[keweonDNS][Online Security und Adblock][Ohne Root][Offiziell-Support]

[MrT69]

@orgshooter
Mal generell zum Zertifikat: Das hat nix direkt mit dem DNS zu tun. Ob du das hast oder nicht, das spielt dann erst eine Rolle wenn du die DNS Server aktiv hast. Bestes Beispiel ist Bild. Also, ob mit oder ohne - die DNS Server gehen immer.

Das Zertifikat kommt dann zum Zuge mit den Blacklisten. Wenn du zustätzliche Listen aktiv hast, dann empfehle ich die IMMER abzuschalten mit keweon.

Warum?
Ich hab mal alle Quellen die bei filterlists.com verfügbar sind heruntergeladen und da kam folgendes raus:

1. Alle Listen waren bei ca. 1,4 GB
2. Unique Sorted waren es noch knapp 580 MB
3. Das Ergebnis hab ich durch meine Whitelist Datenbank geschickt: 136 MB
4. Diese Daten hab ich in meine Datenbank gehängt und nach nicht mal 5 Minuten kamen Beschwerden dass das Internet teilweise nicht mehr ging.
5. Adblock mit HOSTS Dateien ist eine Technik aus den 90ern. Auch wenn Webentwickler etwas seltsam sind, aber die Technik hat sich weiterentwickelt. Inzwischen ist es nicht mehr wichtig ob du blockst, sondern wie es geblockt wird und welche Antwort da kommt.

Diese Listen sind zum großen Teil (über 90%) gelinde gesagt Schrott. Sammeln, kopieren, veröffentlichen - ohne dass das geprüft wird. Meine Lieblings Test Adresse ist „ads.twitter.com“. Wenn ich die schon sehe weiß ich die Liste ist definitiv nicht sauber und da gibts noch ein paar mehr Adressen.

Es gibt ganz, ganz wenig gute, aber die sind defakto selten. Deswegen kann ich nur empfehlen die nicht zu nutzen. Du merkst auch dann den Unterschied.

 

[orgshooter]

@MrT69
Also das heißt, Netguard Pro mit KeWeOn DoT DNS und keine Filterliste oder bei personalDNSFilter alle Listen abwählen?

Ich freue mich schon auf die Antworten der restlichen Fragen!

 

[MrT69]

Ja genau… wie gesagt, rein aus der Erfahrung.
Und ich denke wenn ich dir mal die technischen Details darlege, dann wird’s verständlicher.

Aber ich sag’s immer wieder, für Feddback und Verbesserungsvorschläge bin ich immer zu haben.

 

[orgshooter]

Vielleicht wäre dann sowas auch schon Anlass für den "neuen" Thread

 

[orgshooter]

@MrT69 ich komme aktuell nicht mit der MyFritz-App auf meine Fritzbox, wenn ich die DoH-Server eingetragen habe. Statt dem Anmeldebildschirm erhalte ich die Meldung "Nicht mit Heimnetz verbunden..."!
Nebulo zeigt mir in diesem Zusammenhang folgendes an:

Nachdem ich jetzt vorerst MyFritz ausgenommen, komme ich (logischerweise) wieder drauf.

Ist das wegen "crashlytics" gewollt?

Beim S10 mit den DoT-Servern klappt der Zugriff über die App problemlos!
Heißt dies, das DoH effektiver ist? In der Hinsicht bin ich Laie

 

[MrT69]

Wieso verwenden die Crashlytics? Das ist ja hart.
Ich kann die Adresse freigeben - die Frage stellt sich aber wieso kommt man wegen der Adresse nicht mehr auf MyFritz?

Long Story Short, ich hab ja einen guten Draht zu AVM, die werden auch bei den Betatest helfen wenn da mal was richtiges hinter keweon steht.

Aber das ist heftig. Das darf eigentlich nicht sein denn das würde bedeuten das MyFritz von Crashlytics abhängig ist.

 

[orgshooter]

@MrT69 aber wie gesagt, das Problem besteht nur mit Nebulo und den DoH Servern! Mit personalDNSFilter und den DoT-Servern nicht!

