PiHole für DNS - was kann mein Anbieter sehen?

[Rookie19]

Kein Ding. Mir gehts eher darum, dass in letzter Zeit immer mehr DNS Anbieter auftauchen die solche Anfragen auf Phishing Seiten weiterleiten. Das möchte ich nach Möglichkeit verhindern. Und nur weil Quad9 AKTUELL gut zu sein scheint heißt das nicht, dass sie es auch ewig bleiben. Und außerdem kann ich mit einem lokalen DNS auch mehr und besser Filtern.

 

[maik005]

@swa00
Sobald der VPN Tunnel steht, ist ALLES(!) zwischen Endgerät und VPN Anbieter verschlüsselt!
Auch die DNS Anfragen.

Der Internetanbieter sieht dann nur noch eine Verbindung zu Server X und die Datenmenge sowie das genutzte Protokoll.
Die gesamten Inhalte sind aber verschlüsselt.

Beiträge automatisch zusammengeführt: 11.04.2024

Mir gehts eher darum, dass in letzter Zeit immer mehr DNS Anbieter auftauchen die solche Anfragen auf Phishing Seiten weiterleiten.

Davon habe ich ja noch nie etwas gehört.
Natürlich ist das möglich.
Aber welche kleinen DNS Anbieter sollen das sein?
Google, cloudflare, u.ä. große, seit Jahren bekannte, da wirst du das sicher nicht haben.

 

[Skyhigh]

@swa00 eigentlich wollte ich mich raus halten, da ich bei Netzwerktechnik zwar über den 0815 User hinaus gehe, aber das wissen dann doch nicht extrem herausragend ist. Ich lerne jedoch gerne dazu

Daher Frage ich mich:
Was ist mit DNS over HTTPS (DoH)?
Dabei wird die Anfrage auf dem PC verschlüsselt, erst am DNS server wieder entschlüsselt, dort wird die Anfrage bearbeitet und die Antwort verschlüsselt zurück gesendet.

Das sich die Verbindung und die Ziel-IP dadurch nicht ändern und der Provider diese Daten mitbekommt ist klar. Die DNS Anfrage sollte für den Provider jedoch "verschleiert" sein (solange man nicht dessen DNS Server nutzt^^). Oder verstehe ich das falsch?

Und darum geht es dem TE doch, Zumindest wenn ich das richtig verstanden habe

(Edit: der lokale pihole braucht im Prinzip die DoH Verbindung nach aussen, wenn ihm eine Adresse unbekannt ist. lokal ist DoH nicht nötig und sowieso nicht "einfach" machbar, das gewurstel mit selbst signierten Zertifikaten lohnt sich im lokalen Netzwerk nicht)

 

[maik005]

Die DNS Anfrage sollte für den Provider jedoch "verschleiert" sein (solange man nicht dessen DNS Server nutzt^^).

richtig.

der lokale pihole braucht im Prinzip die DoH Verbindung nach aussen, wenn ihm eine Adresse unbekannt ist. lokal ist DoH nicht nötig und sowieso nicht "einfach" machbar, das gewurstel mit selbst signierten Zertifikaten lohnt sich im lokalen Netzwerk nicht

Aber, ohne VPN Anbieter sieht der Provider dann trotzdem noch die aufgerufenen Webseiten.
Da zwar die DNS Anfragen von einem externen Server kommen, das Endgerät dann allerdings zu der IP des Zielservers auch die aufgerufene Webseitenadresse mit sendet, damit der Zielserver weiß, welche Webseite aufgerufen werden soll?
Es können ja viele Webseiten unter einer IP Erreichbar sein? Deswegen erreicht man viele Webseiten auch nicht direkt über die IP.

Bsp.
vodafone.de
hat lt. DNS Anfrage die IP 139.7.147.49
Ruft man diese aber direkt im Browser auf kommt folgendes:

 

[swa00]

@Skyhigh

Was ist mit DNS over HTTPS (DoH)?

Ja, ich merke , das ist Alles verwirrend

Der Punkt ist der Verbindungssaufbau - NICHT nachdem die Verbindung bereits aufgebaut wurde.
Das wollte der TE wissen.

Also egal welche gelagerte Verschlüsslung du auch benutzt oder wie viele Proxy es sind :
Über den Provider wird immer eine Ziel-IP benötigt.

Dabei wird die Anfrage auf dem PC verschlüsselt, erst am DNS server wieder entschlüsselt, dort wird die Anfrage bearbeitet und die Antwort verschlüsselt zurück gesendet.

