Ich suche nach einer vertrauenswürdigen, low-maintenance/robusten Lösung für Senioren (Eltern und Bekannte), die einen Schutz vor Tracking und Werbung wie der Pihole bietet. Die meisten dieser Senioren nutzen nur ein Tablet/iPad und haben eine Fritzbox als Router.
Einen Pihole möchte ich ohne regelmäßige Wartung (also nicht nur alle 6 Monate) dafür nicht benutzen. Denn wenn das kleine Kästchen mal ausfällt oder muckt, ist niemand zur Stelle, um das Problem zu beheben und die Leute haben ggf. kein Internet mehr.
Soll ich in deren Fritzbox einen fremden DNS-Server mit Blocklisten eintragen? Eine Vertrauensfrage. Welche(n)? Und wenn dort eine beliebte Seite (Stichwort overblocking) geblockt wird?
Es geht ja nicht nur um Internetseiten im Browser, sondern auch um andere Apps. Filtern auf dem Tablet/iPad via VPN (Adblock Pro) ginge theoretisch auch, aber Adblock Pro nutze ich um im Standardbrowser Safari ALLE Seiten zu blocken, weil die Senioren (versehentlich) sehr oft auf Links in Emails drücken, die dann ungewollt irgendwas öffnen. Als normalen (nicht Standard) Browser habe ich dort iCabmobile installiert. Der kann zwar auch Blocklisten nutzen, aber das löst noch nicht das Problem mit den anderen Apps.
Oder ich muss das Vorhaben mit dem Pihole-ähnlichen Schutz komplett aufgeben. Denn, wie ich unisono höre, ist ein funktionierender Interzugang letztendllich wichtiger als Schutz vor Tracking etc.
Für Empfehlungen (gerne aus der Praxis mit Senioren) wäre ich sehr dankbar.
DNS Server können auch mal ausfallen.
Beim Pihole mit vielen eingetragenen DNS Servern hatte ich das Problem nie - irgendeiner geht immer.
Die Blocklisten sind arg limitiert…
Warum? ein Linux mit gesetzter Firewall hinter dem Router ist sehr sicher. Pihole aktualisiere ich auch nur so einmal im Quartal oder so. Und das Ding läuft sonst wie ein Uhrwerk!
Man könnte noch die Firtzbox via VPN auf ein Pihole tunneln… aber das klingt nach Aufwand. Ich würde das dort als Box hinstellen. Und jede Lösung egal wie komplex kann mal ausfallen.
Hört sich interessant an. Selbst Erfahrungen mit nextdns germacht?
Da der Anbieter alle DNS-Anfragen erhält, wäre Datenschutz noch ein Thema. MUss ich noch mal recherchieren.
Kostenlos wird evtl. nicht reichen. Applegeräte verursachen andauernd DNS-Traffic. Weiß allerdings nicht, ob die Fritzbox einmal gemachte Abfragen eine Zeit lang im Cache hält (falls sie überhaupt einen dafür hat).
Meinte auch eher, dass das Gerät, der Pi, ausfällt, auf dem Pihole läuft. Ist mir schon passiert. Ich glaube gerne, dass Pis/Pihole-Instanzen i.d.R. keine Probleme machen. Auch bei mir nicht. Geringe Wahrscheinlichkeit.
Doch wenn es dann doch mal passieren sollte (aus welchen Gründen auch immer), gäbe es eben niemanden, der schnell etwas reparieren oder für Ersatz sorgen kann (denn ich wohne weit entfernt).
hat man immer dabei, auch wenn man das heimische WLAN verlässt
im gewissen Maße kostenlos
Nachteile nextdns:
man muss vertrauen in den Anbieter haben
nicht so umfangreich konfigurierbar wie pi-hole
Es gibt noch adguard und controlid neben nextdns.
Wenn 300.000 Anfragen nicht ausreichen gibt es verschiedene Lösungen.
Abo abschließen, kostet 20 € im Jahr, und du kannst unendlich viele profile und Geräte verwalten.
Mehrere kostenlose Zugänge anlegen und jedem Gerät einen Zugang zuordnen. Finde ich allerdings doof, zu viel Aufwand.
