Cloudflare DNS auf Fritz!Box einstellen
by Volker Weber
Cloudflare’s mission is to help build a better Internet and today we are releasing our DNS resolver, 1.1.1.1 - a recursive DNS service. With this offering, we’re fixing the foundation of the Internet by building a faster, more secure and privacy-centric public DNS resolver. The DNS resolver, 1.1.1.1, is available publicly for everyone to use - it is the first consumer-focused service Cloudflare has ever released.
Wenn man nicht alles bei seinem ISP abliefern will, dann kann man schon mal einen alternativen DNS-Resolver nutzen. Google dient uns dazu 8.8.8.8 und 8.8.4.4 an und weiß damit sehr genau, welche Webseiten wir so besuchen. Telekom hätte diese Daten gerne für sich (und kriegt sie normalerweise auch). Ich probiere jetzt mal Cloudflare aus.
DNSv4: 1.1.1.1 und 1.0.0.1
DNSv6: 2606:4700:4700::1111 und 2606:4700:4700::1001
Update: Ich habe den Rat von Lars befolgt und einen Benchmark laufen gelassen. Das sind die Ergebnisse:
Wie man sehen kann, ist Cloudflare tatsächlich schnell, aber DNS Watch ist eine sehr gute Alternative aus Deutschland. Telekom ist lahm, AdGuard ist noch lahmer.
Comments
ja berichte dann mal. Vodafone/kabeldeutschland will mir ja unbedingt deren schlechten DNS aufzwingen in der 6490kdg. Muss ich auch mal angehen
Kann man eigentlich auf der Fritzbox auch einen DNS Mirror einrichten? Ich meine, warum muss überhaupt irgendjemand wissen, wohin ich surfe, reicht es nicht, wenn ich mir die Zonefiles lokal herunterlade? Wo ist mein Denkfehler?
Moritz, Jan-Piet hat ein wunderbares Buch geschrieben. Dort steht alles drin, was Du wissen musst, um Deinen eigenen DNS Server zu bauen.
https://jpmens.net/2010/10/29/alternative-dns-servers-the-book-as-pdf/
Ich benutze seit Kurzem die DNS-Server von Adguard, die blenden ganz wunderbar auch noch die ganzen Ad-Netzwerke aus:
https://adguard.com/de/adguard-dns/overview.html
Funktioniert aktuell recht gut.
Soweit ich weiß, hat CloudFlare leider kein dnscrypt.
Einfach Mal auf More klicken, lesen, und nochmal kommentieren.
Moritz, ein bisschen. mehr Aufwand ist das schon :-) Aber überschaubar. Beir mir läuft ein Raspberry Pi mit Pi-hole (https://pi-hole.net) und nachgelagertem Unbound (https://www.unbound.net). Damit hast du Adware- und Malware-Filterung und lokale DNS-Auflösung. Mit einer Fritzbox alleine bekommst du das aber leider nicht hin.
Ich kann die DNS Server von DNS Watch empfehlen:
https://dns.watch/
Deutscher Anbieter, keine Zensur, keine Protokollierung, DNSSEC. Nutze ich seit ca. 1,5 Jahren und kann nichts schlechtes berichten.
Vermutlich ist aber Cloudflare schneller...
Hat hier jemand praktische Erfahrung mit 9.9.9.9 http://quad9.net? Theoretisch soll es ja ganz gut sein: https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alternative-zum-Google-DNS-3890741.html
I can recommend the Gibson Research tool dnsbench
https://www.grc.com/dns/benchmark.htm
Read the documentation. Run the tool. Now you know which DNS service is beneficial to you.
A 166 kilobyte windows tool with a graphical interface which provides very useful information. Brilliant and awesome.
Lars, awesome! I have updated my post.
I was already experience a much faster browsing experience. Now I have the numbers to prove it.
The purple bar which represents queries which have been resolved by DNS servers external to cloudflare is impressively short!
Danke, Michael, werde ich mal ausprobieren!
Falls man Kinder zu Hause hat ist das kostenlose "Opendns Family Shield" eine gute Alternative.
Die blocken "Adult Content".
>> Soweit ich weiß, hat CloudFlare leider kein dnscrypt.
> Einfach Mal auf More klicken, lesen, und nochmal kommentieren.
Lesen, verstehen, nachdenken, dann kommentieren. In der Reihenfolge.
Was der Kollege schreibt ist richtig.
Quad9 kann ich nicht empfehlen, die haben noch Performanceprobleme mit Content Delivery Networks. Videostreming bei Netflix und Amazon hatten häufig abbrüche. Mit Google DNS keine.
Ich bin mal gespannt, wie sich die Raspi DNS-Server in diesem Benchmark schlagen.
> Ich bin mal gespannt, wie sich die Raspi DNS-Server in diesem Benchmark schlagen.
Hmm, gute Idee. Ich hab das mal probiert:
- pi-hole.net auf einem raspi v3. pi-hole nutzt 1.1.1.1
- Gemessen allerdings unter einem etwas ulkigen Setup: DNSBench.exe unter Wine auf einem Mac. Es war gerade kein PC zur Hand.