Stop, du bist hier eindeutig einen Schritt zu früh : Das Verschlüsselungs-Zertifikat liegt am Ziel , nicht auf deinem PC.
Und das Zertifikat weis du erst dann, wenn du die Verbindung hergestellt hast.

 

[maik005]

@Rookie19
also:
Wenn es dir nur darum geht DNS Sperren zu umgehen, dann reicht es bereits, wenn du in der FritzBox einen anderen DNS Server einstellst, dass muss nicht mal über DoT sein, da reichen die direkten DNS Server IPs für unverschlüsselte Anfragen.

Willst du nicht, dass der Provider die unverschlüsselten DNS Anfragen sieht, dann nimmst du DoT in der FritzBox oder DoT, DoH o.ä. im PiHole.

Willst du nicht, dass der Internetanbieter "irgendwas" von deinem Internetverkehr sieht, bleibt nur ein VPN Anbieter.
Dafür sieht dieser dann vieles, kann ggf. mit den daraus erhaltenen Daten arbeiten.
Kann jedes Gerät, auf dem du das VPN nutzt dir zuordnen, egal wo du bist usw.

Wenn du den PiHole nutzen willst ist es wichtig, dass du diesen richtig konfigurierst und auch in der FritzBox an der richtigen Stelle einträgst.
Nämlich unter Heimnetz - Netzwerk - Netzwerkeinstellungen - IPv4/IPv6 EInstellungen.
Dort jeweils die IP des PiHole als lokalen DNS Server.
Dann bekommen alle Geräte im Heimnetz diese IPs von der FritzBox über DHCP als DNS Server mitgeteilt.
Die FritzBox selbst nutzt dann aber weiterhin den unter Internetzzugangsdaten - DNS Server eingestellten DNS Server.
Hast du also bei Geräten am Gerät selbst feste IPs eingetragen und dort die IP der FritzBox als DNS Server eingetragen, müsstest du den DNS Server (am besten zusätzlich, ggf. auch alternativ) unter Internet - Zugangsdaten - DNS Server in der FritzBox auf die PiHole Adressen ändern.

ABER:
Wenn du ein VPN nutzt, nimmt dieses eigentlich nur einmal beim Verbindungsaufbau diese DNS Server.
Im VPN Tunnel selbst werden dann andere DNS Server genutzt, die du i.d.R. in der VPN Client App einstellst. Da wird dann nicht mehr dein PiHole benutzt.

Beiträge automatisch zusammengeführt: 11.04.2024

Stop, du bist hier eindeutig einen Schritt zu früh : Das Verschlüsselungs-Zertifikat liegt am Ziel , nicht auf deinem PC.

aber es wird ja erstmal die HTTPS Verbindung zum DNS Server aufgebaut, erst wenn diese besteht, wird dann verschlüsselt die DNS Anfrage verschickt und empfangen.

Also egal welche gelagerte Verschlüsslung du auch benutzt oder wie viele Proxy es sind :
Über den Provider wird immer eine Ziel-IP benötigt.

außer eben im VPN Tunnel.
Da kennt der Provider einzig die Ziel IP zum Server des VPN Anbieters.
Welche Webseiten da aufgerufen werden, welche Daten fließen (abgesehen von der Datenmenge) sieht der Provider dann nicht, sobald der Tunnel aufgebaut ist.

 

[Rookie19]

Willst du nicht, dass der Provider die unverschlüsselten DNS Anfragen sieht, dann nimmst du DoT in der FritzBox oder DoT, DoH o.ä. im PiHole.

Aber die Ziel IP müsste der Provider dann ja trotzdem kennen, da er ja zwischen Server und mir vermittelt. Da ist dann die Namensauflösung doch egal, denke ich mir. (Hier haben wir noch keinen VPN, um den gehts erst ab hier ...)

außer eben im VPN Tunnel.

Wieso? Die Verbindung zum VPN wird doch durch den Provider ermöglicht, oder? Meine Anfrage zu andorid-hilfe.de wird also über meinen Provider an den VPN Anbieter weitergeleitet und dieser leitet mich dann hierher weiter.

Und DoH bringt mir soweit ich das verstanden habe dann ja auch nichts, weil der DNS mich ja nicht weiterleitet, sondern nur die Namen auflöst, oder? Quasi so: Ich frage den DNS wie die IP von "andorid-hilfe.de" ist, dieser sagt sie mir und damit geh ich zum Provider und sag dem, er soll mich hierher bringen???

 

[maik005]

@Rookie19
Es ist zu viel durcheinander.
Also...

Aber die Ziel IP müsste der Provider dann ja trotzdem kennen, da er ja zwischen Server und mir vermittelt. Da ist dann die Namensauflösung doch egal, denke ich mir. (Hier haben wir noch keinen VPN, um den gehts erst ab hier ...)