Ich hatte bisher mit nextdns noch keine Probleme, mit dem pi-hole auch nicht, zumindest solange nicht bis ich es selber kaputtgespielt habe.
Du könntest den DNS-Server von Quad9 in die Fritzbox eintragen (9.9.9.9). Er hat von sich aus einen guten Schutz gegen Tracking und arbeitet u.a. auch mit Blacklists. Das ist ein europäischer Anbieter (CH) mit starkem Fokus auf Datenschutz.
Die Fritzbox kann verschlüsseltes DNS. Du könntest die DNS Server von Mullvad dort einstellen. Die haben auch verschiedene Blocklisten.
Dann wäre alles nativ mit der Fritzbox gelöst.
In der FB zwei DNS-Upstream-Server anhand https://www.kuketz-blog.de/empfehlungsecke/#dns eintragen und hier mal schauen, was auch schnell und vor allem zuverlässig antwortet (mein Provider: Vodafone; das kann bei Telekom usw. natürlich auch wieder ganz anders aussehen!). So muss nicht jedes Gerät einzeln konfiguriert werden und alle Geräte im Netz profitieren sofort (bzw. nach dem ersten Reconnect im (W)LAN) davon Welche DNS du wählst/vorschlägst sei dir überlassen.
Alternativ betreibst du für sie (Eltern oder Großeltern?) den kleinsten VPS/Cloudserver bei z.B. Hetzner für 4,51€ monatlich und installierst dort Pi-hole in einem Docker-Container und Wireguard in einem anderen Docker-Container und gibst für jedes(!) Gerät(!) ein WG-Profil raus. Für Mobilgeräte können das QR-Codes sein, für PCs muss man die Config als Textfile importieren.
Ich habe genau sowas auch für andere im Einsatz und sowohl Pi-hole als auch Wireguard kann man ohne Probleme und ohne Aufwand täglich updaten bzw. neue Images pullen (sofern es was neues gibt). Mein Ubuntu 24.4 LTS aktualisiert und rebootet sich auch täglich ohne Störungen. So hast du also eine „vertrauenswürdige, low-maintenance/robuste Lösung“, sofern du dir das einmalige Einrichten zutraust.
BTW ich wollte zunächst mal allen danken, die hier bisher geantwortet haben. Vielen Dank.
Würde es Sinn machen, in der Fritzbox als ersten DNS-Server einen lokalen Pihole einzutragen (den ich dann aufsetzen müsste), und als zweiten (als Fallback ?) einen Mullvad DNS-Server (z.B. der mit allen Listen).
Die Frage ist:
Fragt die Fritzbox (z.B.7590) immer, also ausnahmslos, zunächst beim zuerst eingetragenen DNS-Server an, und nur falls der nicht antwortet, beim zweiten DNS-Server (z.B. Mullvad) ?
Oder wählt sie zufällig einen aus?
Oder fragt beide zugleich an?
Oder nimmt den zweiten bereits, wenn der erste einmal nicht schnell genug antwortet?
Wie handhabt die Fritzbox das?
@thomasmerz Das mit dem VPS bekäme ich evtl. möglicherweise u.U. hin, aber so ganz geheuer ist es mir nicht. Ich weiß, Docker gilt als besonders einfach oder problemlos. Doch für mich war Docker immer eher eine Blackbox, mit der ich ein wenig gefremdelt hab in der Vergangenheit.
Aus Gründen der Ausfallsicherheit ist es sicher gut, den lokalen Pihole und noch einen „guten“ (filternden und vertrauenswürdigen) anderen DNS Server eingetragen zu haben. Das habe ich auch so, falls der Pi-hole doch mal ausfallen sollte bzw. während der geplanten einmal wöchentlich knappen kurzen Downtime Sonntag morgens für den Reboot meiner Linux Kiste oder beim Stoppen und Neustarten des Containers.
Normalerweise sollten immer beide DNS Server zugleich angefragt werden.
Auch wenn du es dir mit einem VPS zutraust, gebe ich @Cyberduck Recht, dass mein erster Vorschlag auch schon ziemlich gut ist.
