DNS-Ausnahmen im Heimnetzwerk
Eigene iPhone DNS-Server: WLAN-Ausnahmen, Generatoren, Presets
In der vergangenen Woche haben wir euch auf eine neue Funktion von iOS 14 hingewiesen, die es ermöglicht eigene DNS-Server in den iPhone-Einstellungen zu hinterlegen.
Die neue Netzwerkfunktion des iPhones, die sich mithilfe selbst erstellter Profil-Dateien relativ problemlos umsetzen lässt, unterscheidet sich erheblich von der bereits bislang möglichen Auswahl eigener DNS-Server.
Waren diese bisher bestimmten WLAN-Netzen zu gewiesen, können DNS-Server über die neue Funktion nun für den globalen Einsatz festgelegt werden, greifen also immer, ganz unabhängig davon, in welches WLAN- oder Mobilfunk-Netz ihr euch eingebucht habt.
Gründe für die Nutzung eigener DNS-Server gibt es bekanntlich viele. Während einige Nutzer diese als Werbeblocker einsetzen oder als einfache Filter für „nicht familienfreundliche“ Inhalte nutzen, legen andere Anwender Wert auf zensurfreie DNS-Server wie diese etwa vom Digitalcourage-Verein angeboten werden. Wieder andere bevorzugen schlicht Cloudflares performanten DNS-Server 1.1.1.1.
WLAN-Ausnahmen im Heimnetzwerk
Was bei unserer letzten Auseinandersetzung mit dem Thema schnell klar wurde: Für die iPhone-Nutzung im eigenen Heimnetzwerk wäre es schön auch bei global gesetzten DNS-Einstellungen WLAN-Ausnahmen für das Heimnetz zu definieren. Ist der eigene Router verfügbar, sollte auch dessen DNS-Einstellungen genutzt werden.
Um genau dies zu ermöglichen bietet sich auf der Webseite Secure DNS profile creator jetzt ein Generator an, mit dem sich eine Profildatei erstellen lässt, die einen bevorzugten DNS-Server zur Dauernutzung im iPhone Betriebssystem festlegt, gleichzeitig aber auch Ausnahmen in bekannten WLAN-Netzwerken zulässt.
Auf der Webseite des Generators müsst ihr dafür lediglich auf die Advanced-Schaltfläche klicken und hier den Namen der WLAN-Netzwerke eintragen, in denen die globalen DNS-Einstellungen nicht gelten sollen.
Massig Voreinstellungen zum Download
Zudem sei euch auch die Webseite Encrypted DNS Party empfohlen, die zahlreiche Profile mit den Voreinstellungen populärer DNS-Server anbietet. Hier müsst ihr nur noch eure Lieblinge wählen und könnt diese mit wenigen Klicks bzw. Touchscreen-Gesten in den iPhone-Einstellungen hinterlegen und zur kontinuierlichen oder bedarfsabhängigen zur Nutzung auswählen.
Also für nen Adblocker oder der gleichen verstehe ich das ganze ja noch (in anderen Ländern ist auch ein Zensurfreier sinnvoll), Performancegründe hingegen eher nicht. Die Zeit die dabei eingespart wird ist so gering, dass sie doch wirklich nicht auffällt und bei wirklich kritischen Dingen sollte man eher mit der ip arbeiten als mit einem link…
Ich finde es grundsätzlich für jeden empfehlenswert die DNS Abfragen bei einem Dienst zu machen, der nicht weis wer du bist (Telekom Anschluss + Telekom DNS).
Außerdem gibt es leider auch in Deutschland DNS Blockaden: https://de.wikipedia.org/wiki/Sperrungen_von_Internetinhalten_in_Deutschland
Es stimmt zwar dass auch hier in DE Blockierungen dabei sind, allerdings (so wie es auch auf Wiki steht) handelt es sich dabei um illegale Dienste wie kinox.to und nicht um dienste wie fb oder der gleichen. Ich bin bei dem Thema davon ausgegangen, dass sich beim Surfen im rechtlichen Rahmen (der verdammt groß ist) aufgehalten wird. Für alle anderen gibt es für jede der dort aufgeführten Seiten mind. 3 Alternativen die auf die gleichen Inhalte zugreife ;)
Ich hab’s noch nicht verstanden. Kann ich nun auch unterwegs auf mein pihole im eigenen Netzwerk zugreifen?
Nein, das geht nur, wenn du dann über VPN mit deinem Netzwerk verbunden bist (oder dein pihole öffentlich zugänglich wäre, wovon jedoch dringend abzuraten ist!).