- Ergebnis: http://www.saalmann.de/uploads/2018/DNSBench-180405.jpg
zum testen kann ich auch namebench empfehlen (x-plattform)
https://code.google.com/archive/p/namebench/ bzw. source auf github (https://github.com/google/namebench)
anmerkung: wenn man unter mac os x die gui verwendet, dann gibt es noch einen kleinen bug (zumindest unter high sierra): das report file wird nicht automatisch im browser geöffnet. es wird jedoch unter /var/... abgelegt; entweder im finder nach "namebench_" suchen oder via terminal: $ find /var/ -name "namebench_*.html" eingeben.
Das sieht gut aus. Entspricht in etwa der Fritz!box. Die habe ich in meiner Grafik rausgenommen.
FWIW: http://www.saalmann.de/uploads/2018/namebench_2018-04-05_2055.html
Wenn man nicht alles bei seinem ISP abliefern will, warum sollte man es dann bei den Amerikanern abliefern wollen? Ich halte diese schicke "quad" Adressen fuer eine sehr schlechte Idee.
Wer auf Privacy etwas Wert legt und nur ein Wenig basteln mag installiert sich ein Unbound mit query-name minimization.
Moritz, die zone files kannst Du Dir nicht herunter laden und das willst Du auch nicht. 2.7GB fuer eine compressed COM (com.zone.gz) sprengen jede FritzBox; um eine solche Zone in BIND/NSD zu laden brauchst Du viele, viele GB RAM. :-)
Ein lokaler Cache in Form eines rekursiven Servers (Unbound, BIND, PowerDNS Recursor, oder Knot Resolver) hingegen ist nicht schwierig und hat eine Reihe von Vorteile: lokales caching, geschwindigkeit, und (ggf) besseres Privacy.
Danke, Jan-Piet. Jetzt haben wir mal den Fachmann hier. Bevor wir das Internet ausdrucken. ;-)
Wobei, der Michael weiß auch gut Bescheid.
meine Loesung. pfsense auf einem mini pc mit 4 intel lans und nen vpn client drauf laufen. jeglicher traffic geht ueber vpn raus aus dem heimnetz. pfsense macht auch recursive dns . meine isp box laeuft im bridge modus. wenn vpn nicht laeuft geht auch kein internet.
Michaels Loesung (Raspi, pi-hole, Unbound) ist auch eine gute Alternative: leicht zu bauen, zuverlaessig und ziemlich flott. Pro tip: SD Karte duplizieren und als Backup beiseite legen: die SD Karten im Rpi haben leider nur begrenzte Lebensdauer (auch Class 10 Karten). Mit dem Duplikat kann im Notfall der Rpi im Nu wieder online sein. :)
@Michael: Gibt es für pi-hole mit Unbound auf dem Raspi eine einfach nachvollziehbare Konfigurationsanleitung im Netz die Du empfehlen kannst?
@Markus: Ich habe gestern schon mal etwas für mich recherchiert um am Wochenende mein PI-hole aufzusetzen und bin auf das hier gestoßen: https://www.kuketz-blog.de/pi-hole-schwarzes-loch-fuer-werbung-raspberry-pi-teil1/
Wie gesagt, muss ich noch ausprobieren, ließt sich aber gut.
Herzlichen Dank Moritz! Das Wochenende ist gerettet ;-)
Oh, hier gibts jetzt noch einen anderen Benjamin Bock: https://vowe.net/archives/017048.html#c082148 - sollen wir uns jetzt durchnummerieren (1) oder gibts dann noch ein Feld für Twitter handles (bnjmnbck)?
Danke für den Tipp mit dns.watch - ist jetzt in der Fritzbox eingestellt. Bin gespannt!
Nein, das war kein zweiter Benjamin Bock. Ich habe gerade einen Kommentator, der diesen Diskussionsstil pflegt und der sich jetzt hinter Deinem Namen versteckt hat. Ich hoffe, er kommt zur Besinnung.
Markus, an DIESEM Wochenende bitte rausgehen und den Frühling genießen. DNS hat Zeit.
Allen herzlichen Dank. Wir haben gelernt, dass DNS Watch eine gute Sache ist. Und dass man auch einen eigenen DNS-Server bauen kann.
Ich wollte mich nochmal bei allen Kommentatoren hier bedanken. Den Raspi habe ich zwar noch nicht aufgesetzt, werde ich aber in den nächsten Wochen mal machen. Dafür habe ich aber eine Menge gelernt, und das ganz nebenbei!
"DNS hat Zeit". #pfft. I'll remind you of that one day. :)
This is great, but I would like to understand what is in it for Cloudflare? How does it benefit them?
@Moritz: Wenn Du Probleme hast, Pi-Hole mit Unbound zusammen zum Laufen zu bringen, meld Dich einfach bei mir (https://www.urspringer.de)
Andy, they can show off their technology (same as what, say, Quad9 has been doing with their Unbound and PowerDNS Recursor backends), they can attempt to be "fastest" (which may or may work for you; it depends on a load of factors), and they can play with your data. I'm not saying they do, au contraire, they've stated they don't, but don't forget: any query you send to a recursive server, no matter where that is or who hosts it, gets your query.
Whilst all the big ones (including Google) have said they won't store much, there doesn't appear to be anybody who's actually auditing that.
If you really want to play safe: don't send your DNS queries to an ISP's resolver nor to one of the others. Anything you do, every email you send, every phone call [probably] you make, every time you switch on a smartphone: that generates queries.
(This may or may not be borderline paranoia: you choose. :-)
