Datenschutz vs. Gewohnheit | Europäische DNS-Alternativen mit OPNsense & Telekom

Updated on
Buntes Comic-Bild, dass eine Situation aus dem Alltag eines Administrators von Proxmox-Servern zeigt. Proxmox-Server versuchen Mails zu versenden, auf der OPNsense sind zu langsame DNS-Server eingetragen, der Mailversand stockt und der Administrator erhält Boncing-Mails.
Nach meinen Vorgaben mit ChatGPT@Mammouth AI erstellt

Seit etwa 2 Jahren beschäftige ich mich zunehmend mit Themen rund um die Digitale Souveränität.
In erster Linie bedeutet dies für mich die Vermeidung von BigTech-Cloudsystemen durch die Vorhaltung der privaten & geschäftlichen Daten im eigenen Neztwerk.

BigTech ist aber auch bei anderen, viel weniger im Fokus stehenden Funktionen ganz selbstverständlich im Alltag verankert, ohne dass darüber viel nachgedacht wird.

Meine Ausgangssituation

Mit einer OPNsense1 und einem VDSL-Modem2 wurde Anfang diesen Jahres mein  Telekom-Router3 ersetzt, um die Themen Router, VPN, Firewall und Härtung in die eigene Hand zu nehmen. 

Bei der Eintragung der DNS-Server in den System-Settings der OPNsense wäre ich beinahe dem gefühlt 25 Jahre alten Reflex erlegen, die DNS-Server von Google einzutragen.
Es geht nämlich wesentlich datenschutzfreundlicher mit in Europa ansässigen, alternativen DNS-Servern.
Die Telekom als mein VDSL-Provider im Büro hat mir dabei aber noch ein paar Steine in den Weg gelegt, die es erst wegzuräumen galt.

Datenschutz bei DNS - warum?

Man könnte denken, dass doch nichts Bedeutsames im Netzwerkverkehr mit DNS-Servern steckt. IP-Adressen und Domainnamen - was soll`s.
Viel interessanter als diese rein technischen Daten sind aber die damit verbundenen Metadaten.

Das Thema würde leicht diesen kurzen Artikel sprengen, daher reisse ich es zum besseren Verständnis nur ganz kurz an.

Metadaten sind aussagekräftiger als Inhalte

Der DNS-Resolver (meist der des Internetanbieters oder von Google/Cloudflare) sieht jede Domain, die besucht wird – auch wenn die Website selbst HTTPS-verschlüsselt ist. Während die verschlüsselte Verbindung (HTTPS) den Inhalt der Seite verbirgt, verrät der DNS-Query bereits, dass Anfragende z. B.:

  • Infoseiten zu bestimmten Krankheiten aufgerufen haben,
  • eine Whistleblower-Plattform besuchen,
  • politische Oppositionssites lesen oder
  • sensible Dienste für Finanzen, Therapie oder Rechtsberatung nutzen

und geben zudem preis

  • wann sie die Aufrufe tätigen (Zeitmuster)
  • von wo sie agieren (IP-Adressen, Provider, feste-IP-Adresse, Geo-Kontext).

Bereits diese kurze, keineswegs abgeschlossene Liste macht deutlich, dass man der Auswahl des DNS-Servers mehr Aufmerksamkeit widmen sollte, als gemeinhin üblich.
Das Speichern, Analysieren und Verknüpfen von riesigen Datenbeständen ist heutzutage lediglich eine Frage des Aufwandes, nicht mehr der Machbarkeit.

Man sollte sich also die Frage stellen, wem man diese Daten seit Jahren frei Haus liefert.

Datenschutz & NoLog-Policy

Das Verspechen, Daten nicht zu monetarisieren, sowie keine Daten zu loggen bzw. diese z.B. nach 24 Stunden wieder zu löschen, geben viele DNS-Provider, auch BigTech wie z.B. Cloudflare.
Wieviel diese Verspechen im Zweifelsfall wert sind, sollte m.E. insbesondere im geopolitischen Kontext betrachtet werden.

Abgrenzung zur Anonymisierung

Meine Motivation ist nicht die Anonymisierung oder gar die Verhinderung oder Erschwerung von Strafverfolgung. 
Mit dem Schwenk auf datenschutzfreundliche, europäische DNS-Server möchte ich BigTech die einfache Verfügbarkeit der Metadaten im DNS-Verkehr entziehen.

Europäische, datenschutzfreundliche DNS-Server

Auf der Suche im Thema Datenschutz und Digitale Souveränität bin ich auf eine Auflistung4 europäischer DNS-Server als Alternative zu BigTech-DNS-Servern von Google, Cloudflare & Co. gestossen.

Mit Hilfe der in der Auflistung bereitgestellten Informationen und ein wenig Hintergrundrecherche habe ich mich für die folgenden DNS-Server entschieden:

  • Digitalcourage
    IPv4: 5.9.164.112
    Port: 853
    CN: dns3.digitalcourage.de
    Digitalcourage ist eine Non-Profit-Organisation aus Deutschland, die einen öffentlichen DNS-Resolver betreibt. Der Resolver wird in Deutschland gehostet und unterstützt DNS-over-TLS

  • Applied Privacy
    IP: 146.255.56.98
    Port: 853
    CN: dot1.applied-privacy.net
    Die Non-Profit-Organisation Foundation for Applied Privacy bietet einen öffentlichen DNS-Resolver, der DNS-over-HTTPS und DNS-over-TLS anbietet. Die Server befinden sich in Österreich und Deutschland.

