Frage siehe Titel.

Die vom ISP.

Eigener Resolver mit Root-Hints.

[x] Provider

Aber nur momentan aufgrund des grausligen Modemrouters meines ISPs. Sobald der ersetzt wird, kommt wieder jede Woche der per Benchmark beste DNS ran.

Ehrlich gesagt interessiert mich die Latenz nicht so sehr, sondern eher die Verfügbarkeit. Jede Woche andere Server zu nehmen bringt sowieso nichts. Durch Anycast, was die meisten Anbieter für ihre Resolver nutzen, kann das immer mal wieder leicht schwanken. Eben je nach dem, welchen Server man gerade erwischt und wie man geroutet wird.

Das sind jedenfalls meine Erfahrungen mit den Anbietern:

OpenDNS cachet Einträge so, dass wenn die autoritativen Server einer Domain nicht erreichbar sind, einfach die zuletzt gültigen Einträge genommen werden. Das bildet kein Benchmark ab, kann aber bei großen Ausfällen wie z.B. zuletzt bei DynDNS für einen komplett problemlosen Betrieb sorgen. Interessantes Feature. Die optionalen Filterfunktionen funktionieren mit DS-Lite übrigens nicht richtig, falls sich jemand wundern sollte. Für IPv6 funktionieren sie gar nicht.

Google dagegen hat einfach den „wärmsten“ Cache, auch wenn sie im Mittel vielleicht nicht die schnellsten Resolver haben. Das sorgt für geringe Ausreißer. Außerdem verhalten sie sich sehr standardkonform und veranstalten keine komischen Sachen. Keine Blockierungen, nur DNS. Bei einigen Providern scheint Google auch einige ihrer Server hingestellt zu haben, die manche ihrer Dienste cachen. Scheinbar zum Teil auch Google DNS, was sie damit manchmal schneller (im Sinne von Latenz) macht als die der Provider. Muss man natürlich ausprobieren, kann man aber eben leicht mit einem Traceroute prüfen.

Ein eigener Resolver ist wahrscheinlich die langsamste Option, aber dafür bekommt man DNS ohne Bullshit. Kann manchmal ganz nützlich sein, ist aber natürlich in manchen Fällen nicht so optimal. Gerade etwas exotischere TLDs brauchen teilweise sehr lange. Bei Google und Co. hängt so etwas natürlich immer im Cache. Man muss natürlich auch irgendein Gerät im Netzwerk haben, auf dem man einen rekursiv arbeitenden, cachenden Resolver installieren kann. Dafür kann man dann natürlich auch mit der Größe des Caches klotzen und andere interessante Optionen benutzen. Mein Unbound prefetcht z.B. Einträge, wenn die 10% ihrer TTL erreicht haben und in der Zeit noch einmal angefragt werden. Ist aber, wie gesagt, im Mittel wahrscheinlich die mit Abstand langsamste Lösung.

Grundsätzlich kommen für mich nur diese Optionen überhaupt in Frage. Viele ISPs nehmen DNS allerdings auch mehr ernst als noch vor ein paar Jahren, von daher dürfte der Bedarf an anderen Servern immer weiter sinken. Bis auf die Telekom kenne ich auch keinen Provider, der irgendwelche seltsamen Sachen mit DNS macht. YMMV.

Grundsätzlich macht man mit Google DNS oder OpenDNS aber nicht viel falsch. Ich würde allerdings eher zu Google DNS tendieren, weil deren IPv6-Support sehr viel ausgereifter ist. Generell scheint Google DNS sehr gut gewartet zu sein. OpenDNS basiert dagegen auf einem Fork von dnscache aus djbdns (https://umbrella.cisco.com/blog/blog/2016/02/29/a-brief-history-of-opendnscache/). Das ist eigentlich eine sehr gute Basis, aber OpenDNS scheint eher die Bedürfnisse von Unternehmenskunden im Blick zu haben als ihre Software auf ein modernes Featureset zu bringen. Bis vor einiger Zeit hatten sie noch gar keinen IPv6-Support, was ich schon etwas seltsam fand.

QNAP


Ich habe bei meinem Qnap Server eher zufällig mitbekommen dass eine Anmeldung über die Qnapcloud direkt auf meine IP Adresse verweist.

