In öffentlichen WLANs "DNS-Server DoH" statt "VPN" verwenden möglich?

Hallo zusammen,

bisher habe ich zum Surfen in öffentlichen WLANs und zum Banking in öffentlichen WLANs (im Urlaub) immer einen VPN-Tunnel genutzt.

Ist es stattdessen möglich, die App „Rethink DNS“ mit DNS-Server (DNS über HTTPS) „clean.dnsforge“ statt eines echten VPN-Tunnels zu nutzen, um sicher in öffentlichen WLANs zu surfen (z. B. für online banking)?
Oder benötigt man dazu einen echten VPN-Tunnel?

Über eure Antworten/Erfahrungen freue ich mich.

VPN steht für Virtual Private Network und ist eine Möglichkeit, aus der Entfernung Zugriff zu einem anderen Netzwerk zu erlangen bzw. sich in dieses einzuwählen. So, als wäre man direkt mit dem Netzwerk verbunden. Der Weg von deinem Startpunkt, also der Router mit dem du dich verbindest, bis zum Endpunkt, dem Server mit dem du dich verbindest, sind dabei verschlüsselt. Der Betreiber des Routers bekommt nur mit, dass du dich mit diesem Server verbindest. Jedoch nicht, was du dort machst.

DNS steht für Domain Name Service und dient lediglich der Ermittlung der zur Website zugehörigen IP. DNS über HTTPS schützt vor allem gegen Man in the Middle Angriffe, sodass die DNS-Anfragen nicht manipuliert werden können. Die Daten an sich verschlüsselt DNS über HTTPS nicht.

Daher ist ein VPN in öffentlichen WiFi-Netzen durchaus ratsam und kann Schutz bieten. Dabei ist es notwendig, dem Anbieter des VPN zu vertrauen, denn dieser muss die Daten aus dem VPN-Tunnel entschlüsseln und ins Netz schicken und umgekehrt. Wenn man die Möglichkeit hat einen VPN auf seinem Router zu Hause reinzurichten, sollte dies einem kommerziellen Anbieter meiner Ansicht nach vorgezogen werden. Den hast du selbst unter Kontrolle.

Also DNS über HTTPS erhöht nur bedingt die Sicherheit.

Danke für die schnelle Antwort.
Ich hatte gehofft, HTTPS würde eventuell dafür sorgen, dass meine Daten verschlüsselt übertragen werden und ich daher das VPN nicht (mehr) brauche, wenn ich im öffentlichen WLAN surfe.
Dann muss ich wohl über VPN-Anbieter nachdenken - das hätte ich gerne vermieden :slight_smile:

Das ist schon so, und inzwischen Standard. Deine Frage war nur

und das ist eine spezielle Nutzung der DNS (die o0ps so schön erklärt hat).

Aber VPN ist Tunnel-Routing – da ist die zusätzliche Verschlüsselung nur, um im Netz eine „Tunnel-Röhre“ zu bilden. Das konkurriert nicht zu HTTPS.

Sinnvollerweise ergänzt es sich (z.B. beim Surfen in öffentlichen wLANs).

1 „Gefällt mir“

Danke, langsam lichtet sich der Nebel in meinem Kopf.

Ich würde hierzu noch gerne erwähnen: Man in the Middle Angriffe auf TLS Verbindungen sind unwahrscheinlich, daher brauchst du VPN eigentlich nicht.
Solange man einen sauberen Rechner hat, gerade kein Tor nutzt, oder nicht gezielt von Geheimdiensten oder vergleichbar gut ausgestatteten Organisationen angegriffen wird, geht die Chance gegen Null.
HTTPS-Only-Modus, ohne Ausnahmen, in aktuellen Browsern reicht dick aus. DoH/DoT hilft auch gegen ein paar DNS Tricksereien. Alle anderen Angriffe brauchen momentan eine Certificate Authority (CA), Zertifizierungsstelle, die ‚bösartige‘ Zertifikate für fremde Webseiten ausstellt.

Wenn dir langweilig ist, kannst du ein Firefox Profil einrichten, und soviele von den vorinstallierten CAs rausschmeißen wie du möchtest, bis nur noch die für deine Bankwebseite o.Ä. kritische Dienste verwendete(n) vorhanden ist/sind, und dann dieses Profil verwenden. Das verringert die Chancen um Welten, sicher mehr als ein Drittanbieter(!) VPN, und spart viel Geld. Welche CA verwendet wird, kann man über das Schlosssymbol und klick auf „Verbindung sicher“ herausfinden (Verifiziert von: […] - manche Seitenbetreiber wechseln die natürlich hin und wieder).

Ein eigener VPN Tunnel nach Hause ist trotzdem sinnig, wenn man diesen zum Surfen verwendet. Muss niemand wissen, dass man momentan im Urlaub ist, oder welche Webseiten angesurft werden.

1 „Gefällt mir“

Danke für die vielen Infos und Erklärungen.

Da ich als Werbe- und Tracking-Blocker die App RethinkDNS verwende, kann ich, wenn ich es richtig verstehe, sowieso kein VPN einrichten, weil RethinkDNS die VPN-Schnittstelle zum Filtern benötigt.

Deshalb ist die Fragestellung hier gar nicht von der Hand zu weisen.
Aber, das

stimmt eben nicht! Sie sind sehr wahrscheinlich (banales Beispiel aus einer aktuellen Linkempfehlung des Forums: Post & DHL App 9.2.1.50 via APKMirror , nichts Unseriöses) und die Wahrscheinlichkeit steigt täglich!

Du kannst es nicht sehen?
Dann empfehle ich folgenden umfassenden Hinweise von mir:
Cloudflare - nun überall …?
Und alternativ noch diese vielleicht übersichtlicheren Hinweise von dawid:
Wie kommt man weg von Cloudflare? (als Website-Betreiber).