Natürlich kennt der Provider die Ziel IP, muss er ja auch ohne VPN.
Dir ging es doch um DNS Sperren und die kannst du eben mit einem anderen DNS Server umgehen, der muss dazu nicht einmal verschlüsselt sein.

Wieso? Die Verbindung zum VPN wird doch durch den Provider ermöglicht, oder?

Ja natürlich, der Internetprovider bietet dir ja den Zugang zum Internet.

Meine Anfrage zu andorid-hilfe.de wird also über meinen Provider an den VPN Anbieter weitergeleitet und dieser leitet mich dann hierher weiter.

Ja, allerdings musst du dir vorstellen, dass zwischen dir und dem VPN Anbieter in einer "fremden unverständlichen Sprache" kommuniziert wird.
Dein Internetprovider sieht also, dass dort Daten übertragen werden, versteht aber nicht was für Dateninhalte.

Und DoH bringt mir soweit ich das verstanden habe dann ja auch nichts, weil der DNS mich ja nicht weiterleitet, sondern nur die Namen auflöst, oder?

Doch, durch DoH sieht der Internetprovider nicht den Inhalt der DNS Anfrage oder das es überhaupt eine DNS Anfrage ist. Das kann höchstens aufgrund der Adresse des DoH Servers vermutet werden.

Ich frage den DNS wie die IP von "andorid-hilfe.de" ist, dieser sagt sie mir und damit geh ich zum Provider und sag dem, er soll mich hierher bringen???

Ja, ohne VPN schickt dein Gerät dann, nachdem es über DNS die IP bekommen hat, die Anfrage an die IP Adresse des Zieles über den Provider.

Ich verstehe aber immer noch nicht worum es dir geht.
Da du vieles sehr unterschiedliches durcheinander wirfst.
DoT/DoH, VPN, DNS ...

 

[Rookie19]

Ich verstehe aber immer noch nicht worum es dir geht.

Um allgemeines Verständnis. Einen DNS hab ich schon ewig in der Fritzbox drin. Was der macht ist mir schon klar. Nur wie diese Verbindungen funktionieren WAR mir unklar.

Doch, durch DoH sieht der Internetprovider nicht den Inhalt der DNS Anfrage oder das es überhaupt eine DNS Anfrage ist. Das kann höchstens aufgrund der Adresse des DoH Servers vermutet werden.

Und ich glaube hier verstehe ich dich falsch. Meinst du mit "Inhalt" die Daten (wie zB eine Download)? Ich verstehe in diesem Satz das Wort "Inhalt" mit Bezug auf "Anfrage" und diese ist die IP Adresse bzw. der Domain Name. Ich interpretiere den Satz also so, dass mein Provider in diesem Fall NICHT sehen kann wo ich mich hin verbinden will (also das endgültige Ziel). Diese Annahme spießt sich aber mit der vorher besprochenen Aussage, dass der Provider IMMER weiß wo ich hin will. Oder ist es vielmehr so, dass der Provider die Anfrage nach "andoird-hilfe.de" nicht sieht, aber NACH der Auflösung durch den DNS mich da hin bringt und daher dann doch sieht wo ich am Ende hin will? Schließlich leitet mich ja nicht der DNS weiter, oder? Der gibt mir nur die IP, damit ich dann selber per Provider dort hin kann?!?!?!

 

[maik005]

vorhin entdeckt:

Secure SNI​

Zurück zum Anfang
Encrypted Client Hello (ECH) ist eine Erweiterung des TLS Handshake-Protokolls, die verhindert, dass datenschutzrelevante Parameter des Handshake für Akteure offengelegt werden, die sich zwischen Ihnen und Cloudflare befinden. Dieser Schutz erstreckt sich auch auf die Server Name Indication (SNI), die ansonsten bei Herstellung der TLS-Verbindung den Namen des Hosts verraten würde, mit dem Sie sich verbinden möchten.

ECH ist bislang noch nicht allgemein für Webdienste verfügbar, denen Cloudflare vorgeschaltet ist. Wir arbeiten jedoch für die Implementierung und den Einsatz dieser zu Verbesserung des Datenschutzes wichtigen Funktion eng mit Browseranbietern zusammen. Mehr zu diesem Thema erfahren Sie in dem Blog-Beitrag, in dem ECH vorgestellt wird, und in unserem neuesten Update dazu, wie für die stärkere Verbreitung dieses Schutzes gesorgt werden kann.

Browser-Überprüfung mit Cloudflare

Da gibt es auch einen Test.