So zockte kürzlich z.B. meine Tochter mit ein paar Freunden auf ihrem erstellten Server über "meinqnapname.myqnapcloud.com:25565"

Provider.
Habe selten Probleme, wenn doch, weiche ich temporär auf 8.8.8.8 aus

Nutze schon eine Weile DNSCrypt. (https://dominustemporis.com/2014/05/dnscrypt-on-windows-update/)

Nutze schon eine Weile DNSCrypt. (https://dominustemporis.com/2014/05/dnscrypt-on-windows-update/)

Und mit welchen Servern?

Primär: D0wn Resolver Germany 02
Sekundär: D0wn Resolver Denmark 01

https://dns.watch/

Vermutlich den vom Provider.

Den vom Provider (also Unitymedia). Ist auch doppelt so schnell wie der von Google, ist aber auch kein Kunststück, da schließlich netzintern.
Da aber selbst Webbrowser heutzutage einen DNS cache haben, ist die Frage nur bedingt wichtig.

Den vom ISP (Vodafone)

Ist eigentlich egal, nur sollten Telekom Kunden die Navigationshilfe im Kundencenter ausschalten. Macht manchmal Probleme, so kann mein Smartphone eas.outlook.com meistens nicht über Wlan auflösen.

https://telekomhilft.telekom.de/t5/forums/v3_1/forumtopicpage/board-id/316/thread-id/53030/page/1

Die vom CCC/FoeBud nach extern, intern mein eigener

//Edit: Fuer Mobilgeraete intern noch Pi-Hole (https://pi-hole.net/) im Gaeste-WLAN

Ist eigentlich egal, nur sollten Telekom Kunden die Navigationshilfe im Kundencenter ausschalten. Macht manchmal Probleme, so kann mein Smartphone eas.outlook.com meistens nicht über Wlan auflösen.

https://telekomhilft.telekom.de/t5/forums/v3_1/forumtopicpage/board-id/316/thread-id/53030/page/1

Ist kein Zufall. Die Telekom kapert NXDOMAINs und leitet die auf ihre Werbesuche um. Das macht generell seltsame Sachen mit Mail.

Kann man natürlich ausstellen, aber ich würde die nicht benutzen. Man sollte einfach keine DNS-Resolver benutzen, die aus der Box heraus nicht standardkonform arbeiten. Als Provider irgendwelche Protokolle so offensichtlich zu brechen geht einfach gar nicht.

Ist kein Zufall. Die Telekom kapert NXDOMAINs und leitet die auf ihre Werbesuche um. Das macht generell seltsame Sachen mit Mail.

Kann man natürlich ausstellen, aber ich würde die nicht benutzen. Man sollte einfach keine DNS-Resolver benutzen, die aus der Box heraus nicht standardkonform arbeiten. Als Provider irgendwelche Protokolle zu brechen geht einfach gar nicht.
Hm Ok, ich könnte einen extra DHCP Server mit anderem DNS laufen lassen, werd ich mal testen. Jedenfalls baut die Telekom da gewaltig Mist.

Hm Ok, ich könnte einen extra DHCP Server mit anderem DNS laufen lassen, werd ich mal testen. Jedenfalls baut die Telekom da gewaltig Mist.

Kann man die nicht im Router eintragen? Ich würde einmal testweise Googles DNS eintragen.

Bisher ist mir nur bei den Unitymedia-Boxen aufgefallen, dass man da keine anderen DNS-Server einstellen kann.

Kann man die nicht im Router eintragen? Ich würde einmal testweise Googles DNS eintragen.

Bisher ist mir nur bei den Unitymedia-Boxen aufgefallen, dass man da keine anderen DNS-Server einstellen kann.
Normalerweise schon, aber den Speedport 724C DHCP Server verwende ich ohnehin nicht, weil der mein exotisches Internetradio nicht online kriegt.

(Ansonsten ist der Router aber großartig, will nicht zuviel meckern.)

<-- Provider.

Da ich o2 habe, sollten die DNS-Server auch recht leistungsfähig sein. o2 ist ja immerhin der größte Mobile-Netzbetreiber in Deutschland.

Wenn ich Probleme vermute, teste ich immer mit 8.8.8.8 gegen.

Cisco (OpenDNS) natürlich.

208.67.220.220
208.67.222.222

freedns:

37.235.1.174
37.235.1.177

https://freedns.zone/en/

https://www.opennic.org/

OpenDNS ist aber nicht "open" sondern gehört einer Firma, die früher mit Domainfehleingaben ihr Geld verdient hat aka Werbung auf einer Suchseite usw usw.