Ja ok, stimmt. Danke.
Schön zusammengefasst! Freut mich, dass ihr einen Artikel drauß gemacht habt :-)
Ich bin total glücklich Pi-Hole installiert zu haben.
Mit einem Schlag bekommt man sein gesamtes Netzwerk werbefrei. Einfach alles, Smartphones, Tablets, Computer, Fernseher, etc. Und erhöht auch die Sicherheit, durch Blocklisten für Tracker, Malware, etc.
Habe ich auch ausprobiert. Ich finde es zu umständlich und immer wieder Ausnahmen zu hinterlegen wird bei 20 Nutzern echt lästig.
In der Standard-Einstellung sollte man keine Ausnahmen pflegen müssen. Ich hab aber zahlreiche Blocklisten integriert und mußte vielleicht ne Handvoll Ausnahmen definieren. Ich spiele aber auch manchmal etwas rum und klick auf „Blockieren“, wenn mir eine Domain suspekt vor kommt, landet also in der Blacklist.
Komfort Sicherheit. Entweder man beschäftigt sich mit pi-hole, oder eben nicht. Obwohl der pi-hole bei mir eigentlich eher so eine Art „set it and forget it“ geworden ist, so anstandslos und unauffällig läuft das.
Naja die Standardeinstellung blockt halt auch nix :D
Genau für diesen Zweck gibt es die common whitelists. Einmal Konfiguriert läuft alles TipTop: https://github.com/anudeepND/whitelist
+1
Nie wieder ohne Pihole im Heimnetz !
Als Upstream DNS Server dort opendns, cloudflare oder was auch immer einrichten
Als Upstream nimmt man lieber einen unbound der direkt die rootdns fragt ;)
Werbefrei hin oder her, ich finde man sollte lernen damit umzugehen, als es auszublenden. Denn außerhalb der eigenen vier digitalen Wänden muss man ja auch ohne einer PiHole überleben können. Aber vielleicht bin ich nicht der poweruser, oder bin kein Kandidat der sich von Werbung schnell beeinflussen lässt. Außer es geht um Kaffee-Empfehlungen von der Community. :-)))
Eben nicht. Mit PiVPN gehen die DNS-Anfragen dann auch über den heimischen Pi-hole. Somit dann alles auch unterwegs.
Ich kann mit Werbung umgehen – verstehe das Argument nicht. Warum soll ich die nervige Werbung nicht einfach killen? Spiegel online ist ein schönes Beispiel, da springt es allein wegen der Werbung beim nachladen dermaßen nervig hin und her. Keine Werbung, kein Problem.
Ausnahmen musste ich bis dato nicht hinzufügen. Es ist wirklich „set it + forget it“.
Unterwegs kann ich mich ansonsten per VPN in mein Netz hängen. Bzw lebe unterwegs dann mit der Werbung.
Die einzige Frage, die mich beschäftigt, ist die Finanzierung von gratis Angeboten.
Da scheint jemand in der Werbebranche zu arbeiten :D
Ich nutze mittlerweile fast keine Website mehr ohne mein Pihole und wenn dann direkt mit der Reader Einstellung von. Wer Werbung heute noch als „ok“ empfindet läuft auch gerne über Lego und tritt morgens erst mal gegen die tischkante um wach zu werden. Das ist doch echt nicht mehr erträglich.
Es geht bei pihole aber vor allem darum, dass Googleanalytics und alle anderen Spionagedienste nicht auf deine Geräte zugreifen. Das mit der geblockten Werbung ist natürlich top. Auch wenn man, bei vielen installierten Listen, nachher wieder einige Internetseiten auf die Whitelist setzen muss.
Nee, nee, ich arbeite mit Maschinen. ;)
@local das war an Karo gerichtet :D
Ah!
Ich hatte auch bis vor 2 Wochen nen Pi-Hole auf meine Raspberry Pi laufen, dann habe ich AdGuard Home entdeckt, es auf dem Raspberry Pi installiert. Gefühlt ist der AdGuard Home viel unkomplizierter und performanter.
Kann man bei Adguard Home auch eigene DNS-Einträge vornehmen?
Ist möglich
Verwende ich mit Nextdns als Ad-Blocker. Funktioniert super!
Ich hatte schon mal überlegt ob ich PiHole einrichte, aber jetzt habe ich erstmal die DNS Server von Adhole gesetzt und die Profile in iPhone und iPad (für unterwegs) installiert.
Was findet ihr besser?
Ich versteh nur Bahnhof :-(
Gibt es eine Möglichkeit, das man wenn man im fremden WLAN ist automatisch VPN startet?