Einziger Nachteil: Wenn die Geräte mal das heimische (W)LAN verlassen… wer passt dann auf sie auf?
Alternative 2:
Wenn es nur nicht zu viele Endgeräte sind, dann kannst du auch auf allen direkt die o.g. „zwei DNS-Upstream-Server“ eintragen und hast Ausfallsicherheit und (Fast-)Überall-Schutz mit abgedeckt und hast keinen Supportaufwand mehr
„Fast-Überall“, weil du noch nicht vorab in allen möglichen noch zu verbindenden WLANs/Hotspots (Urlaub! Hotel! Freunde und Bekannte!) diese DNS-Server eintragen kannst. Aber u.U. blocken fremde WLANs auch fremde DNS-Server (aber kein VPN )
Oracle Cloud bietet übrigens großzügige always-free Services an, mit denen man einen oder mehrere kostenlose VPS aufsetzen kann.
Generell bin ich aber auch der Meinung von @Cyberduck und würde es einfach halten. Da Senioren schnell überfordert sind, wenn etwas nicht funktioniert würde ich einen Server nehmen, dessen Blocklisten nicht zu strikt sind, damit die Falsch-Positiv-Rate klein bleibt. Z.B. base.dns.mullvad.net
Was die Konfiguration angeht bin ich bei NextDNS zwar auf die Auswahl der gebotenen Listen beschränkt, aber die nützlichsten Listen sind dabei (z.B. Hagezi). NextDns bietet aber Schutzmechanismen, welche mit Pihole nicht oder nur mit größerem Aufwand umsetzbar sind.
Meine Ideallösung ist deshalb: Fritzbox mit NextDNS mit DoT ohne DNS-Bypassing und den Pihole mit unbound als Upstream als Fallback, falls NextDNS ausfällt.
Für unterwegs auf allen Apple-Geräten diverse Profildateien für NextDNS installiert, welche per Kurzbefehl leicht gewechselt werden können. Für Proton VPN die WG-Profile manuell auf NextDNS mit DoH3 erweitert.
Die freien 300.000 DNS-Abfragen im Monat reichen mir locker, würde notfalls aber auch ein Abo abschließen.
Das kann ich nicht bestätigen. Die meisten Systeme wiederholen erst ein paar Mal beim bevorzugten und probieren erst dann den alternativen.
Hast Du da eine spezielle Konfiguration?
Ah, ich sehe… ok, danke, einige dieser Schutzmechanismen habe ich tatsächlich in meinem Pi-hole „nachgebaut“, andere finde ich etwas zu viel des Guten. Generell hast du aber Recht, dass Pi-hole das nicht „out-of-the-box“ mitbringt.
TL;DR für diejenigen, die es nachbauen wollen:
Threat-Intelligence-Feeds → zusätzliche Filterliste(n)
Google Safe Browsing → Local DNS Settings
Kryptojacking-Schutz → zusätzliche Filterliste(n)
IDN Homographischer Angriffs-Schutz → RegEx (^|\.)xn--.*$
Tippfehler-Schutz → NXDOMAIN wird eh schon vom Pihole entsprechend beantwortet
Neu registrierte Domains (NRDs) blockieren → finde ich u.U. etwas zu übertrieben
Dynamische DNS-Hostnamen blockieren → finde ich zu übertrieben
Geparkte Domains blockieren → finde ich u.U. etwas zu übertrieben
Top-Level-Domains (TLDs) blockieren → RegEx (\.cn$|\.ru$|\.su$|\.vn$|\.zip$)
Kinderpornografische Inhalte blockieren → zusätzliche Filterliste(n)
Du hast Recht, da habe ich irgendwas durcheinander gewürftelt. Es wird natürlich immer zuerst der erste eingetragene DNS befragt und der zweite kommt erst/nur dann zum Tragen, wenn der erste nicht (rechtzeitig) antwortet.
Ist das wirklich so einfach ? Die Anbieter sind eigentlich nicht so froh darüber wenn man Ports öffnet, was man ja machen muss um den Server zu erreichen.
Oder liege ich da falsch ?
Welche DNS du wählst/vorschlägst sei dir überlassen.
