AdguardDNS, ControlD oder NextDNS

Verwendet ihr einen der oben genanten DNS Diensten um Werbung und Tracker zu blockieren ?
Wenn ja, welche Erfahrungen habt ihr gemacht ?
Gibt es für euch einen Favorieten ?
Welche Blocklisten nutzt ihr, welche sich wirklich sinnvoll ?

Nutze AdguardDNS für mein Mobiltelefon, bisher klappt das einwandfrei und ich bin zufrieden mit dem Dienst.
War auch mal bei NextDNS, kann dir gar nicht mehr gesagt, warum ich dann bei AdguardDNS hängen geblieben bin.

Bei Adguard hab ich fast alles ausgewählt.

ControlD kannt ich noch gar nicht, schau ich mir mal an.

Ich hatte NextDNS vor 2/3 Jahren ausprobiert, da kommen allerdings keine Neuerungen mehr, deswegen hatte ich auch damals schon AdGuard ausprobiert.
Controld habe ich jetzt erst vor einem Monat ausprobiert. Generell sagt mir controld am meisten zu von den Cloudanbietern.
Grade vorgestern habe ich allerdings bei mir wieder auf pihole + wireguard VPN umgestellt für unterwegs. Das, was mir fehlt bei Cloudanbietern, ist, das einpflegen eigener Blocklisten.

1 „Gefällt mir“

Dito bei mir, und zwar nicht über die App, sondern über Konfigurationsprofile für iOS und iPadOS. Dadurch kann ich nichts inviduell whitelisten, hatte damit aber nie Probleme.

Was mich nervt, ist die kurze Gültigkeit der Zertifikate für diese Profile. Kennt sich wer aus, ob das ein Risiko ist, wenn man die nur von Zeit zu Zeit erneuert? Dazu muss das alte Profil gelöscht und ein neues von der Adguard-Website installiert werden. Über die russisch-zyprische Firmengeschichte kann man geteilter Meinung sein, aber immerhin ist alles Open Source.

Auch ich nutze Adguard DNS, nachdem ich Adguard Home genutzt hatte und durch einen Hardware-Fehler meines Proxmox-Server ausgefallen war…

Da dort dieselben Blocklisten vorhanden waren, die ich auf meinem Home eingerichtet hatte, war für mich dann kein Unterschied mehr (außer etwas mehr Latenz) :slight_smile:

Ich nutze es in Kombination auf den Android mit dem Adguard Pro-App, vielleicht hilft es deswegen gegen die kurze Zertifikatsgültigkeit?

Wo diese Programmierer und Firmengründer geboren wurden, ist mir ehrlich gesagt total egal, schließlich hatten die ja gar keine Wahl! Denn solange ihre Produkte den informierten Nutzer guttun und dies auch mit Open Source untermauern können, ist das ihr gutes Recht damit auch Geld zu verdienen!

1 „Gefällt mir“

Ich bin in der letzten Zeit sehr intensiv dabei alle 3 Anbieter zu testen.

Bisheriger Stand:

NextDNS:

  • war lange irgendwie tot was die Entwicklung angeht. Aber in der letzten Zeit hat sich dort auch wieder einiges getan. Aktivere Antworten des Teams auf Fragen/Bugs, neue Features (API Keys können gelöscht werden, Sortierung von Blocklisten, es kann in der Query-List White- und Blacklisting vorgenommen werden, …)
  • deren Services sind sehr ausfallsicher, die Server sehr nahe zum Standort (niedrige Latenz)
  • leider gibt es dort auch einige „Karteileichen“ (sehr alte Blocklists) und bei manchen Dingen sträuben sie sich auch, neue Features zu bringen
  • CLI wird aktiv entwickelt

AdGuard DNS:

  • ist so ein Dienst, wo viele gar nicht wissen, dass es den wohl gibt. Von daher glaube ich, dass deren Verbreitung auch nicht so groß ist (sieht man auch an den weniger vorhandenen Servern weltweit.
  • schönes Interface mit ein paar fehlenden Features
  • mehr Möglichkeiten als NextDNS
  • leider hakt es hier hin und wieder und die Server haben einen Ausfall
  • Probleme, wenn man Netzwerke oft wechselt mit Devices - gerade iOS/macOS haben dann Probleme und div. Services sind nicht erreichbar (DNS .mobileconfig Profile wechseln und zurück zu AdGuard ist der Workaround)
  • ob es DNS Leaks sind oder an deren „Struktur“ liegt… gute Frage (vgl. https://github.com/AdguardTeam/AdGuardDNS/issues/227 bzw. prüfen kann man es via: https://dnscheck.tools und/oder https://browserleaks.com/dns
  • gibt es ein CLI? Glaube nicht (bin mir aber nicht sicher)

