-A1-04-92-26-10-B2-EF
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Drahtlos-LAN-Adapter WLAN:

   Verbindungsspezifisches DNS-Suffix: local
   Beschreibung. . . . . . . . . . . : Intel(R) Wireless-AC 9560 160MHz
   Physische Adresse . . . . . . . . : 18-56-80-CD-C6-48
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : fdf7:xxx:a2de:1:1697:xxx:1d52:xxx(Bevorzugt)
   Temporäre IPv6-Adresse. . . . . . : fdf7:xxx:a2de:1:6915:xxx:d41e:xxx(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::xxx:78a6:c859:xxx(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.2.101(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Sa, 14. Februar 2026 18:10:12
   Lease läuft ab. . . . . . . . . . : So, 14. Februar 2027 18:10:11
   Standardgateway . . . . . . . . . : fe80::7a94:b4ff:fe40:aab6%13
                                       192.168.2.1
   DHCP-Server . . . . . . . . . . . : 192.168.2.1
   DHCPv6-IAID . . . . . . . . . . . : 169367168
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-29-7D-AA-A1-04-92-26-10-B2-EF
   DNS-Server  . . . . . . . . . . . : fdf7:6f7b:a2de:1:7a94:b4ff:fe40:aab6
                                       192.168.2.1
                                       fdf7:6f7b:a2de:1:7a94:b4ff:fe40:aab6
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
   Suchliste für verbindungsspezifische DNS-Suffixe:
                                       local
                                       local

und easy Box sieht aus wie im angehängten screenshot.

wie schon erwähnt hab ich nich so viel Ahnung von den Netzwerkgeschichten, möchte es aber gern verstehen....

 

[norKoeri]

@Melone721 bitte nutze sowohl in IPv4 als auch in IPv6 den selben Anbieter; aktuell mischst Du

• Cloudflare (IPv6)
• ffmuc.net (IPv4) und
• Digitalcourage (IPv4)

Letzteres nutzt Du in Wirklichkeit gar nicht, denn Digitalcourage unterstützt ausschließlich DoT. Was Du in Deinem DSL-Router eingestellt hast, ist unverschlüsseltes DNS.

EasyBox 804

Was willst Du denn überhaupt erreichen, mit dem Wechsel des DNS-Servers? Mein Tipp wäre eine FRITZ!Box 7520 gebraucht holen, dort bei DoT dns3.digitalcourage.de eintragen, fertig. Willst Du Zensur umgehen, Malware blockieren, Böses blockieren oder/und auch Tracker blockieren?

Fällt bei mir leider Flach. Properitäter Router beim Anbieter...

Wenn es Dich interessiert, eigenen Thread aufmachen. Muss nicht ein zweiter Router, also eine Router-Kaskade sein, kann man auch über einen Switch mit Routing-Funktionen umlenken.

 

[ChriZze]

@norKoeri Ich finde den Tausch des Routers nur um mehr Kontrolle über DNS zu erhalten ein wenig Overkill.

Ich würde hier eher zu einem günstigen raspi (kann auch ein Raspberry Pi 1 sein) mit pihole Raten.
Die Dokus hierfür sind hervorragend, er kann den Digitalcourage DNS als Ziel und mehrere Backup DNS Server als Alternative angeben und man kann über Filterlisten im gesamten Heimnetz einen Werbeblocker etablieren.
Alle gängigen DNS Anfragen können dann beantwortet werden und er kann den Port 53 für alle clients außer dem pihole blockieren.

Ist aus meiner Sicht die günstigste und variabelste lösung.

 

[Azghul0815]

Alle gängigen DNS Anfragen können dann beantwortet werden und er kann den Port 53 für alle clients außer dem pihole blockieren.

das funktionier eben nur bedingt. Das ist ja das Problem.
Den DNS für IPv6 kann ich nur "blocken" wenn ich an jedem Gerät IPv6 deaktiviere, weils der Router das nicht zulässt.

 

[CoMo]

Ich finde den Tausch des Routers nur um mehr Kontrolle über DNS zu erhalten ein wenig Overkill.

Der Router ist das zentrale Element und das Gateway zwischen dem Heimnetz und allen anderen Netzen. Genau da setzt man an, wenn man mehr Kontrolle über sein Heimnetz haben will.