Auch das stimmt, ja. Da muss man sich für eines entscheiden, oder man nutzt einen externen, filternden DNS-Resolver per DNS-over-TLS (die Einstellung „Privates DNS“ auf Android).
Dabei kann die VPN-Schnittstelle für einen richtigen VPN genutzt werden, und der DNS-Verkehr wird über den von dir definierten DoT-Server gefiltert.

Cloudflare (aus Gründen herzlich Clownflare genannt :wink: ) ist zwar eine Seuche, aber kein Man-in-the-Middle-Angriff.
Ein Betreiber einer Webseite müsste sich dazu entscheiden (siehe den zweiten Link meines Beitrages), Cloudflare einzusetzen.
Genauso kann er im eigenen Netz einfach Daten irgendwohin ausleiten, zum Beispiel zur „Log Analyse“ zu Google, ohne dass er Google in der Webseite selbst einbinden muss - gänzlich unsichtbar für alle.

Das ist alles sehr problematisch, aber schlussendlich unvermeidbar, als Benutzer (wenn es einem nicht bekannt ist):
Es liegt alles in der Hand des Seitenbetreibers, und daher ist es auch kein MitM-Angriff, sondern einfach die Konfiguration der Webseite - Inkompetenz oder Datenschluderei des Seitenbetreibers eben.

Kein VPN, auch sonst nichts außer blockieren, hilft dagegen, und TLS ist nicht das Problem - die Webseite selbst ist es, wie eine Schadsoftwareschleuder.

Du irrst Dich und genau das zeigt Dir dann explizit
Block Cloudflare MiTM Attack
(bzw. eventuell FirefoxESR / Chromium / Edge)
an und fragt Dich, ob Du Ausnahmen sequentiell oder generell zulassen möchtest.

Wer das entschieden hat, ist egal, es ist im Ergebnis ein MitM.
Und ohne entsprechende AddOns würdest Du nicht einmal gewarnt.
Lass uns das nicht hier diskutieren. Dafür gibt es bereits mehrere textreiche Themen in diesem, im alten Forum und anderswo.
Da kann sich ja nun jeder Leser längst selbst ein Bild machen.

Weil in dem Fall CloudFlare auch noch das DNS fälscht und so dem VPN kein reelles bzw. reales Ziel mehr zur Verfügung steht.

Danke für die vielen Hinweise. :smiley:
Leider bin ich mit den Infos total überfordert, weil ich ein absoluter Laie bin.

Ich nehme mit:

  1. Ein sicherer DNS-Server (DNS über https) und sichere Websites (https) machen online-banking in öffentlichen WLANs NICHT sicherer.
  2. Ein VPN nach Hause (kein Drittanbieter) würde für die Sicherheit im öffentlichen WLAN sorgen.
  3. AdAway oder RethinkDNS kann ich dann nicht mehr nutzen, weil die VPN-Schnittstelle belegt ist.

So würde ich das auch sehen Greta.

Sofern eine Fritzbox zuhause steht empfehle ich einmal ein VPN mittels WireGuard einzurichten.

Das geht viel einfacher als gedacht.

Ich nutze diese Verbindung sogar permanent nicht nur im Urlaub.

1 „Gefällt mir“
  1. Mit Root geht auch AdAway und VPN, wobei ich dank Pi-hole via VPN kein AdAway mehr benötige…
2 „Gefällt mir“

Danke für den Tipp. Dann muss ich nur noch dafür sorgen, dass Werbung geblockt wird. Übers Handy geht das dann ja nicht mehr.

Danke für den Hinweis.

Hierzu habe ich einen Pi-Hole im Netzwerk zuhause installiert.

Somit sind alle Geräte im Heimnetz sowie alle Mobiltelefone vor Werbung und Trackern geschützt.

Zumindest soweit wie ich mir das Vorstellen.

Besten Dank.

  1. Welche Hardware benötige ich dazu?
  2. Und gibt es einfache Anleitungen für den Vorschlag mit WireGuard?:

Und ggf. auch eine einfache Anleitung für:

Ansonsten schaue ich mich auf den Kuketz-Seiten weiter um.
Danke allen für die bisherige Unterstützung! :+1:

Ja, die alte Anleitung von Tschaeggaer

Als Hardware entweder separat ein Pi oder via Docker auf einem NAS…

1 „Gefällt mir“

Besten Dank.

Bisher nehme ich, dank eurer Hilfe, folgendes mit:

  1. Da Verbindungen von öffentlichen WLANs über das (heimische) VPN und Pi-hole geleitet werden, kann ich Werbung und Malware filtern, wenn ich es richtig verstanden habe.
  2. Gilt die Weiterleitung übers (heimische) VPN und Pi-hole auch, wenn ich über „mobile Daten“ im Internet unterwegs bin (surfen, online banking etc.)?
  3. Kann ich mit Pi-hole neben Filterlisten auch zusätzliche Whitelists und Blacklists einrichten?
  4. Dann würde diese Lösung AdAway oder RethinkDNS auf dem Smartphone komplett überflüssig machen.

Alle Punkte hast du so korrekt verstanden, und ja, es spielt keine Rolle ob du aus dem mobilen Netz oder einem fremden WLAN die VPN Verbindung zu dir aufbaust - es kann höchstens passieren, dass VPN geblockt wird, was aber quasi sehr sehr selten vorkommt…

https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-computer-einrichten/

WireGuard Anleitung für Fritzbox.
Gibt es auch mit Video auf YouTube.

Beim Pi Hole würde ich auch vorher paar Videos anschauen.