ControlD

  • so etwas wie immer der 3. im Bunde mit weitaus mehr Features (auch deren Proxy Feature ist eine Sache, die sonst keiner hat, aber auch separat erworben werden kann > finde ich gut, da ich es gar nicht will)
  • ansonsten finde ich, dass ControlD in der letzten Zeit sehr viel sehr gut macht. Schauen wir mal, wo dort die Reise hingeht
  • Serveranzahl, Erreichbarkeit waren in Vergangenheit (früher) nicht so gut, werden aber immer besser und Umfangreicher
  • es gibt guten Kontakt bzw. Hilfe über deren Discord Channel (ja Discord - aber immerhin ein direkter Weg sich aktiv auszutauschen)
  • die Möglichkeiten sind enorm
  • sehr gute Hilfeseite und Erklärungen
  • CLI wird aktiv entwickelt

Zusammengefasst finde ich eigentlich AdGuard DNS sehr gut, jedoch hakt es bei mir immer mal wieder was ich dann wiederum sehr nervend finde, da es auch die Familie als Profil(e) bekommen soll…
Denke, ich werde wenn sich dort nichts bessert auf ControlD gehen.

NextDNS ist erst dann wieder etwas für mich, wenn wirklich noch mehr Aktivität ins Projekt gelegt wird von den Entwicklern/Inhabern.

Und welche Blocklisten nutzt ihr so ?

Ich nutze und kann die Listen von Gerd Hagezi empfehlen.

https://github.com/hagezi/dns-blocklists

3 „Gefällt mir“

Jup, da nutze ich die pro plus. Zusätzlich noch die Big list von oisd.nl

1 „Gefällt mir“

Mal eine Verständnisfrage zu den hier gelisteten Diensten.

Mullvad, sourceforge und andere bieten auch DNS Dienste incl. mehr oder weniger umfangreichen Blocklisten an.
Der Unterschied besteht darin, dass ich dort keine eigenen Blocklisten verwenden kann. Sozusagen ein managed DNS Service.

Gibt es sonst noch weitere Unterschiede?

Bei solchen Diensten (Empfehlungen sind u.a. dnsforge.de oder dismail.de) hat man halt keine „Einstellmöglichkeiten“ und kann auch keine Fehler in der Auflösung finden usw.

Sozusagen ist man dann auf die Listen der entspr. Anbieter angewiesen.

1 „Gefällt mir“

Ja stell es dir wie ein managed PiHole vor, vorteil ist auch das du pro gerät, eine eigene Blockliste definieren kannst etc.

Leider ist es bei Linux echt ansrengend einen DNS-over-HTTPS oder DNS-over-TLS zu hinterlegen.

1 „Gefällt mir“

Wenn ich das richtig verstehe, erhält jeder dieser Dienste Kenntnis über mein komplettes Surfverhalten. Das ist bei mehreren Millionen Nutzer natürlich ein schwergewichtiges Informationspaket über eine Menge Menschen.
Ich frage mich, ob diese Informationen, die bestimmt Gold wert sind, wirklich ungenutzt bleiben.
Wie seht ihr das, habt ihr da das vollste Vertrauen?

Was ist denn so anstrengend daran, eine Textdatei zu bearbeiten?

systemd-resolved kann schon länger DoT.

Dazu müssen die DNS-Server in die /etc/systemd/resolved.conf und „DNSOverTLS=yes“ eingetragen werden.

1 „Gefällt mir“

Um dieses Risiko etwa zu reduzieren(?) lasse ich mehrere DNS Upstreams meine Anfragen bearbeiten:

Oder interpretiere ich das falsch, dass nur die schnellste Antwort (aber immer mal ein anderer Upstream) protokolliert wird?

Laut https://docs.pi-hole.net/ftldns/dns-resolver/ vermute und interpretier ich wohl richtig:

We keep using the fastest responding server now for 1000 queries or 10 minutes (whatever happens earlier) instead of 50 queries or 10 seconds (default values in dnsmasq ) … send queries much less often to all servers.

Aber wenn ich das richtig nachgelesen habe, nur über die IP Adresse und nicht über eine Domain und Adgard und co nutzen eine custom Domain um die geräte eindeutigen listen zuzuordnen.

//Edit
Ah ok anscheinend kann man auch IP#DOMAIN machen.
https://www.man7.org/linux/man-pages/man5/resolved.conf.5.html

//Edit2
Also ich bin jetzt in einen bug gelaufen der das starten von Apps extrem verzögert: https://discussion.fedoraproject.org/t/firefox-slow-to-start-due-to-waiting-for-systemd-resolved/85051
Sobald ich DNSOverTLS=yes einstelle, benötigt jede apps die aufs web zugreift min 2 minuten um zu starten.

Die Frage ist, ob ein angemieteter VPS bei Hetzner und Co. mit eigenem AdGuard Home (oder Pi Hole) da die sichere/bessere Variante ist?

Dann ist man zwar nicht direkt 3rd Party DNS-Anbieter (wie NextDNS und Co.) ausgesetzt, aber eben Hetzner o.ä. und man ist über halt die eine DNS IP identifizierbar, oder liege ich da falsch?