Oder sich im Mobilfunknetz befindet und dann eine URL z.b. Private IP aufruft, das dann auch VPN startet? Danke :)
Ja, dein zweiter Punkt geht mehr oder weniger. Man kann mit Hilfe des „Apple Configurator“ Profile erstellen die dann on the fly das VPN aktivieren, sollte ein Gerätename angesprochen werden. Stichwort ist hier „On Demand“, funktioniert allerdings meines Wissens nach nicht mit IP-Adressen sondern nur mit dem per DNS deines Routers zugewiesenen Gerätenamen z.B. meinGerät.fritz.box. Jedoch baut das iPhone dann die VPN-Verbindung selbstständig auf.
Ja, dein zweiter Punkt geht mehr oder weniger. Man kann mit Hilfe des „Apple Configurator“ Profile erstellen die dann on the fly das VPN aktivieren, sollte ein Gerätename angesprochen werden. Stichwort ist hier „On Demand“, funktioniert allerdings meines Wissens nach nicht mit IP-Adressen sondern nur mit dem per DNS deines Routers zugewiesenen Gerätenamen z.B. meinGerät.fritz.box. Jedoch baut das iPhone dann die VPN-Verbindung selbstständig auf.
Ich wüßte eine Möglichkeit. Ich hab mir vor einiger Zeit einen Router für den Urlaub gekauft. Wichtig war mir (der Vollständigkeit halber erwähnt), daß er auch mit einem Captive Portal umgehen kann.
Zwar hab ich schon VPN nachhause am Laufen über Fritzbox. Aber das dort enthaltene Wireguard VPN hat mich interessiert. Etwas rumgspielt und hab mir spontan einen 2. Router bestellt, der jetzt zuhause VPN-Server (Wireguard) spielt. Wireguard-Client am iPhone erstellt das VPN-Profil (ich hab jetzt noch dyndns-name anstelle der IP eingestellt und meinen Pi-hole als DNS). Vorteil hier ist, Wireguard VPN bleibt dauerhaft an und wird nicht getrennt. Auch Roaming klappt, also im Büro (WLAN) WG-VPN aktiviert, dann draußen per LTE, VPN bleibt an.
Der Wireguard-Client am iPhone kennt sogar VPN on demand. Man kann also VPN on demand für WLAN z. B. aktivieren, dann wird gleich nachdem sich das iPhone mit einem WLAN verbindet, VPN aktiviert. Für manche WLAN kann man auch Ausnahmen erstellen.
VPN on demand ist mir persönlich aber zu umständlich. Denn ich brauche VPN nicht immer, bewege mich zu 90 % in bekannten WLAN-Netzen. Und fürs Hotel hab ich ja meinen Urlaubs-Router. Oder aktiviere es halt manuell bei Bedarf.
Ja. Und ich nutze das bereits seit ein paar Jahren so. Schau mal nach „VPN on demand.“ Bsp.:-> https://www.iphone-ticker.de/vpn-anleitung-iphone-fritzbox-und-vpn-on-demand-97462/
Und das beste, es funktioniert auch mit Handynetzen.
Mein „Setup“:
Nur wenn mein iPhone mein lokales WLAN oder mein DE-Telekomnetz findet, baut es kein VPN auf. Sobald ich im Ausland auf Dienstreise bin (Naher Osten, eastern EU, USA und Co.), oder ich ein Hotel-WLAN benutze, wird immer automatisch (egal ob WLAN oder Handynetz) ein VPN-Tunnel aufgebaut. Das funktioniert reibungslos und kann beliebig angepasst werden. (Bsp.: Ausnahmen für dein Office-WLAN.)
Am Anfang habe ich die Fritz!Box benutzt. Jedoch war IPSEC bis zum letzten großen Update mega langsam, so das ich mir einen Brume (GL-MV1000) zugelegt habe. Der nutzt das WireGuard Protokoll und ist super schnell. Jetzt, nach dem FritzOS update hast du genug IPSec Power und brauchst keinen BRUME mehr.
Ich nutze meinen „kleinen Brume“ jedoch weiterhin, da bei meinen Dienstreisen immer das iPhone, iPad und MBP ein VPN on-Demand aufbauen. Und die Performance ist dann doch noch etwas besser.
Ich hoffe ich konnte dir ein wenig weiterhelfen.