Und noch was anderes:
Wenn ich in meiner Fritzbox die folgenden DNS-Server einstelle

dann kommen wir mit der Nintendo Switch nicht mehr ins Intenet (Youtube und Fortnite klappen beispielsweise nicht).
Mit dem Smartphone im selben WLAN und KeWeOn als DNS in Blokada eingestellt gibt es keine Probleme!

Woran kann das liegen?
Ich muss jetzt (leider vorerst) wieder die Provider-DNS dort einstellen, sonst gibt es Ärger im Hause.

 

[MrT69]

Also YouTube geht mit Garantie. Fortnite darf auch keine Probleme machen.

Tu mir mal bitte einen Gefallen und nutze die beiden Server auf der FB:
213.239.207.143
213.239.212.148

Noch ne Frage zu Crashlytics & Thema FB.
Gibt es da eine Optione sowas wie „Analyse oder Diagnose mit AVM teilen“ und wenn ja, ist die aktiv? Wenn du sowas aktiv hast und deaktivierst, hast du dann immer noch MyFritz Probleme?

 

[orgshooter]

213.239.207.143
213.239.212.148

Bringt keine Änderung. Keine Internetverbindung mit der Switch:

Des weiteren:

„Analyse oder Diagnose mit AVM teilen“

Haken bei Protokoll senden aktiviert sich sofort wieder!
Anscheinend funkt die App permanent im Hintergrund?
Probleme bestehen aber trotzdem nur bei Nebulo mit den DoH-Servern! Liegt es vielleicht an "DNS over HTTPS"?
...
Nachtrag: Ich komme mit Nebulo auch über das Total Commander LAN-Plugin auf die FritzNAS, wenn ich dieses Plugin nicht rausnehme. Es wird wohl durch Nebulo nicht erkannt dass ich in meinem Heim-Netz bin!
Also da brauchst du erstmal nicht weiter zu suchen.

 

[MrT69]

@orgshooter
Ich würde dich um 2 Dinge bitten.

1. Kannst du mal bitte Fortnite (YouTube) nochmals prüfen? Ich hab schon eine halbe Stunde gebraucht um da überhaupt anzumelden - zocken is so gar nicht mein Ding.

2. Crashlytics ist bei mir komplett offen. Warum? Ich hab mich vor knapp mit mehreren deutschen (Freeware) App Entwicklern unterhalten und da haben wir gemeinsam Crashlytics auseinander genommen. Die sind 100% sauber - und da verlasse ich mich auf die. Ich hab das leider selbst verwechselt mit amplitude.com - das ist übrigens in Clubhouse verbaut - und hab das vorgestern völlig durcheinander gebracht. Es dürfte eigentlich bei dir nicht geblockt sein. Kannst du das nochmals verifizieren?

Generell meine Frage - warum nutzt du eine DNS Change App? Du weißt schon dass du DoT (DNS over TLS) direkt am Handy nutzen kannst? Ob keweon oder nicht, das wäre definitiv sogar schneller.

 

[orgshooter]

Kannst du mal bitte Fortnite (YouTube) nochmals prüfen?

Mit welchen DNS-Servern an der Fritzbox? Bei diesem Problem betrifft es nur die Switch.

warum nutzt du eine DNS Change App?

1. Ich dachte DoH wäre besser als DoT (daher die Frage in [keweonDNS][Online Security und Adblock][Ohne Root][Offiziell-Support])
2. Weil ich so noch einen alternativen Server einstellen kann, falls der erste nicht erreicht wird! Aktuell habe ich beide DoT-Zertifikatsserver in personalDNSFilter hinterlegt.
213.239.207.1
107.191.55.215
Ich denke aber hier liegt das Problem an Nebulo

Nachtrag: Ich komme mit Nebulo auch über das Total Commander LAN-Plugin auf die FritzNAS, wenn ich dieses Plugin nicht rausnehme. Es wird wohl durch Nebulo nicht erkannt dass ich in meinem Heim-Netz bin!
Also da brauchst du erstmal nicht weiter zu suchen.