  • Freie Netze München e.V.
    IP: 185.150.99.255
    Port: 853
    CN: dot.ffmuc.net
    Die gemeinnützige Organisation Freifunk München bietet einen öffentlichen DNS-Resolver an, der DNS-over-HTTPS und DNS-over-TLS unterstützt. Die Server stehen in Deutschland und Österreich.

Allen ausgewählten Betreibern ist gemein, dass sie in allen Komponenten komplett auf europäische Lösungen setzen.

Ausgeschlossen habe ich u.a.

  • Quad9, die zwar nach einem Umzug in die Schweiz als Schweizer NonProfit auftreten, technisch jedoch komplett in den USA betrieben werden. Zum Gründerhintergrund zählt z. B. IBM.

  • DNS4You, ein von der EU gesponserter DNS-Server, der jedoch  Logdaten speichert und Mailserver von Google und Amazon nutzt. Zum Betreiberhintergrund gehören Hetzner, IONOS, netcup.

Besonderheit bei Telekom als VDSL-Provider

Die Konfiguration der OPNsense hat sich leider etwas in die Länge gezogen.
Das Folgende ist vermtl. nur für Telekom-Kunden relevant. 

Die Deutsche Telekom, mein VDSL-Provider im Büro, leitet offenbar einige dieser DNS-Server NICHT via Port 53 durch (z.B. 146.255.56.98, doh.applied-privacy.net).
Bestätigende Quellen konnte ich dazu nicht finden.

Ich konnte in Logfiles und mit Packet Capture nachvollziehen, dass die OPNsense im Büro (also am Telekom-Anschluss) die Pakete problemlos auf Port 53 am WAN-Anschluss durchreichte - es kam allerdings nie eine Antwort zurück.

Bei den größeren DNS-Servern wie Quad9 oder DNS4You wiederum gab es keine Probleme. Aber die wollte ich aus den geschilderten Gründen ja nicht.

OPNsense mit Unbound DNS

Da in der Standardkonfiguration der OPNsense lediglich DNS-Server via Port 53 eingetragen werden können, habe ich den Service 'Unbound DNS' aktiviert.
Hier kann eine beliebige Anzahl von DNS-Servern konfiguriert werden, die DNS-over-TLS (DoT) i.d.R. auf Port 853 anbieten.

Gleichzeitig wird der Standard-DNS-Service der OPNsense für Anfragen von Clients deaktiviert, die Clients bekommen via DHCP lediglich die OPNsense als primären DNS eingetragen.

Der Vorteil von DNS-over-TLS ist für meine Situation in diesem Zusammenhang, dass der DNS-Verkehr auf Port 853 von der Telekom offenbar nicht herausgefiltert wird, die gewünschten DNS-Server also angesprochen werden können.
Zudem betreibt Digitalcourage sowieso ausschließlich DoT-DNS-Server, für die Nutzung dieser besonders datenschutzfokussierten DNS-Server ist DoT sogar Bedingung.

Nach dieser Einrichtung liefen DNS-Anfragen aus dem Client-Netz endlich genauso fluffig wie zuvor mit den DNS-Servern der BigTech.

Performance

Im alltäglichen Betrieb konnte ich mit meinen ausgewählten DNS-Servern keinen signifikanten Unterschied zu DNS-Servern von Google & Co. feststellen.

Wer die Performance selbst nachvollziehen will, sollte an dieser Stelle berücksichtigen, dass das Standardtool 'dig' lediglich Port 53 (DoH), nicht aber Port 853 (DoT) unterstützt.
Daher empfiehlt sich z. B. der Einsatz der 'Knot-DNSUtils', die beides unterstützen.

Eine bespielhafte, detaillierte Abfrage für den DoT-DNS-Server von Digitalcourage:

kdig -d @5.9.164.112 +tls-ca +tls-host=dns3.digitalcourage.de google.com

Zum Vergleich die Abfrage (auch DoT !) über Cloudflare:

kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com google.com

Wichtig ist, dass nur DoT-Server miteinander verglichen werden sollten, da DoT generell 'langsamer' ist als DoH über Port 53. Wir spechen hier aber über Millisekunden, also kaum merklich im Alltag.

Aktualität

Wie aktuell und umfassend der jeweilige Datenbestand der europäischen Betreiber ist, vermag ich natürlich nicht einzuschätzen. 

Stabilität

Zur Stabilität kann ich nach 3 Monaten (Stand Juni 2026) keine Probleme berichten - keine Ausfälle, keine unerreichbaren Seiten, keine ungewöhnlichen Hänger beim Seitenaufruf.
Da aber die DNS-Server von NonProfit-Organisationen betrieben werden, ist sicher eine regelmässige Prüfung auf Aktivität ratsam.

 

Fazit

Die drei von mir ausgesuchten, eropäischen DNS-Server in der Unbound DNS-Konfiguration meiner OPNsense sorgen für stabile DNS-Auskünfte. Ich kann sie daher als weiteres Puzzlestück zur  Digitalen Souveränität nur empfehlen.
Damit wurde die reflexhafte Nutzung der DNS-Server von Google in meinem Heimnetz endlich zugunsten europäischer DNS-Server mit Fokus Datenschutz geändert.

 

 

1. OPNsense auf Protectli VP2440

2. Draytek Vigor 167 VDSL Modem

3. Telekom Digitalisierungsbox Smart II

4. Europäische DNS-Alternativen