Cloudflare DNS auf Fritz!Box einstellen

by Volker Weber

Sketch

Cloudflare’s mission is to help build a better Internet and today we are releasing our DNS resolver, 1.1.1.1 - a recursive DNS service. With this offering, we’re fixing the foundation of the Internet by building a faster, more secure and privacy-centric public DNS resolver. The DNS resolver, 1.1.1.1, is available publicly for everyone to use - it is the first consumer-focused service Cloudflare has ever released.

Wenn man nicht alles bei seinem ISP abliefern will, dann kann man schon mal einen alternativen DNS-Resolver nutzen. Google dient uns dazu 8.8.8.8 und 8.8.4.4 an und weiß damit sehr genau, welche Webseiten wir so besuchen. Telekom hätte diese Daten gerne für sich (und kriegt sie normalerweise auch). Ich probiere jetzt mal Cloudflare aus.

DNSv4: 1.1.1.1 und 1.0.0.1
DNSv6: 2606:4700:4700::1111 und 2606:4700:4700::1001

More >

Update: Ich habe den Rat von Lars befolgt und einen Benchmark laufen gelassen. Das sind die Ergebnisse:

dnsbench

Wie man sehen kann, ist Cloudflare tatsächlich schnell, aber DNS Watch ist eine sehr gute Alternative aus Deutschland. Telekom ist lahm, AdGuard ist noch lahmer.

Comments

ja berichte dann mal. Vodafone/kabeldeutschland will mir ja unbedingt deren schlechten DNS aufzwingen in der 6490kdg. Muss ich auch mal angehen

Thomas Baschetti, 2018-04-04

Kann man eigentlich auf der Fritzbox auch einen DNS Mirror einrichten? Ich meine, warum muss überhaupt irgendjemand wissen, wohin ich surfe, reicht es nicht, wenn ich mir die Zonefiles lokal herunterlade? Wo ist mein Denkfehler?

Moritz Petersen, 2018-04-04

Moritz, Jan-Piet hat ein wunderbares Buch geschrieben. Dort steht alles drin, was Du wissen musst, um Deinen eigenen DNS Server zu bauen.

https://jpmens.net/2010/10/29/alternative-dns-servers-the-book-as-pdf/

Volker Weber, 2018-04-04

Ich benutze seit Kurzem die DNS-Server von Adguard, die blenden ganz wunderbar auch noch die ganzen Ad-Netzwerke aus:

https://adguard.com/de/adguard-dns/overview.html

Funktioniert aktuell recht gut.

Juergen Schardt, 2018-04-04

Soweit ich weiß, hat CloudFlare leider kein dnscrypt.

Michael Flohr, 2018-04-05

Einfach Mal auf More klicken, lesen, und nochmal kommentieren.

Volker Weber, 2018-04-05

Moritz, ein bisschen. mehr Aufwand ist das schon :-) Aber überschaubar. Beir mir läuft ein Raspberry Pi mit Pi-hole (https://pi-hole.net) und nachgelagertem Unbound (https://www.unbound.net). Damit hast du Adware- und Malware-Filterung und lokale DNS-Auflösung. Mit einer Fritzbox alleine bekommst du das aber leider nicht hin.

Michael Urspringer, 2018-04-05

Ich kann die DNS Server von DNS Watch empfehlen:
https://dns.watch/
Deutscher Anbieter, keine Zensur, keine Protokollierung, DNSSEC. Nutze ich seit ca. 1,5 Jahren und kann nichts schlechtes berichten.
Vermutlich ist aber Cloudflare schneller...

Bastian Anthon, 2018-04-05

Hat hier jemand praktische Erfahrung mit 9.9.9.9 http://quad9.net? Theoretisch soll es ja ganz gut sein: https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alternative-zum-Google-DNS-3890741.html

Peter Klausner, 2018-04-05

I can recommend the Gibson Research tool dnsbench
https://www.grc.com/dns/benchmark.htm

Read the documentation. Run the tool. Now you know which DNS service is beneficial to you.

A 166 kilobyte windows tool with a graphical interface which provides very useful information. Brilliant and awesome.

Lars Berntrop-Bos, 2018-04-05

Lars, awesome! I have updated my post.

I was already experience a much faster browsing experience. Now I have the numbers to prove it.

Volker Weber, 2018-04-05

The purple bar which represents queries which have been resolved by DNS servers external to cloudflare is impressively short!

Lars Berntrop-Bos, 2018-04-05

Danke, Michael, werde ich mal ausprobieren!

Moritz Petersen, 2018-04-05

Falls man Kinder zu Hause hat ist das kostenlose "Opendns Family Shield" eine gute Alternative.
Die blocken "Adult Content".

Ben Uris, 2018-04-05

>> Soweit ich weiß, hat CloudFlare leider kein dnscrypt.
> Einfach Mal auf More klicken, lesen, und nochmal kommentieren.

Lesen, verstehen, nachdenken, dann kommentieren. In der Reihenfolge.

Was der Kollege schreibt ist richtig.

Benjamin Bock, 2018-04-05

Quad9 kann ich nicht empfehlen, die haben noch Performanceprobleme mit Content Delivery Networks. Videostreming bei Netflix und Amazon hatten häufig abbrüche. Mit Google DNS keine.

MArkus Schott, 2018-04-05

Ich bin mal gespannt, wie sich die Raspi DNS-Server in diesem Benchmark schlagen.

Volker Weber, 2018-04-05

> Ich bin mal gespannt, wie sich die Raspi DNS-Server in diesem Benchmark schlagen.

Hmm, gute Idee. Ich hab das mal probiert:

- pi-hole.net auf einem raspi v3. pi-hole nutzt 1.1.1.1

- Gemessen allerdings unter einem etwas ulkigen Setup: DNSBench.exe unter Wine auf einem Mac. Es war gerade kein PC zur Hand.

- Ergebnis: http://www.saalmann.de/uploads/2018/DNSBench-180405.jpg

Ole Saalmann, 2018-04-05

zum testen kann ich auch namebench empfehlen (x-plattform)
https://code.google.com/archive/p/namebench/ bzw. source auf github (https://github.com/google/namebench)

anmerkung: wenn man unter mac os x die gui verwendet, dann gibt es noch einen kleinen bug (zumindest unter high sierra): das report file wird nicht automatisch im browser geöffnet. es wird jedoch unter /var/... abgelegt; entweder im finder nach "namebench_" suchen oder via terminal: $ find /var/ -name "namebench_*.html" eingeben.

Stefan Brandl, 2018-04-05

Das sieht gut aus. Entspricht in etwa der Fritz!box. Die habe ich in meiner Grafik rausgenommen.

Volker Weber, 2018-04-05

FWIW: http://www.saalmann.de/uploads/2018/namebench_2018-04-05_2055.html

Ole Saalmann, 2018-04-05

Wenn man nicht alles bei seinem ISP abliefern will, warum sollte man es dann bei den Amerikanern abliefern wollen? Ich halte diese schicke "quad" Adressen fuer eine sehr schlechte Idee.

Wer auf Privacy etwas Wert legt und nur ein Wenig basteln mag installiert sich ein Unbound mit query-name minimization.

Jan-Piet Mens, 2018-04-05

Moritz, die zone files kannst Du Dir nicht herunter laden und das willst Du auch nicht. 2.7GB fuer eine compressed COM (com.zone.gz) sprengen jede FritzBox; um eine solche Zone in BIND/NSD zu laden brauchst Du viele, viele GB RAM. :-)

Ein lokaler Cache in Form eines rekursiven Servers (Unbound, BIND, PowerDNS Recursor, oder Knot Resolver) hingegen ist nicht schwierig und hat eine Reihe von Vorteile: lokales caching, geschwindigkeit, und (ggf) besseres Privacy.

Jan-Piet Mens, 2018-04-05

Danke, Jan-Piet. Jetzt haben wir mal den Fachmann hier. Bevor wir das Internet ausdrucken. ;-)

Volker Weber, 2018-04-05

Wobei, der Michael weiß auch gut Bescheid.

Volker Weber, 2018-04-05

meine Loesung. pfsense auf einem mini pc mit 4 intel lans und nen vpn client drauf laufen. jeglicher traffic geht ueber vpn raus aus dem heimnetz. pfsense macht auch recursive dns . meine isp box laeuft im bridge modus. wenn vpn nicht laeuft geht auch kein internet.

thorsten ebers, 2018-04-05

Michaels Loesung (Raspi, pi-hole, Unbound) ist auch eine gute Alternative: leicht zu bauen, zuverlaessig und ziemlich flott. Pro tip: SD Karte duplizieren und als Backup beiseite legen: die SD Karten im Rpi haben leider nur begrenzte Lebensdauer (auch Class 10 Karten). Mit dem Duplikat kann im Notfall der Rpi im Nu wieder online sein. :)

Jan-Piet Mens, 2018-04-05

@Michael: Gibt es für pi-hole mit Unbound auf dem Raspi eine einfach nachvollziehbare Konfigurationsanleitung im Netz die Du empfehlen kannst?

MArkus Schott, 2018-04-06

@Markus: Ich habe gestern schon mal etwas für mich recherchiert um am Wochenende mein PI-hole aufzusetzen und bin auf das hier gestoßen: https://www.kuketz-blog.de/pi-hole-schwarzes-loch-fuer-werbung-raspberry-pi-teil1/
Wie gesagt, muss ich noch ausprobieren, ließt sich aber gut.