 

[MrT69]

@orgshooter

Mit denen die ich dir mitgeteilt habe. Ich selbst hab die auch immer drin.

213.239.207.143
213.239.212.148

Mit Nebulo hab ich auch jetzt 2 Wochen mit einem User aus Griechenland experimentiert - da hab ich mit Hetzner eine echt miese Latenz. Schau mal ob bei dir die Option "DNS Cache nutzen / aktiv" (oder so ähnlich) aktiviert ist - und wenn ja, dann deaktivier die mal bitte.

 

[orgshooter]

@MrT69
Danke.
Werde ich heute Abend testen.

Kannst du (oder jemand anderes) später auf meine Fragen eingehen?

1. Sollte ich am S10 die eigenen Filterlisten in personalDNSFilter deaktivieren?
2. Ist Nebulo mit den DoH Servern (ohne weitere Filterlisten) besser als die DoT-Variante mit Zusatzlisten am S10?
3. DNS Namensauflösung im WLAN mit S10/Tab S6 Lite jeweils im Gerät oder erst an der Fritte (ohne Zertifikat)
4. DNS-Schutz jetzt auch an den Notebooks im Fritten-WLAN gegeben?

 

[MrT69]

@orgshooter Klar doch!!

1. Sollte ich am S10 die eigenen Filterlisten in personalDNSFilter deaktivieren?

Ja. Mit meinen DNS Server merkst du das schnell dass das keinen Sinn macht. Ich filtere zum einen "anders" und zum anderen brauch sich meine Datenbank nicht verstecken. Mal ein paar Zahlen:

Online Datenbank: 104.525.781 Einträge
AntiVirus: 53.984.943 Einträge
Gesamt: 2.798.418.710 (Nicht Online weil ich einfach nicht die Performance habe um die Online zu stellen.)

Zum einen kommt es auch drauf an WIE man das ganze filtert einfach "zumachen" ist inzwischen oftmals sinnlos weil dann irgendwelche "Adblock" Erkennungen drauf laufen. Zum anderen enthalten diese Listen zu viele Fehler, weshalb ich immer wieder bei Usern feststelle, abschalten und gut ist. Klar, es gibt Leute die sagen mir reicht das und wenn's passt - bitte. Ich bin mit den DNS schließlich auch nicht fehlerfrei, noch hab ich keine KI dahinter. Das ist das wo ich allerdings hin möchte.

Ist Nebulo mit den DoH Servern (ohne weitere Filterlisten) besser als die DoT-Variante mit Zusatzlisten am S10?

Zum einen ist DoH wie auch DoT, also beides verschlüsselt. DoT sollte schneller sein, DoH ist allerdings effektiver wenn du in Hotspot bist. Da hol ich jetzt weiter aus um das zu erklären.

DoH und DoT ist beides verschlüsselt. DoT läuft auf Port 835 und ist nichts anderes als "DNS" über TLS. DoH ist da etwas anders, das wandelt die DNS Anfragen in ein JSON-Format um und macht ein HTTP Format draus. DoT ist logischerweise schneller. Da aber viele Hotspotbetreiber nahezu alle Ports außer 443 und 80 geschlossen haben, kommst du mit DoT in öffentlichen Hotspots oder Hotels nicht raus. Da empfiehlt es sich dass du DoH nutzt, denn das ist Port 443 und hat den Vorteil es kann nicht gefiltert werden. Was du also nutzt, ist völlig egal, beides ist vom DNS her safe. Ob und wie es schneller geht hängt von der App, vom Server und von deiner Verbindung ab. Ein generelles "dieses ist schneller als das" kann man hier leider nicht sagen.

 DNS Namensauflösung im WLAN mit S10/Tab S6 Lite jeweils im Gerät oder erst an der Fritte (ohne Zertifikat)

Lass ich mal das Zertifikat außen vor. Die Namensauflösung sollte immer im WLAN gemacht werden. Warum? Weil das zum einen schneller ist und zum anderen gehst du dann nicht an der Fritzbox vorbei. Beim DNS ist es so, der erste DNS Server hat das Sagen.
Wenn du das nur am Handy nutzt, zum Beispiel zum testen, dann laufen die DNS Anfragen wie folgt:

Handy >> DNS Server >> Internet

Also kannst du logischerweise nur über die IP Adresse mit der Fritzbox reden. Wenn du allerdings die FB nutzt, dann geht es wie folgt:

Handy >> Fritzbox (Cache) >> DNS Server >> Internet

In dem Moment nutzt du den DNS Cache der FB und die sorgt dafür dass du die DNS Server erreichst. Ergo, damit geht es zusätzlich etwas schneller und der Rest kommt bei deiner 4. Frage.

Das Zertifikat ist nur dann sinnvoll wenn du mit keweon das volle Programm haben willst. Ja, derzeit noch selbstsigniert, aber es ist bei dem Thema lediglich eine Frage des Geldes. Ich kann's leider noch nicht machen. Du kannst allerdings die DNS Server selbstverständlich auch ohne Zertifikat nutzen, aber dann gibt es zu viele Fehler (siehe bild[.]de)
Bei mir ist es so, ich hab die keweon am Router eingetragen und - logischerweise - auch das Zertifikat überall draufinstalliert, selbst auf dem AppleTV. Da ich beim meinem Samsung das Zertifikat nicht installieren konnte oder durfte, bin ich auf AppleTV umgestiegen.

DNS-Schutz jetzt auch an den Notebooks im Fritten-WLAN gegeben?

Das ist die grundsätzliche Idee dahinter. Adblocker gehen entweder als App - oder als Plugin - und das in einer Welt in der mittlerweile der Kühlschrank online ist? Was ist z.B. mit SmartTV, XBox, Playstation, was weiß ich noch alles - deshalb macht für mich Adblock als App oder als Browser Plugin keinen Sinn. Deswegen - an einer Stelle wird es geändert und alles ist safe.
Zum anderen wird ja Werbung inzwischen missbraucht um Daten zu sammeln und auch Geräte zu infizieren. Selbst YouTube hat das schon betriebe und Mining Adware über deren Werbeplattform verteilt. Wäre keweon nur eine weiterer "Adblocker" - dann wäre es langweilig. Ich hab inzwischen von Unternehmen & Konzernen Vorbestellungen vorliegen - und da sind ein paar große Nummern dabei - allerdings kann ich denen nichts verkaufen, weil mit der derzeitige Umgebung, das geht gar nicht und Investoren bekomme ich keine weil ich keine Daten sammeln will (und werde). Bei solchen Dingen würde ich mich nicht als Stur, eher als Meinungskonsequent bezeichnen.

Was ich damit sagen will, das ist aus meiner Sicht ein echter Beleg, dass nicht nur die Idee, sondern auch die Lösung mehr als tadellos läuft. Na ja, wie sagte die Entwicklungsabteilung von AVM? Luft nach unten ist keine mehr, aber gewaltig Luft nach oben. Komm ich aber klar damit, weiß ich ja schließlich selbst.

Deswegen - auch mal ein Auge zudrücken wenn's nicht 100% läuft und bitte nicht mit Google vergleichen. Die haben ein paar EURO mehr Budget als ich um ein paar DNS Server hinzustellen.

 

[orgshooter]

Lass ich mal das Zertifikat außen vor. Die Namensauflösung sollte immer im WLAN gemacht werden. Warum?

Hier hab ich wohl einen Denkfehler.
Am Smartphone/Tablet ist im Wlan nur das DNS aktiv, wenn ein PrivatesDNS/DNSChanger eingesetzt wird, ansonsten wird das von der nachgelagerten Stelle (also Fritzbox) genutzt?
Da ich am PC/Switch nichts eingestellt habe greift dann entweder die ProviderDNS/eingestellter DNS-Server?

Des weiteren bin ich hier im Thread (abgesehen von den letzten 10 Seiten) erst auf S.37, daher die Frage von vorhin: Ist der DNSChanger heute im Rahmen von Privates DNS (im Android System) notwendig?