Soweit ich weiß machen sie das heute nicht mehr, aber RFC konform ist der DNS nach wie vor nicht, da nach wie vor ein "phishing" sowie "maleware" Filter mit drüberläuft.

Soweit ich weiß machen sie das heute nicht mehr, aber RFC konform ist der DNS nach wie vor nicht, da nach wie vor ein "phishing" sowie "maleware" Filter mit drüberläuft.

Das ist schon klar, aber dabei kann man sich eventuell streiten, dass man das vielleicht sogar will. Eine Suche mit Werbung für NXDOMAINs ist schon sehr viel schwerwiegender und das machen sie nicht mehr.

Das ist aber auch einer der Gründe, warum ich eher Google Public DNS bevorzuge. Im Zweifelsfall will man eigentlich immer ein DNS, das nichts selbst modifiziert.

Okay ich stell mich mal dumm.
Wieso sollte ich einen anderem DNS Server nutzen wollen, gibt's da Tests wo die Performance Vorteile sichtbar gemacht wurden?

Okay ich stell mich mal dumm.
Wieso sollte ich einen anderem DNS Server nutzen wollen, gibt's da Tests wo die Performance Vorteile sichtbar gemacht wurden?

Die meisten stellen wegen der vermeintlich besseren Performance um, aber der große Unterschied liegt eher bei der Verfügbarkeit. Kommt immer mal wieder vor, dass die Server der Provider nicht richtig funktionieren. Ist dann natürlich ärgerlich, wenn die Leitung sonst einwandfrei funktioniert.

[x] Provider (Telekom)

Hatte bis jetzt keinen Grund diesen ändern zu müssen.

Hab ich ja noch nie gesehen, dass der DNS nicht richtig funktioniert.
Weder bei der Telekom, Unitymedia oder 1und1.

Wie macht sich das bemerkbar? Mit nicht funktionierenden Seiten oder wie?

Okay ich stell mich mal dumm.
Wieso sollte ich einen anderem DNS Server nutzen wollen,
Google bemühen und nach "Internetzensurgesetz" googeln Zeitraum um die 2009

Ansonsten hat man noch ganz tolle "neue Top-Level Domains" wie *.chan *.geek *.pirate etc :uhippie: abseits der amerikanischen ICANN

Ansonsten gibt es auch noch "DNS-Provider" die einem transparent und teilweise sogar konfigurierbar einen Filter rein knallen, sei es aus Jugendschutz oder sonstigen Gründen wie Viren/Malware etc.

Kurzum Selbstbestimmung ... mehr oder weniger :freak:
Wer absolut jede Adresse der er aktiv/passiv aufruft an Google schicken will darf das natürlich auch gerne machen ;)

Bind9

Oder habe ich die Frage falsch verstanden ;D

Hat jemand hier 1.1.1.1 von Cloudflare getestet? Soll momentan der schnellste sein und unterstützt DoH.

Nicht ausprobiert, aber angeblich benutzt Cloudflare kein EDNS0/ECS für ihre öffentlichen Resolver. Diese großen DNS-Dienste benutzen ja Anycast, damit man hinter einer Adresse (z.B. 1.1.1.1) immer den naheliegendsten Server anspricht und nicht für jedes Land oder so eine eigene IP braucht. Mit EDNS0/ECS wird das Subnet der anfragenden Clients dem autoritativen Nameserver mitgeteilt, damit man die IP von einem geografisch naheliegenden Server zurückbekommt. Ohne EDNS0/ECS bekommt man eventuell IPs von etwas weiter gelegenen Servern zurück. Das kann also unter Umständen die Downloadraten zu großen Content Delivery Networks beeinträchtigen, weil man sich dazu dann vielleicht ungünstig verbindet. Vielleicht aktivieren sie das aber noch.

Danke für deine Einschätzung. Ich finde es echt seltsam dass ein so kritisches Thema wie DNS immer noch so unbefriedigend umgesetzt ist.