Moritz Dahlmann, 2018-04-06

Herzlichen Dank Moritz! Das Wochenende ist gerettet ;-)

Markus Schott, 2018-04-06

Oh, hier gibts jetzt noch einen anderen Benjamin Bock: https://vowe.net/archives/017048.html#c082148 - sollen wir uns jetzt durchnummerieren (1) oder gibts dann noch ein Feld für Twitter handles (bnjmnbck)?

Danke für den Tipp mit dns.watch - ist jetzt in der Fritzbox eingestellt. Bin gespannt!

Benjamin Bock, 2018-04-06

Nein, das war kein zweiter Benjamin Bock. Ich habe gerade einen Kommentator, der diesen Diskussionsstil pflegt und der sich jetzt hinter Deinem Namen versteckt hat. Ich hoffe, er kommt zur Besinnung.

Volker Weber, 2018-04-06

Markus, an DIESEM Wochenende bitte rausgehen und den Frühling genießen. DNS hat Zeit.

Allen herzlichen Dank. Wir haben gelernt, dass DNS Watch eine gute Sache ist. Und dass man auch einen eigenen DNS-Server bauen kann.

Volker Weber, 2018-04-06

Ich wollte mich nochmal bei allen Kommentatoren hier bedanken. Den Raspi habe ich zwar noch nicht aufgesetzt, werde ich aber in den nächsten Wochen mal machen. Dafür habe ich aber eine Menge gelernt, und das ganz nebenbei!

Moritz Petersen, 2018-04-06

"DNS hat Zeit". #pfft. I'll remind you of that one day. :)

Jan-Piet Mens, 2018-04-06

This is great, but I would like to understand what is in it for Cloudflare? How does it benefit them?

Andy Mell, 2018-04-06

@Moritz: Wenn Du Probleme hast, Pi-Hole mit Unbound zusammen zum Laufen zu bringen, meld Dich einfach bei mir (https://www.urspringer.de)

Michael Urspringer, 2018-04-07

Andy, they can show off their technology (same as what, say, Quad9 has been doing with their Unbound and PowerDNS Recursor backends), they can attempt to be "fastest" (which may or may work for you; it depends on a load of factors), and they can play with your data. I'm not saying they do, au contraire, they've stated they don't, but don't forget: any query you send to a recursive server, no matter where that is or who hosts it, gets your query.

Whilst all the big ones (including Google) have said they won't store much, there doesn't appear to be anybody who's actually auditing that.

If you really want to play safe: don't send your DNS queries to an ISP's resolver nor to one of the others. Anything you do, every email you send, every phone call [probably] you make, every time you switch on a smartphone: that generates queries.

(This may or may not be borderline paranoia: you choose. :-)


Jan-Piet Mens, 2018-04-07

Recent comments

Volker Weber on Upgrade to iOS 12 now at 21:50
Tobias van der Plas on Upgrade to iOS 12 now at 21:40
Samuel Orsenne on Apple supports more iPhones than ever at 20:41
Volker Weber on Apple supports more iPhones than ever at 19:14
Ananya Gupta on Apple supports more iPhones than ever at 19:09
Ingo Seifert on Upgrade to iOS 12 now at 18:18
Andreas Pfau on Apple supports more iPhones than ever at 18:16
Samuel Orsenne on Apple supports more iPhones than ever at 17:45
Stephan Perthes on Zeier jr. (3): 'Das war der Papa der Siri-Frau' at 17:14
Kai Schmalenbach on Path is going away. Other social networks will follow. at 16:34
Frank Quednau on Apple supports more iPhones than ever at 16:33
Volker Weber on Upgrade to iOS 12 now at 15:09
Henning Wriedt on Upgrade to iOS 12 now at 15:05
Volker Weber on Upgrade to iOS 12 now at 14:52
Volker Weber on Here Traffic Dashboard at 14:50
Stephan Bohr on Here Traffic Dashboard at 14:35
Henning Wriedt on Upgrade to iOS 12 now at 14:26
Craig Wiseman on What happened to Connections Pink? at 14:05
Volker Weber on Upgrade to iOS 12 now at 13:14
Horia Stanescu on Upgrade to iOS 12 now at 13:12
Tim Clark on What happened to Connections Pink? at 13:03
Martín Ortega on Upgrade to iOS 12 now at 12:16
Nina Wittich on Die Weltpremiere von Domino V10 at 09:32
Volker Weber on Die Weltpremiere von Domino V10 at 09:24
Oliver Stör on Here Traffic Dashboard at 08:37

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 22:13

visitors.gif

buy me coffee