 

[MrT69]

@orgshooter
Irgendjemand muss die DNS Auflösung machen und (meistens) ist es die Fritzbox. Wobei die Fritzbox hier selbst nichts wirklich macht, sondern eben die "Resolver" Rolle übernimmt. Also pragmatisch erklärt:

Dein Handy an die Fritzbox: Hey, ich will zu Facebook.
FB: Warte kurz (schaut in den Cache) - kenn ich nicht, aber frag ich nach (nimmt die eingetragenen DNS Server oder die zugewiesenen vom Provider)
Antwort wird gespeichert (Cache) und beim nächsten mal kennt die FB die IP immer zwar noch nicht, weil die nur ein Resolver ist, schaut aber im Cache nach und wenn keine TTL (Time to live) erreicht ist, steht die Antwort noch drin und du kannst zu Facebook ohne dass die nachfragen muss.

Also ganz abstrakt erklärt Und mit der DNS Changer App läuft das eben dran vorbei, denn der nächste DNS Server steht ja in deiner App. Da kann die FB also gar nicht gefragt werden.

Das mit dem "Privates DNS" ist leider NUR DoT. Also das geht, wie oben beschrieben, fast immer, aber - wie gesagt, in öffentlichen Hotspots und ähnlichem kommst du damit nicht weiter. Merkst auch schnell. Einlogen und Internet geht nicht mehr. Warum die da nur DoT verbaut haben obwohl Google ja DoH erfunden hat oder warum die das nicht auf Port 443 schieben, das ist mir in 100 Jahren noch ein Rätsel. Als ich noch auf Android war, hatte ich immer PrivatesDNS an, aber als "Backup Lösung" immer Nebulo drauf.
Beim iPhone kann man das direkt, wie beim Android, über das iOS mit Profilen regeln und selbst da bin ich immer auf DoT.

Nur so am Rande - so sieht das bei mir aus:

Spoiler: iPhone

 

[orgshooter]

Okay, und weil die Fritzbox schneller wäre würdest zuhause im Wlan (mit keweonDNS) das DNS des Mobilgerätes abschalten?

 

[MrT69]

@orgshooter
Also ich mach's nicht, weil zu faul mit dem hin und her, aber generell - ja, das wäre die logische Handhabung. Ob jetzt keweon oder nicht, das Switchen ist kein MUSS, aber wenn du mit deinem Handy an den "internen Systemen" herumspielst und wenn du es zuhause intensiver nutzt, dann macht das schon Sinn.

Es gibt auch Leute die sagen, alles im Netzwerk muss verschlüsselt sein. Muss. Dann wäre es wiederum ungünstig. Allerdings - und ich komme ja aus dem Bereich Security - wenn du deinem eigenem dir gehörendem Netzwerk nicht vertraust, dann hast du eh ganz andere Problem. Da hilft auch kein TLS mehr

 

[orgshooter]

Danke.
Mir ging es um das Verständnis und Prinzip der Reihenfolge!

Ich will ja nur (weitestgehend) keine Werbung und wenig (bis gar nicht) getrackt werden.

 

[MrT69]

Egal ob Windows, Linux oder Unix (oder was auch immer) - alles arbeitet nach exakt dem gleichen Schema:

1. Lokaler Cache (HOSTS Dateien werden immer in den Cache geladen)
2. ERSTER bekannter DNS (der eingetragen ist bzw. der, der via DHCP zugewiesen wurde)
3. Round Robin DNS (d.h. wenn die Zone nicht selbst auf dem DNS Server liegt, dann sagt der DNS, kenn ich nicht, aber ich frag den nächsten den ich kenne, was in der Regel seinen Forwarder/Provider sind)
4. RootDNS (der leitet die Anfrage an die zuständigen Zonenverwaltungs DNS Server z.B. für DE sind es die ns.nic.de)

und erst wenn da kommt, keine Info - dann kriegst du eine NXDOMAIN Antwort (Not existing Domain Response) im Browser