Adblocking DNS ohne Pi-Hole, überall

Ich habe eine Zeit lang Pi-Hole auf einem Raspberry Pi als DNS-basierten Adblocker genutzt. Das Prinzip ist, dass Pi-Hole im lokalen Netzwerk als DNS-Server fungiert und dann, wenn ein System die IP-Adresse einer bekannten Werbe-Domain auflösen möchte, mit einem „Kann ich nicht finden“ antwortet. Dadurch wird auch dann zumindest ein Teil der Werbung geblockt, wenn man keine Browser-Erweiterung wie z.B. uBlock installieren kann/möchte. Und es funktioniert z.B. auch wenn ein Handy-Spiel Werbung anzeigen möchte. Leider steht der Pi-Hole nur zuhause und wenn man unterwegs ist, hat man keinen werbeblockenden DNS-Server.

Mir wurde es jedoch zu blöd, mich um das Rasberry Pi zu kümmern. Und ich bin über dnsforge.de gestolpert. Das ist ein werbeblockender DNS-Server, der quasi wie ein Pi-Hole funktioniert, aber nicht lokal im Heimnetzwerk hängt, sondern öffentlich im Internet. Dnsforge bietet außerdem DoT (DNS over TLS) und DoH (DNS over HTTPS) an, was weitere praktische Möglichkeiten eröffnet.

DNS over HTTPS in Firefox

In den Firefox-Einstellungen (about:preferences), ganz unten bei Netzwerkeinstellungen, kann man im Einstellungsmenü „DNS over HTTPS“ einschalten. Dort kann man außerdem einen selbstdefinierten Anbieter einstellen. Wenn man dort „https://dnsforge.de/dns-query“ einträgt, wird der Firefox – egal ob zuhause oder auf Reise – den werbeblockenden DNS-Server von dnsforge.de nutzen.

Die DNS-Abfragen sind außerdem verschlüsselt und andere Personen im Netzwerk oder der Internetprovider können nicht mitlesen oder eingreifen.

DNS over TLS in Android

In neueren Android-Versionen (ab 8 oder 9) kann man in den Netzwerkeinstellungen ein „privates DNS“ einrichten. Wenn man dort einfach „dnsforge.de“ einträgt, wird dieser Server immer und überall genutzt, egal ob zuhause, bei mobilem Datenverkehr oder in einem fremden WLAN.

Die DNS-Abfragen sind außerdem verschlüsselt und andere Personen im Netzwerk oder der Internetprovider können nicht mitlesen oder eingreifen.

DNS over TLS in der Fritzbox

Auch in der Fritzbox kann man dnsforge.de via DNS over TLS einrichten. Dazu in den Fritzbox-Einstellungen auf „Internet – Zugangsdaten – DNS-Server“ gehen.

Bei den IPv4-DNS-Servern trägt man 176.9.93.198 und 176.9.1.117 ein, bei den IPv6-DNS-Servern 2a01:4f8:151:34aa::198 und 2a01:4f8:141:316d::117.

Dann setzt man noch das Häkchen bei „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“ und den beiden Unterpunkten (Zertifikatsprüfung erzwingen, Fallback zulassen). In das Freitextfeld trägt man „dnsforge.de“ ein und speichert das ganze.

Ab dann nutzt die Fritzbox für alle ausgehenden Anfragen (wenn möglich) eine verschlüsselte Verbindung zum werbeblockenden DNS von dnsforge.de und der Internetprovider kann nicht mitlesen. Der DNS-Verkehr im eigenen Netzwerk bleibt jedoch weiterhin normaler, unverschlüsselter DNS-Verkehr, solange die Clients selbst kein DoT oder DoH nutzen.

Hinweis: Ältere Fritzbox-Firmware-Versionen sind ggf. von einem Bug betroffen, dass bei aktiviertem DNS over TLS irgendwann keine Namen mehr aufgelöst werden können. In diesem Fall: Firmware aktualisieren oder DNS over TLS deaktivieren.

dnsforge.de unterstützen

Als Dank dafür, dass ich auch unterwegs keine Werbung sehen und auch keinen Pi-Hole warten muss, werfe ich per Dauerauftrag regelmäßig ein bisschen Geld über den Zaun: https://adminforge.de/unterstuetzen/.