LG
@TATA Brumme, alles klar. Bei mir ists der Mango 2 x
danke für deinen Beitrag! Ich wusste zwar bis eben nicht das ich sowas brauche aber konnte es gerade umsetzen mit einer Synology als VPN Server :) Für alle die mangels nicht vorhandenem MAC nach einer Lösung suchen:
Hier lässt sich eine HTML seite Laden die (lokal ausgeführt) einen Konfigurator für das VPN Profil bietet: https://github.com/klinquist/iOS-VPN-Autoconnect
@TATA: super Tipp, vielen Dank! Gleich mal umgesetzt, scheint sehr gut zu laufen.
Die Tage mal „in the wild“ testen, dann kommen die Profile auf alle Geräte.
Boar, vielen Dank für die Antworten. Echt cool das ihr euch die Mühe gemacht habt so viel zu schreiben!!!
Wie ist das denn: funktionieren die Login-Seiten bei zB Hotel-WLANs noch wenn ich den DNS Server allgemein ändere?
Oftmals muss man ja nach dem Verbinden mit dem Hotel-WLAN eine http-Seite (nicht https) öffnen, um zur Login-Seite zu kommen. Klappt das noch wenn statt des Routers DNS-Server der eigene benutzt wird?
Captive Portals kommen trotzdem hoch und funktionieren. Selbst wenn mal was nicht funktioniert kann man ja temporär kurz wieder umschalten, kam aber bei mir bislang nicht vor.
Das hat Apple natürlich mitbedacht. Beim Netzwerkwechsel wird für das Captive Portal eine DNS-Anfrage an den DHCP DNS-Server gestellt.
Erst mit dem „Success“ wird dann die Profile-DNS verwendet.
Hmmm ich bin offenbar zu blöd. Download eines Profils erzeugt nur den Download einer XML-Profildatei, nicht aber das Öffnen des Profils mit dem System. iOS 14.3
Du musst den Download mit Safari machen. Ist mir auch schon passiert mit Firefox.
Hatte ich … … aber wer lesen kann ist klar im Vorteil: Man muss die downgeloadete Profile-Datei in der Dateien App öffnen
Ich habe nun mal Adhole als DNS im Router eingetragen und (für unterwegs) die Zertifikate in iPhone und iPad installiert.
Was findet ihr besser/sicherer, PiHole oder Adhole?
Ich nutze seit einiger Zeit NextDNS und bin sehr zufrieden.
Die GUI spricht mich persönlich auch mehr an als die von Pi-Hole.
Bisher hat mir die gratis Variante (600k Calls) immer genügt.
300k Calls/Monat sorry.
Es sind 300.000 Queries in der Gratisvariante, aber ja, NextDNS ist ein tolles Produkt.
Ich empfehle dnsforge.de
Warum? Weil es ein Deutscher ITler ist, das Profil signiert ist, es Werbung, Tracker, Malwaredomäins etc blockt und es im Wlan und im Mobilfunknetz greift.
Habe ich mir mal angesehen, sieht ganz gut aus.
Danke.
Ich persönlich nutze PiHole. Aber Schwieger- / Eltern usw. ohne Raspi, sicher eine sehr gute Alternative. Letztens erst wieder mit einem veralteten Laptop meiner Eltern etwas recherchieren müssen und ich bin bald verrückt geworden. Der Browser hing quasi bis alle WerbeLayer schön aktiv waren. Damit tuts der Lappi sicher noch ne Weile.
Aber StreamOn geht nicht mehr wenn ich einen verschlüsselten DNS over HTTPS/TLS einsetze :-(
StreamOn funktioniert über Deep Packet Inspection, dies hat nichts mit DNS zu tun. Ich habe StreamOn und benutze schon lange eigene DNS, sei es über Fake-VPN (vor iOS 14) oder über Profile, das beeinflusst überhaupt nichts.
dismail.de ist auch von einem Deutschen Entwickler und zwei DNS Profile bereitgestellt. Auch diese beiden blocken Werbung, Zracker, Malwaredomäns etc.
Kann ich ebenfalls empfehlen da ich auch diesen Service seit einiger Zeit nutze.
Zu finden hier, https://www.privacy-handbuch.de/handbuch_93d.htm
https://www.media-techport.de/free-dns-server/
Sollte ziemlich gründlich sein.
DNS Profil wäre interessant
Ich verwende de eBlocker. BIn super zufrieden.
http://www.eblocker.org
„Ist der eigene Router verfügbar, sollte auch dessen DNS-Einstellungen genutzt werden.“
Warum? Damit weiss mein ISP alle Seiten die ich nutze. Genau das will ich nicht
Wer einen vernünftigen VPN verwendet, bekommt deren DNS gesichert gleich mit.