Auf Mastodon ansehen
Basierend auf einem Leserwunsch zum Thema DNS gibt es nun einen Artikel, der das Thema DNS etwas weiter beleuchtet
Gerade beim Thema selbst hosten, kommt hin und wieder das Thema Resolver, Relay o.ä. auf. Nicht immer ist klar, was nun was ist.
Was ist DNS?
DNS ist das digitale Telefonbuch des Internets.
Jedes Gerät im Internet hat eine IP-Adresse (z. B. 123.456.123.456). Damit man sich aber nicht diese Zahlen merken muss, gibt es Domain-Namen wie meinedomain.de.
Ähnlich also wie Koordinaten und Adressen.
Das Domain Name System (DNS) sorgt dafür, dass dein Computer weiß: „Wenn jemand meinedomain.de aufruft, dann steckt dahinter die IP-Adresse X.“
Die Verwaltung funktioniert so:
-
Registry: Das ist die Organisation, die eine Endung wie
.deoder.chbetreut. Bei.deist es die DENIC, bei.chdie SWITCH. -
Registrar: Das ist dein Anbieter, bei dem du eine Domain kaufen kannst (z. B. IONOS, Hostpoint). Der kümmert sich darum, dass deine Domain bei der Registry eingetragen wird. Und hinterlegt die Einträge im DNS Server.
-
Autoritativer DNS-Server: Das ist der Server, auf dem die echten Einträge für deine Domain liegen (z. B. A-Record für die IP deiner Website, MX-Record für E-Mails).
Wenn du also gnulinux.ch aufrufst, läuft das so:
-
Dein Computer fragt: „Wo finde ich
gnulinux.ch?“ -
Die
.ch-Registry (SWITCH) sagt: „Frag bitte diesen DNS-Server.“ -
Der autoritative Server von
gnulinux.chliefert die IP zurück. -
Dein Browser verbindet sich mit dieser IP.
Ähnlich also wie Koordinaten (IP-Adresse) und eine Adresse (Domain).
Selbst Hosten
Wenn du zu Hause oder im eigenen Netzwerk DNS selbst betreibst, stößt du auf zwei Begriffe: Relay und Resolver.
DNS-Relay (Weiterleiter)
-
Nimmt die Anfragen deiner Geräte entgegen.
-
Leitet sie einfach an einen anderen DNS-Server weiter.
-
Beispiel: AdGuard Home. Wenn du dort
9.9.9.9(Quad9) als Upstream einträgst, läuft der Weg so: -
Vorteil: Einfach einzurichten, zusätzliche Filtermöglichkeiten.
-
Nachteil: Du bist vom externen Server abhängig und gibst ihm deine Daten.
Rekursiver Resolver (eigene Nachforschung)
-
Holt die Antwort selbst direkt von den Root-Servern und arbeitet sich Schritt für Schritt durch (
Root → .de → zuständiger Server). -
Beispiel: Unbound (oft schon in Routern/Firewalls wie OPNSense integriert).
-
Vorteil: Volle Kontrolle, Datenschutz, DNSSEC-Prüfung.
-
Nachteil: etwas mehr Einrichtung und Pflege nötig.
Vor und Nachteile
Eine strenge Trennung ist schwierig, da die Systeme oft kombiniert werden (z. B. AdGuard mit Unbound). Grundsätzlich gilt:
-
Externe DNS-Dienste (Quad9, Cloudflare, Google DNS):
-
Schnell, einfach, zusätzliche Malware-Filter
-
Zentrale Stelle sieht alle Anfragen
-
-
Eigener Resolver (z. B. Unbound):
-
Datenschutz, volle Kontrolle, keine Abhängigkeit
-
Höherer Aufwand, deine IP ist direkt bei den Ziel-Servern und Internetprovider sichtbar
-
Ich habe in meinem Heimnetz einen Adguard für diverse Filterlisten, welche dann die Anfragen an Quad9 sendet.
Das ist für mich das optimum aus Privatsphäre, Sicherheit, Ausfallsicherheit und vertretbarem Aufwand im Hosting.
Praxis-Beispiel
In meinem Heimnetz nutze ich AdGuard Home als Filter (Blocklisten, Statistiken).
Dieser schickt Anfragen an Quad9, um zusätzliche Sicherheitsfilter zu nutzen.
Für mich ist das ein guter Kompromiss:
-
Privatsphäre (eigene Filter)
-
Sicherheit (Quad9 blockt Malware-Domains)
-
Ausfallsicherheit (Quad9 hat globale Infrastruktur)
-
geringer Hosting-Aufwand
Quellen:
Titelbild: ChatGPT
Nachteil Quad9, weshalb ich ja den Artikel zu Technitium geschrieben hatte: die zensieren Websites und es kommt dem Datenschutz nicht entgegen, alle besuchten Websites einem Drittanbieter zur Auflösung mitzuteilen.