Eigener DNS

Habe übrigens noch einmal nachgeguckt und hier kann man nachlesen, dass Cloudflare tatsächlich kein EDNS0/ECS benutzt: https://developers.cloudflare.com/1.1.1.1/nitty-gritty-details/

Finde ich etwas irritierend, dass man darüber so wenig liest. Das ist ja schon ein wichtiges Kriterium. Aus Privatsphäresicht macht das vielleicht in manchen Konstellationen Sinn, aber performancetechnisch ist das sicher nicht optimal. Das Routing hängt dann massiv davon ab, welchen Resolver man genau bei Cloudflare anfragt. Mit EDNS0/ECS wäre da (wenigstens bei den großen CDNs) nur das eigene Subnet relevant. Bei mir liegen die angefragten Resolver zwar relativ nah an meinem eigentlichen Standort, aber das muss ja nicht für alle Nutzer gelten.

Ich nutze hier einen Pi-Hole (klick (https://www.kuketz-blog.de/pi-hole-schwarzes-loch-fuer-werbung-raspberry-pi-teil1/)) und habe damit in letzter Zeit einige verschiedene DNS-Server ausprobiert.
Der DNS-Server von Cloudflare (1.1.1.1) wird mit Abstand am meisten und vermutlich am schnellsten angefragt.

Hier z.B. mit 1.900 Anfragen nach ca. 24h:

https://abload.de/img/dnstvp1r.jpg

Ich habe vor den von digitalcourage zu nutzen.
https://digitalcourage.de/support/zensurfreier-dns-server

Ich habe vor den von digitalcourage zu nutzen.
https://digitalcourage.de/support/zensurfreier-dns-server

Kann der denn inzwischen DNSSEC? Im August letzten Jahres fiel der noch bei mir raus, weil das fehlte.

Ich nutze als Primär-DNS die 84.200.70.40 von DNS.Watch und als Sekundär-DNS die 194.150.168.168 vom CCC.

Kann der denn inzwischen DNSSEC? Im August letzten Jahres fiel der noch bei mir raus, weil das fehlte.

Für mich wäre fehlendes DNSSEC eher ein Feature. Solange du nicht selbst validierst, bringt es dir auch genau nichts.

9.9.9.9 hat hier noch keine Erwähnung gefunden.

https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alternative-zum-Google-DNS-3890741.html

Habe übrigens gestern einmal DNS-over-TLS mit den Cloudflare-Servern ausprobiert. Fand ich am Notebook ganz sinnvoll das einmal zu testen. Hier meine Unbound-Konfiguration:

server:
interface: 127.0.0.1
interface: ::1
access-control: 127.0.0.1/8 allow
access-control: ::1/128 allow

chroot: "/usr/local/etc/unbound"
username: "unbound"

prefetch: yes
serve-expired: yes

forward-zone:
name: "."
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853
forward-addr: 2606:4700:4700::1111@853
forward-addr: 2606:4700:4700::1001@853
forward-ssl-upstream: yes

Chroot und Username sind natürlich spezifisch für meine Konfiguration, aber den Rest kann man 1:1 für einen lokalen Resolver benutzen. Unbound antwortet damit nur dem jeweiligen Host, auf dem die Instanz läuft.

Durch den TLS-Handshake und TCP ist das alles natürlich nicht ganz so schnell wie ohne TLS und per UDP. Bei mir erzeugt das einen zusätzlichen, konstanten Zeitfaktor von ~140ms pro Anfrage.

Prefetch und serve-expired schienen mir da ganz sinnvoll, weil man damit die gefühlte Responsivität etwas verbessern kann. Serve-expired ist wahrscheinlich nicht ganz die reine Lehre, weil man damit selbst bei abgelaufener TTL die jeweils zuletzt bekannte Antwort aus dem Cache zurückbekommt, aber das scheint in Kombination mit TCP und TLS die subjektive Performance stark zu verbessern. Die genaue Beschreibung der Optionen kann man hier nachlesen: https://www.unbound.net/documentation/unbound.conf.html

Cloudflare haben speziell zu ihren Resolvern und Unbound auch einen Artikel in ihrem Blog geschrieben: https://blog.cloudflare.com/dns-over-tls-for-openwrt/

Meistens censurfriDNS aus Dänemark

alternativ
Quad9 an 9.9.9.10 (ohne die Filter)
dns.watch
freeDNS aus Österreich

den vom CCC/Föbud meide Ich, weil irgendwie jeder Pfosten meint den CCC hacken zu müssen. Nervt.



ansonsten vom Provider, also einsundeins im Moment per Festnetz und mobil Telefonica.

Meinen eigenen pihole recursive DNS mit Blackjack und Nutten! :cool: